ニッポンも危ない!世界の「サイバー犯罪」事件簿

Forbes JAPAN / 2017年3月9日 10時0分

写真

サイバー犯罪者の手口は日々高度化し、今や並のセキュリティ対策では追いつかないところまできている。今世界で起きているサイバー犯罪の事例を、専門家集団「スプラウト」による特別寄稿でお送りする。

海外のサイバー犯罪者にとって、日本は攻撃しにくい場所であった。サイバー攻撃を企む国外の犯罪者が送ってくるのは、明らかに海外の人間が書いた不自然な日本語や、日本人があまり使わないフォントなど、コンピュータスキルがないユーザーでも、見た瞬間に「怪しい」と感じるメールだった。そのため、海外で流行している攻撃手法もリアルタイムでやってくるのではなく、半年から1年遅れて日本にやってくることが多かった。

しかし、犯罪者たちはお金を奪うのに苦労をいとわない。日本のユーザーを狙う手口は日に日に巧みになり、攻撃メールの文章やフォントの違和感は消えつつある。「日本語」がファイアーウォールとして機能しなくなってきているのだ。

これからは今まで以上にセキュアな環境を構築し、海外のセキュリティトレンドを追いかけていないと危ない。世界で起きている最新のサイバー攻撃の事例を紹介しよう。

CASE1 関係者に成りすます「BEC詐欺」

子供や孫を演じて、「トラブルが発生したのでこの口座に振り込みをしてほしい」という電話をかけ、高齢者から金銭を奪う「オレオレ詐欺」。すでに古典的な犯罪となりつつあるが、実はサイバー犯罪者の世界でもこの手法が使われ始め、「BEC詐欺」と名付けられてFBIが警告を出す事態となっている。

BECとは「Business E-mail Compromise」、つまり「ビジネスメール詐欺」のことで、別名「CEO詐欺」とも呼ばれている。その名の通り、CEOや上級役員を騙り、その会社の送金権限を持つ社員に送金依頼の偽メール送りつける振り込め詐欺の一種である。単純な手口ながら、3年ほど前から被害が増えており、FBIによると過去3年間で、約2万2,000社以上がBEC詐欺の被害にあい、その総額は30億ドルを超えるという。

この攻撃は、ターゲットを周到に調べ上げるのが特徴だ。マルウェアを送りつけ、社内のデータを外部にリークさせるなど、セキュリティの抜け穴をついて情報を収集することも珍しくない。騙るCEOや上級役員本人の情報はもちろん、誰にどんな理由で送金指示を出したらよいかまで細かく調べ上げる。添付しているファイルには本物の社内資料を使うなどの徹底ぶりだ。

2016年5月、バービー人形で有名なマテル社がBEC詐欺の被害を受けた。同社に勤める社員が、直属の上司であるCEO名義のメールで「中国市場を開拓したいため、投資をしたい。以下の中国の銀行に振り込んでくれ」という主旨のメッセージを受け取った。その社員はさっそく指定の銀行に300万ドルの振り込みをしたが、CEOに確認したところ、そんな指示は出していないことが判明。その日が偶然中国の祝日で銀行業務は停止していたため、犯人の元に入金される前に撤回できたが、あやうく大きな損害を被るところだった。

16年2月には、消えるメッセージングアプリで人気のSnapchat社がBEC詐欺にひっかかり、従業員の情報を漏洩する事件が起きた。給与部門の担当者宛に、CEOに成りすました人物から従業員の給与情報を要求する内容のメールが届き、担当者は情報を送ってしまったのだ。また、同年3月には大手ハードディスクメーカーSeagateでも、同様の手口で社員の源泉徴収額などの情報が数千人規模で盗まれるという事件が発生している。

CASE2 匿名性の高さでネット犯罪の温床となった「Tor」

「Tor(トーア)」という、ネット上の活動の匿名性を強化した通信システムがある。元々は米海軍がオンラインでの諜報活動を安全に行うために開発した技術で、その後有志によって開発・運営が続けられている。

本来は「インターネット上で自由な発言」を守るために使われるはずだったTorだが、この「匿名性の高さ」に注目したサイバー犯罪者による悪用が目立っている。Torを使った環境でしかアクセスができない「ダークウェブ」とよばれるサイトは、犯罪者の巣窟となっている。麻薬・銃器の売買、サイバー犯罪の代行請負、殺し屋サービス、偽造身分証明書作成などの商品がやりとりされている。犯罪者の身元の特定は難しく、各国の捜査機関は頭を悩ませている。

企業から流出した顧客データなどが売買されるのも、このようなサイバー闇サイトだ。それらをスパム業者が購入すれば顧客に迷惑メールが送られ、銀行口座を狙う犯罪者が手に入れればバンキングマルウェア(=銀行口座からお金を盗むウイルス)が送られる。顧客側はデータの流出による二次被害にあい、データを流出してしまった企業はますます叩かれることになる。

企業へのサイバー攻撃の請け負いサービスのやりとりがされるのも、このダークウェブ上だ。パスワード解析やウイルス作成などがリーズナブルな金額で提供され、犯罪者自身にハッキングスキルがなくても、サイバー攻撃を仕掛けたりオリジナルのウイルスを手にいれたりすることができるのだ。それらの矛先が、いつあなたが所属する組織に向いても不思議ではない。

ダークウェブのコンテンツは基本的に英語が中心で、今のところ日本語のものは少ない。しかし今後サイバー犯罪への取り締まりが強化されれば、法務執行機関の手の届かないダークウェブが日本のネット犯罪者の主な活動拠点となる可能性は高い。

CASE3 医療機関がランサムウェアのターゲットに

ランサムウェアの代表格である「CryptoWall」が、15年の1年間で約3.25億ドル集めたという報告がある。

「ランサムウェア」は、身代金を意味する「ransom」とPCやネットワークに悪影響を与えるソフトウェアの総称「malware」の2つをくっつけた造語である。このウイルスに感染すると、利用しているパソコンやネットワークが利用停止されたり、ファイルが暗号化されて参照できなくなったりする。そして犯人から身代金を要求される。支払いをしないと、永久にパソコンやネットワーク、ファイルにアクセスできなくなるというものだ。

ランサムウェアが登場したての頃は、個人ユーザーのパソコンを狙った「ばらまき型」の攻撃が中心であったが、ここ数年は企業、それも業種をピンポイントで狙った被害が増えている。

特にアメリカでは、医療機関を狙った被害が増えている。病院でシステムがダウンした場合、人の生死に直結するため、他の業種に比べて支払いをスムーズにしてくれると犯罪者たちが考えたためだ。

16年2月、アメリカのハリウッドにある私立病院ハリウッド・プレズビテリアン・メディカルセンターがランサムウェアの被害にあって病院のシステムがダウン。パソコンが完全に利用不能となり、医師達はなんとメールの代わりにファクス、電子カルテの代わりに紙とペンを使うことになり、現場が大混乱に陥った。犯人からの身代金要求金額は40ビットコイン(犯行時のレートで約170万円)。病院は警察や専門家と協議した結果支払いに応じ、システムは復旧した。ランサムウェアのなかでは、要求された金額を支払っても、元に戻らないケースも珍しくなく、今回の事例はラッキーと言えるだろう。

日本でもランサムウェアの被害は拡大している。セキュリティ企業シマンテックの調査によると、15年におけるランサムウェア検知数は日本が世界で17位、アジア太平洋地域では3位の結果となっている。またアンチウイルスソフトメーカー、カスペルスキーのリサーチによると、16年2月にブロックしたランサムウェアの種類・検出数は日本が突出していたという。

しかも日本には今後、さらにサイバー犯罪者に狙われやすくなるような要素が増えている。それがオリンピックとIoTだ。

昨年8月7日、ブラジル・リオデジャネイロの州が運営するサイトが3つ、突然アクセスできなくなった。ブラジルのAnonymousを名乗る人間が、リオ・オリンピックに反対するために攻撃したとの声明を出した。単純な攻撃であってもメディアが大々的に報道してくれるオリンピックという舞台は、ハクティビストやテロリストにとって魅力的なのだ。

オリンピックの次に懸念されるのは、IoTを狙った攻撃である。米大手調査会社IHSによれば、13年時点で約158億個だったIoTデバイスは、20年までに約530億個まで増加すると予測している。パソコンやスマートフォン、冷蔵庫、電子レンジ、照明、電気メータ、トイレ、コーヒーメーカー、玄関など家庭用に限らず、スマートメーターをはじめとするインフラ設備、各種工場の生産ライン、ビニールハウスの温度管理など、IoTが使われすべての「モノ」がサイバー攻撃の対象になる可能性があるのだ。

[BCE詐欺にかかる月額コスト]

ターゲットとなるメールアドレス(100件):$20.00
メール送信作業:$25.00
情報を盗み出すマルウェア:$40.00
アンチウイルス機能から守るための暗号化:$25.00
盗んだ情報の受け渡し用のウェブホスティング:$00.36
通信元の偽装のためのVPN:$10.00

セキュリティの業務機器を販売している、Fortinetのブログでは、BCE詐欺にかかる月額コストを算出している。月額120.36ドル、1年でも939.5ドルでBCE詐欺が運用できる。年間10万円前後のコストで、3億円以上の利益を手にすることができるなら、サイバー犯罪者が頑張るのも納得だ。

サイバーセキュリティ集団 スプラウト◎サイバーセキュリティに精通したコンサルタントやリサーチャーで構成される専門家集団。ビジネス向けのセキュリティ診断やコンサルティングのほか、国内外のホワイトハッカーと企業を結ぶバグ報奨金プログラムのクラウドソーシングの運営や、オンラインメディアでの情報配信などを行っている。

Forbes JAPAN

トピックスRSS

ランキング