コンプライアンス
2019年「法人」と「個人」のサイバー脅威動向:サイバー犯罪が覆す「安全」の常識
トレンドマイクロでは、過去1年間のサイバー脅威動向調査として、2019年1月~11月に発生したサイバー脅威を分析しました。結果、利用者に被害を与えた脅威の傾向として、「これは安全」という利用者側の思い込みを覆すサイバー犯罪の被害が顕著化した1年間であったと結論付けました。本記事では「この常識を覆すサイバー犯罪」の観点から、2019年の日本におけるサイバー脅威動向の速報をお伝えします。
2019年にも様々なサイバー脅威が登場し、利用者の安全を脅かしました。トレンドマイクロでは、過去1年間のサイバー脅威動向調査として、2019年1月~11月に発生したサイバー脅威を分析しました。結果、利用者に被害を与えた脅威の傾向として、一般の利用者が持つ「セキュリティの常識」、言い換えれば「これは安全」という利用者側の思い込みを覆すサイバー犯罪の被害が顕著化した1年間であったと結論付けました。攻撃手法自体は既に以前から発生しているものであっても、一般の利用者にはまだ認識がない、その攻撃手法が拡大した、などの理由により、利用者にとっての「安全」の思い込みを覆す攻撃の被害が顕著になったものと言えます。本記事では「この常識を覆すサイバー犯罪」の観点から、2019年の日本におけるサイバー脅威動向の速報をお伝えします。
/trends-in-cyber-threats-for-corporations-and-individuals-in-2019-cyber-criminals-upturn-the-conventional-idea-of-security/image-01.png)
■「安全」の常識を覆すサイバー犯罪
2019年、個人利用者に最も大きな衝撃を与えた脅威は、二要素認証突破を狙うフィッシング詐欺であったと言えます。この攻撃は二要素認証(事業者によっては「二段階認証」などとも呼称)を使用しているから安全、という利用者の常識を覆したものと言えます。トレンドマイクロの監視によれば、特に直接的な金銭利益に繋がるネットバンキングの二要素認証突破を狙うフィッシングサイトの数が9月以降に急増しています。
/trends-in-cyber-threats-for-corporations-and-individuals-in-2019-cyber-criminals-upturn-the-conventional-idea-of-security/image-02.png)
警察庁の公表でも、ネットバンキングにおける不正送金被害は9月以降に急増しており、二要素認証突破型のフィッシング詐欺の影響が大きいものと言えます。同様に攻撃対象となるネットバンキングサイト数もいわゆる都市銀行から地方銀行にまで拡大しており、被害もより大きくなることが懸念されます。また、携帯電話事業者のWebサービスやソーシャルメディアに対するものも既に確認されていますので、ネットバンキングだけが対象ではないことにも注意が必要です。 このようなフィッシング詐欺を筆頭に、利用者を不正サイトへ誘導する手段としては、これまでの電子メールに加え、携帯電話のテキストメッセージ(SMS)の使用が顕著化しています。SMSの送信先は携帯電話機能を持つ端末、つまりスマートフォン利用者を狙った攻撃となります。トレンドマイクロのクラウド型次世代セキュリティ技術基盤であるSmart Protection Network(SPN)の統計によれば、国内で不正サイトへ誘導されるモバイル利用者数が増加傾向にあり、SMS経由の誘導が大きく影響しているものと考えられます。また、これまで通り、人気のサービスや有名企業を偽装するなりすましの手口の横行も進んでいます。電子メールにおいてもSMSにおいても送信者情報は偽装することが可能であり、知っている企業やサービスから送信されてきたメールやメッセージだから問題はない、という思い込みを利用する手口ということができます。
/trends-in-cyber-threats-for-corporations-and-individuals-in-2019-cyber-criminals-upturn-the-conventional-idea-of-security/image-03.png)
法人においては、
- マルウェア「EMOTET」の本格上陸
- これまで標的型攻撃で見られていたような高度な攻撃手法を使用したランサムウェア攻撃
- 利用者情報を狙うWebサービスやECサイトへの攻撃
などが大きな脅威となりましたが、中でも、利用者情報を狙うECサイトへの攻撃は常識を覆すものと言えます。2018年に施行された改正割賦販売法により、顧客の決済手段として使用されるクレジットカード情報をECサイトに保持することはできなくなりました。これにより、ECサイトからのカード情報漏えいはなくなるものと期待されましたが、サイバー犯罪者はこの安全の思い込みを簡単に覆してきました。ECサイトにおけるカード情報非保持化の方法は「JavaScript(トークン)型」と「リダイレクト(リンク)型」の2種がありますが、いずれの方法であってもECサイト自体の改ざんにより利用者のカード情報を奪うことが可能です。サイバー犯罪者はまず、脆弱性、もしくは設定ミスを抱えたECサイトを攻撃し、改ざんします。この際、「JavaScript(トークン)型」の場合には不正スクリプトを設置し、入力されたカード情報が自分のところに転送されるようにします。また、「リダイレクト(リンク)型」の場合には、利用者が決済に進んだ際に決済代行業者のサイトへ遷移させず、自身が用意した偽画面を表示させ、利用者が入力した情報を詐取します。2019年の日本では特に「リダイレクト(リンク)型」のECサイトでの被害が顕著でした。
/trends-in-cyber-threats-for-corporations-and-individuals-in-2019-cyber-criminals-upturn-the-conventional-idea-of-security/image-04.png)
特に被害の多いECサイトのシステムに関しては日本サイバー犯罪対策センター(JC3)や経済産業省などが相次いで注意喚起を出す事態になっています。このようなECサイトを狙う攻撃については、カード情報を保持していないから安全、という思い込みが覆されたものと言えます。また、一般利用者の目線で考えると、正規サイトだから安全、という認識を覆す攻撃であると言えます。
■被害に遭わないためには
個人利用者
個人利用者においては、以下の心がけを常に意識してください。
- 手口を知り騙されないよう意識する
- 本文の内容やメールの送信元を確認し、安易に本文内のURLにアクセスしない
- 普段と異なるタイミングで二要素認証や決済情報などの情報入力を求められた場合、いったん立ち止まってそのサイトのURLが正しいものかを再確認する
人の思い込みを利用して騙す手法が多くなっているため、その騙す手口を知り、早期に気づけるようにすることが1つの対策となります。現実社会の振り込め詐欺、特殊詐欺においても手口を知っておけばこれはおかしいとどこかで気づくことができるのと同様です。当然、心がけだけでは防げないこともありますので、不審なメールやメッセージをフィルタリングする、また不正サイトへのアクセスをブロックする技術的対策の利用も欠かせません。また、人を騙す手法に自組織の知名度が悪用された法人においては、自組織とは無関係であることをはっきりと公表し、その騙しの手口を広くに伝えることが望まれます。
法人利用者
ECサイト改ざんの被害原因は、脆弱性と設定ミスのいずれかです。自組織が運営するECサイトで使用しているシステムに脆弱性や設定ミスがないか定期的に確認することが必須と言えます。中小規模のECサイトでは、サイトの立ち上げ時に脆弱性や設定ミスのチェックを行った後、その後の保守などは契約していないため、その後に確認された脆弱性や設定ミスがそのまま放置されてしまうようなケースも多いようです。このようなことが無いよう、ECサイトを立ち上げる際にその後の定期的な保守まで勘案しておくことが必要です。 また、ECサイトに不正なアクセスやシステム変更がないか、セキュリティ製品を導入して監視し、早期に不審に気づける体制を持つことも被害を軽減する手段となります。ECサイト改ざんの事例においては、そのほとんどにおいて外部からの指摘により初めて被害に気づいています。 ECサイトの改ざんからのカード情報漏えいの事例に関しては、攻撃自体はECサイトに来るものですが、カードの不正利用など直接の被害はそのECサイトを利用する顧客が受けることになります。自社の顧客を保護するという観点からも十分なセキュリティを構築する責任が運営組織にはあるはずです。
■トレンドマイクロの対策
- フィッシング詐欺のように電子メールやメッセージから不正サイトへ誘導する手口に関しては、トレンドマイクロ製品のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である、「E-mailレピュテーション(ERS)」技術によりフィッシングメールをブロックすること、また「Webレピュテーション(WRS)」技術により、不正サイトへのアクセスをブロックすることができます。
- ECサイトへの攻撃に対しては、脆弱性対策が重要ですが、運用上の都合により、直ちに脆弱性を修正できない場合にも、統合型サーバセキュリティソリューション「Trend Micro Deep Security™」の仮想パッチ機能によって、未更新の脆弱性を狙う攻撃からサーバを防御することが可能です。また、変更監視機能やセキュリティログ監視機能で予期しないシステム変更を警告することにより、サーバ上で行われる不審な活動を早期に可視化することが可能です。