サイバーセキュリティの脅威について
身近でよく耳にする事例
・サイバー攻撃、情報漏えい
・フィッシング詐欺
・ランサムウェア、スケアウェア
それぞれ簡単に説明していくと、
サイバー攻撃
サイバー攻撃はネットワークを通じて被害を受ける脅威の総称ですが、DOS攻撃などでターゲットへ集中的に負荷をかけてサービスをダウンさせる手法から、最近ではクラウド上の従量課金を利用しているシステムを狙ってトラフィックを大量に発生させ高額な課金請求により企業にダメージを与える事案も出ています。(EDOS攻撃といいます)
セキュリティとは全く関係ない話ですが従量課金のゲームサーバの場合、アプリをインストールしてからゲームデータをサーバから1GBとかダウンロードさせるゲームの場合は、リセマラで何回もユーザーがダウンロードすることになるので、想定外の支払いが発生することになります。
リセマラをゲーム内で完結させるほうがユーザーにも運用側にも易しい(プラットフォーマーにも)システムになるんじゃないかと思います。
他にも個人でクラウドサービスを利用していてしばらく放置していたら突然、数百万円の利用請求が届いて調査したところ、勝手に仮想通貨の採掘に利用されていたという被害報告があります。(クリプトジャッキングといいます)
個人の趣味で無料のクラウドサーバを利用し、無料期間が終わって支払い登録をした後インスタンスを起動したままにしている人は気を付けましょう。
情報漏えい
情報漏えいは、攻撃者がシステムの脆弱性をついて侵入しデータを盗み出す事例もありますが、多くの事例は内部関係者が関わっているといわれています。
不正のトライアングルという理論があり、「機会」「動機」「正当化」の3つの要素がそろったときに不正行為が発生するというものです。
「機会」についてはシステムの開発や運用に携わっている人であれば何らかの情報を流出させることはできるのではないでしょうか。
しかし、「動機」や「正当化」については、よほど個人的にプレッシャーを感じてひっ迫している状況にあるか、会社に恨みがある人でなければ湧いてこないですし、大抵の人は現金化するルートの確保や捕まった後の社会的制裁のリスクを超えることはできないと思います。企業側もコンプライアンスの重視や監視体制の強化などの対策に取り組むようになりました。
そんな中でも、システムにアクセスできる内部関係者に対して、外部の首謀者がソーシャルエンジニアリングで接触を図り不正のトライアングルを満たさせることにより、犯罪行為に協力させて情報を得ようとする事例が見られるようになってきました。
2020年に起きたテスラの事例をあげると、ロシアの犯罪グループの男がWhatsAppを通じてテスラの従業員と知り合い、半月後には知人を含めた4人で小旅行に出かけるほど信頼関係を築いています。一月後には二人きりでレストランで食事をするようになり、頃合いをみてロシアの男が「ビジネス」の話を切り出しました。
その「ビジネス」の内容が、テスラ社内のPCにマルウェアを感染させて報酬100万ドルを受け取るというもので、その男はマルウェアを通して社内の情報を盗み出し身代金を要求するという計画だったようです。
幸い、ターゲットとなったテスラの従業員がFBIに通報して攻撃を未然に防ぐことができましたが、1億円の報酬で心を揺さぶられる従業員であったら攻撃が実行されていたかもしれません。
フィッシング詐欺
フィッシング詐欺は本物とそっくりなサイトへメールや偽リンクからユーザーを誘導させて秘密情報を送信させる手口で、銀行などからフィッシングメールに注意するように通知がよく届きます。
特に多くフィッシング詐欺に利用されるタイミングがあります。
・自然災害(地震や洪水など)
・疫病や健康不安(コロナ、ワクチン接種など)
・経済的懸念(不動産や株価の乱高下など)
・選挙や法律改正(選挙協力、給付金など)
基本的に、従業員やその他の社内情報を尋ねる個人からの不審な電話、訪問、電子メールを疑ってください。社内外に関わらず個人情報や、組織の構造、ネットワークを含む組織に関する情報は、その情報を持っている人の権限が確かでない限り提供しないようにしましょう。
ランサムウェア
ランサムウェアやスケアウェアは、この名称で呼ばれることはあまりありませんが最近ではカプコンがランサムウェアでデータを暗号化されてシステム障害が発生し、盗まれた個人情報の返還と暗号化を解除させるために金銭を要求される事件が発生しました。
(身代金はビットコインで約11億円、1TBの個人情報が犯罪者の元に流出しました)
カプコンは攻撃者との交渉には応じていません。
また、REvilというロシアのハッカー集団はRaaS(サービスとしてのランサムウェア)と呼ばれるスキームを採用し、自分たちの開発したランサムウェアを配布するアフィリエイトを募集しています。奪った身代金で得た収益をREvilとランサムウェアを感染させたアフィリエイターで分配される仕組みを確立しています。
先月の話ですが、このREvilが作成したランサムウェアにより米国のソフトウェア会社Kaseyaが攻撃されました。800~1500社が影響を受けたとされスーパーのレジが停止し、学校などにも影響が出たと報じられています。攻撃を受けてから約20日後、同社は暗号化されたデータを複合するツールを入手したと発表しました。
Kaseyaに攻撃を仕掛けたグループは、今回の攻撃による全ての被害者が利用できる復号ツールを提供する見返りとして、身代金7000万ドル(約78億円)を要求したと報じましたが、同社が支払ったかどうかは明らかにされていないということです。
こういったランサムウェアの被害は年々増加しており被害が広がっています。
スケアウェア
スケアウェアは、ユーザーの心理につけ込んで金銭を要求するメッセージを送り、お金を振り込ませる手法です。
頻繁に「ウイルスに感染しました」などのポップアップを出したり、PCに負荷をかけてパフォーマンスを落とすなどをして、解決のために商品を購入させようとしたり、不正なソフトウェアをインストールさせたりします。
要求額が小さいため支払ってしまう人が多いです。
その他、日本で発生した情報セキュリティの脅威を被害の大きさでランキングした資料が、情報処理技術者試験を運営しているIPAから公表されています。
毎年更新されており「情報セキュリティ10大脅威 2021」が最新版になります。
過去のランキングも観ることができるので、ネットワークに関する被害の遷移を知ることができるとてもよい資料です。
個人における10大脅威
|
順位 |
脅威 |
昨年順位 |
|
1位 |
スマホ決済の不正利用 |
1位 |
|
2位 |
フィッシングによる個人情報等の詐取 |
2位 |
|
3位 |
ネット上の誹謗・中傷・デマ |
7位 |
|
4位 |
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 |
5位 |
|
5位 |
クレジットカード情報の不正利用 |
3位 |
|
6位 |
インターネットバンキングの不正利用 |
4位 |
|
7位 |
インターネット上のサービスからの個人情報の窃取 |
10位 |
|
8位 |
偽警告によるインターネット詐欺 |
9位 |
|
9位 |
不正アプリによるスマートフォン利用者への被害 |
6位 |
|
10位 |
インターネット上のサービスへの不正ログイン |
8位 |
個人で被害報告が多くなっているのが、「スマホ決済の不正利用」です。
2020年のランキングで初登場1位となり2年連続1位になっています。
2019年から2020年にかけてペイペイやドコモ口座、セブンペイなどのサービスが開始されリリース直後に発生した不正利用事件が原因になります。
ペイペイ
|
被害 |
クレジットカードの不正利用(ゆうちょ銀行、愛知銀行、イオン銀行) |
|
原因 |
カード決済情報を登録する際の本人確認が甘く、クレジットカード情報(カード番号とセキュリティコード)だけで完結していたため、流出しているクレジットカード情報を用いて登録ができてしまっていた。(パスワードリスト攻撃) また、カード情報を入力する際のセキュリティコードの入力ミスに対して回数制限がなくロックもかからなかったことから、総当たりでコードを探り当てることができる状態でした。(ブルートフォース攻撃) |
攻撃者のアプリに他人のクレジットカード情報を紐づけることができてしまいます。
ドコモ口座
|
被害 |
不正出金(当時ドコモ口座と連携可能な銀行は35銀行) |
|
原因 |
メールアドレスだけでドコモ口座を開設できたこと。 ドコモ口座と銀行口座を紐づけるさいに、本人確認の甘い銀行では2要素認証が導入されておらず、流出している銀行口座情報だけで完結できてしまっていた。(パスワードリスト攻撃) 銀行口座情報の暗証番号は4桁のため、暗証番号を固定にして口座番号を総当たりする攻撃に対して脆弱。(リバースブルートフォース攻撃) |
他人の銀行口座から攻撃者のドコモ口座へ送金し、出金できてしまいます。
セブンペイ
|
被害 |
不正アクセス、不正利用 |
|
原因 |
普段使用しない端末や地域からのアクセスに対する通知や承認(リスクベース認証)や適切なタイミングでの2要素認証も行われておらず、アカウントログインに対するパスワードリスト攻撃に脆弱。 不正ログインされた後、決済パスワードの再設定で本人認証が甘くパスワード変更のリンク要求送信先を攻撃者のメールアドレスに容易に指定できる。 |
被害者のアカウントに紐づけられた決済方法で攻撃者が商品を購入できてしまいます。
リリース直後の脆弱性をついた攻撃が落ち着いた2021年以降も、利用者や利用機会が増えたことで引き続き不正利用の被害が広がっています。
「企業における10大脅威」
|
順位 |
脅威 |
昨年順位 |
|
1位 |
ランサムウェアによる被害 |
5位 |
|
2位 |
標的型攻撃による機密情報の窃取 |
1位 |
|
3位 |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
NEW |
|
4位 |
サプライチェーンの弱点を悪用した攻撃 |
4位 |
|
5位 |
ビジネスメール詐欺による金銭被害 |
3位 |
|
6位 |
内部不正による情報漏えい |
2位 |
|
7位 |
予期せぬIT基盤の障害に伴う業務停止 |
6位 |
|
8位 |
インターネット上のサービスへの不正ログイン |
16位 |
|
9位 |
不注意による情報漏えい等の被害 |
7位 |
|
10位 |
脆弱性対策情報の公開に伴う悪用増加 |
14位 |
企業で発生している被害では新たに「テレワーク等のニューノーマルな働き方を狙った攻撃」が3位にランクインしました。
コロナ禍でテレワークを実施する企業が増加したことにより、社内ネットワークへの侵入リスクが高まり、ウェブ会議などの盗聴なども増えてきています。
2020年8月には国内の大手企業38社が、VPN機器の脆弱性を突いた不正アクセス被害を受け、VPNの暗証番号が外部に流出するという事案が発覚しました。
被害に遭った企業は、脆弱性が指摘されていたVPN機器を継続して利用しており、メーカーが提供していた修正パッチを適用していなかったとのことです。
私の会社がテレワークで採用しているソフトウェアVPNのSoftEther VPNについても、今月15日に海外からのサイバー攻撃を検知し、連続した侵入試行による辞書攻撃によってサーバのCPUなどが無駄に消費され、ユーザーの通信速度が低下する恐れがあることから、同社は新ビルドへのアップデートとパスワードの変更を推奨しています。
(デフォルトのパスワードが「vpn」の3文字でした)
VPNの接続を突破されてしまうと、テレワークで使用しているPCから社内ネットワークへランサムウェアなどのマルウェアを感染させてしまうリスクが高まります。
以上のように、現在自分がさらされているサイバーセキュリティの脅威について知っておくだけでも普段と違う動作に対する異常の検知やソーシャルエンジニアリングへの注意、必要な対策や備えを行うことができるようになると思います。
サイバー攻撃は自分の身にも起こり得るものととらえて、情報セキュリティに対して興味を持って頂ければと思います。
投稿
0 件のコメント:
コメントを投稿