企業や個人を狙うセキュリティ犯罪が急増。2020年はコロナ関連でさらに増える可能性も

HARBOR BUSINESS Online / 2020年9月16日 15時31分

写真

shutterstock

◆IPA 情報セキュリティ白書2020が発表された

 IPA(独立行政法人情報処理推進機構)の『情報セキュリティ白書2020』が9月の上旬に出た。2008年から毎年発行されている本で、その時期のセキュリティの国内外のトラブルの事例が多く掲載されている。

 同書で扱っている時期は2019年度。コロナ禍以降のIT世界の変化については、その多くは来年の情報セキュリティ白書に掲載されるだろう。あくまで前年度の情報という点は留意する必要がある。

 『情報セキュリティ白書2020』は印刷書籍版もあるがPDF版もある。PDF版は、アンケートに答えると入手できる。全体版と章別版があり、章別版を利用すると、自分が興味のある場所だけを読みやすい。

 章別版の第1章は個人を対象とした内容が多い。第2章は政策や企業レベルでの国内外の話が中心だ。第3章は情報システムやIoT、クラウドなど産業的な内容と、青少年を取り巻くネット環境を扱っている。

 第1章には、身近な事例が豊富に掲載されているので、この章を中心に、最近のセキュリティ犯罪の手口を見ていこう。

◆個人が狙われるさまざまな事例

 まず、最初に書いてあるのが、フィッシング詐欺とビジネスメール詐欺だ。phishingと書くフィッシング詐欺は、偽の電子メールやウェブサイトで、個人情報を入手する詐欺だ。ビジネスメール詐欺は、メールのなりすましなどにより、狙った企業などを騙す手口だ。

 不特定多数か、狙った相手かの違いはあるが、メールなどの手段で個人情報や金銭を狙うという意味では、似た手法だと言える。もう1つ、マルウェア Emotet による、ばらまき型メールの攻撃についても多くのページが割かれている。

 以降、ビジネスメール詐欺から内容を見ていく。

【ビジネスメール詐欺】

 ビジネスメール詐欺の対象は企業だ。そのため、個人を狙うフィッシング詐欺よりも被害金額が大きくなりやすい。犯罪者にとっては、成功したときの金額が大きいので、旨味のある攻撃だ。白書には、企業内のメールを装ったり、企業間のメールを盗み見て詐欺を働くといった事例が掲載されている。

 企業内のメールを装う方法としては、CEO や経営幹部になりすまし、送金権限を持つ財務や経理の担当者に指示を送るものが報告されている。この手の詐欺は「CEO 詐欺」と呼ばれる。見るからに怪しい内容でも、一定の確率で騙されるので油断してはいけない。

 企業間を狙う方法としては、新規取引先の見積書の、価格修正を装う攻撃がある。偽の口座を書いた見積書を「価格の修正」と称して送り付ける詐欺だ。

 偽の口座に振り込ませる手口は、いくつかのパターンがある。請求書や見積書に誤りや修正があったと連絡する方法。銀行口座が国の監査を受けている、為替レートの問題がある、クレジットカードの支払いができなかったなど、通常とは異なる振り込み方法を要求する方法。秘密の案件などを理由に、送金を求める方法などである。

 この中では、請求書や見積書についてのものが見破りにくいだろう。適切なタイミングでこうしたメールを送るには、メールの盗聴が不可欠だ。詐欺の瞬間だけでなく、事前の盗聴を防ぐなど、日頃からの防御が必要になる。

 ビジネスメール詐欺の対策としては、送金処理のチェック体制強化がある。通常とは違う連絡を受けた際、別の担当者とダブルチェックをする。また、ネット以外での連絡確認をする。そうしたチェック体制を日頃から作っておかなければならない。

 また、ビジネスメール詐欺ではないが、ランサムウェアの動向にも触れられている。ランサムウェアとは、マルウェアで暗号化したデータの身の代金を要求する手法だ。2019年度は、工場の制御システムや、自治体の電話回線、金融システムなど、大金が得られそうな相手を狙うケースが目立っていた。ビジネスメールと同様に、大きな金額を狙う犯罪が増えているのだろう。

◆急増するマルウェア「Emotet」って何?

 マルウェア Emotet が急増している。2019年11月の注意喚起以降、衰えることなく続いている。Emotet は、不審メールに添付されたWord文書ファイルをWordで開き、「コンテンツの有効化」をクリックすることで感染する。そのため、添付ファイルには特に注意しなければならない。

 アイコンの偽装、RLO(Rightto-Left Override)等による拡張子の偽装、ショートカット(LNK)ファイルの悪用、Microsoft Office の脆弱性・マクロ機能・OLE(Object Linking and Embedding)オブジェクトの悪用などが掲載されている。

 Rightto-Left Override は、少し説明が必要だろう。アラビア語のように、左右が逆の言語向けの制御文字を利用して、文字列の向きを逆転させる方法だ。「報告書20200909ac(制御文字)dfp.100.exe」のようなファイル名を、「報告書20200909acexe.001.pdf」のように見せられる。拡張子を見て大丈夫だと思っても、逆向きに表示されているため油断できない。アイコン偽装と組み合わせると見破るのは困難だ。

 Emotet による、ばらまき型メールの攻撃は巧妙だ。過去にやり取りした相手のメールを流用して、その返信を装うメールが確認されている。知っている人からの返信だと思ったら、マルウェアによる攻撃だったということがあるわけだ。

 注意が必要だと感じたのは、正規のオンラインストレージサービスの悪用だ。ネットにファイルを保存して、他人にリンク先を送るオンラインストレージサービスは多い。こうしたサービスを悪用し、受信者自身にウイルスをダウンロードさせる事例も確認されている。そのため、添付ファイルでなくても注意しなければならない。

◆個人をターゲットにした騙しの手口

 個人を対象とした詐欺の手法も掲載されている。「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました」という宅配便の不在通知を装うSMSから、偽サイトに誘導する手口がある。SMSを利用するものとしては、送信元を偽装して携帯通信会社や金融機関を装うものもある。

 また、Webカメラで撮影したなどと告げ、あなたの性的な映像をばらまく、と仮想通貨を要求する脅迫メールも出回っている。パソコンのWebブラウザで「ウイルスに感染しています」と偽の警告画面を出す詐欺も、被害があとを絶たない。

 フィッシングによる被害は、Eコマースを狙ったものが急増している。私自身もスパムメールの内容を日々ウォッチしているのだが、このところAmazonや楽天を騙ったスパムメールが激増している。メールの送信元偽装をおこなっているところも多いので注意が必要だ。

 白書によると、フィッシングの手口が巧妙化しており、フィッシングサイトを手軽に作成・運用するツールも出回っているそうだ。

 2020年に入ってからは、新型コロナの流行に便乗した攻撃メールも増えている。テレワークの急増により、個人宅や個人端末というセキュリティが低い場所への対策も必要になるだろう。

◆2019年度の情報セキュリティの概要

 最後に、序章にある「2019年度の情報セキュリティの概要」というページを見る。2019年度に起きた、大きな事件についてまとめられている。それぞれ企業名は伏せられているが、調べればすぐに分かるものばかりだ。

 IPAが、大きな事件として取り上げたものは、記憶に残っているものも多い。それらを振り返り、2019年度のセキュリティ事案をたどってみよう。前半は情報漏洩の話が多い。後半はビジネスメール詐欺やフィッシング、マルウェアなど、犯罪者による攻撃が多数登場している。

● 2019年5月 ECサイトのアカウント46万1,000 件に不正アクセス

 ユニクロ、ジーユー(ファーストリテイリング)の事件。氏名、住所、電話番号など以外に、クレジットカード情報の一部も閲覧された可能性がある(参照:ネットショップ担当者フォーラム)。

● 2019年5月 アンケートモニターサービスの登録アカウント77万74件に不正アクセス

 アンとケイト(マーケティングアプリケーションズ)の事件。氏名、住所、電話番号、個人年収、世帯年収、口座番号、口座名義など、細かな情報が流出した懸念があるそうだ。こうした情報が登録されているのは、アンケートサービスのためだろう(参照:サイバーセキュリティ.com)。

● 2019年7月 米国の大手金融会社のクラウドから大量の個人情報漏えい

 Capital Oneの事件。1億600万人分の個人情報が不正アクセスを受けて流出していたと発表された。逮捕されたのは、アマゾンでクラウドサービスを担当するエンジニアとして勤務していたことのある女性だった(参照:朝日新聞デジタル)。

● 2019年7月 福岡県警察、警視庁等、海賊版サイト運営者らを著作権法違反で検挙

 いわゆる漫画村の件だ。漫画村は、最盛期は日本では連日大きく取り上げられた。漫画村は2016年1月に開設なので、逮捕まで3年半掛かったことになる(参照:朝日新聞デジタル)。

● 2019年8月 スマホ決済サービスが不正アクセス被害を受けサービス廃止を発表

 7payの事件だ。大きなセキュリティ事案だったため、鮮烈に印象に残っている(参照:Engadget 日本版)。来年は、ドコモ口座が掲載されるのは確実だろう。

● 2019年8月 就職情報サイト運営会社が「内定辞退率」データを販売

 リクナビによる個人情報販売事件。通常の企業による個人情報流出とは違い、当該企業が個人情報を販売していたということで注目を浴びた(参照:ITmedia NEWS)。

● 2019年8月 クラウドプラットフォームサービス大手が大規模障害で多数のサービスに影響

 AWS(アマゾン・ウェブ・サービス)の障害だ。AWSを利用している多くのサービスが停止したり、トラブルが起きた。多くの企業の活動が、少数のクラウド企業の上に乗っているため、一度障害が起きると広範囲に影響が起きる例だ(参照:日本経済新聞)。

● 2019年9月 エクアドル国民約2,000万人分の個人情報流出

 南米エクアドルの全国民の個人情報が流出した事件。流出したデータには、名前や個人識別番号、銀行口座残高が含まれる。デジタル化が進めば、いつかは起きる事件だといえる(参照:日本経済新聞)。

● 2019年9月 大手新聞社米子会社、香港に32億円流出の詐欺被害

 ビジネスメール詐欺により、日経新聞の米子会社が32億円の被害を受けた事件(参照:日本経済新聞)。新型コロナ以降、ビジネスの取り引きや関係が大きく変わっているので、こうした詐欺は横行しやすい。注意が必要だ。

● 2019年10月 フィッシングの月間報告が8,000件を超え過去最多に

 フィッシング対策協議会から発表された情報によると、2018年11月にあ1652件だったフィッシング宝庫校は2019年10月に8034件になり、8000件を超えた(参照:フィッシング対策協議会)。

● 2019年11月 JPCERT/CC、Emotetの感染に関する注意喚起

 マルウエア Emotet が猛威を振るっているという件だ(参照:JPCERT)。また、2019年12月には「日本へのEmotet のばらまき型メールによる攻撃急増」が、同概況のリストに入っている。

● 2019年12月 情報機器リユース会社において廃棄予定HDDの流出発覚

 神奈川県庁で利用されていたHDDの転売による個人情報漏洩事件。データをどう廃棄すればよいか、様々な場所で議論がおこなわれた。目に見えないように感じる情報も、何かに記録されており、物理媒体に紐付いている。こうした事件が起きると、そのことに気づかされる(参照:朝日新聞デジタル)。

● 2019年12月 自治体向けクラウドにおけるシステム障害でサービス停止等の影響

 日本電子計算が提供する自治体向けサービス「Jip-Base」でシステム障害が起きた件。53自治体で被害が出た(参照:INTERNET Watch)。

● 2020年1月 国内防衛関連企業が不正アクセスによる情報流出を公表

 三菱電機へのサイバー攻撃事件。事件自体は前年から進行していた。調査の結果、1月に不正アクセスの公表となった。流出した情報は、個人情報だけでなく、防衛・電力・鉄道などの社会インフラに関するものだった。(参照:Yahoo!ニュース)。

● 2020年2月 新型コロナウイルスに関連した内容のSMSからフィッシングサイトに誘導する手口発生

 今も増え続けているだろうなと思う詐欺である。社会の混乱期には嘘やデマが大幅に増える。普段なら引っ掛からないような詐欺にも、気づかずに引っ掛かる。また、今年最大の話題のため多くの人々が関心を寄せている。そうした話題はサイバー犯罪に悪用されやすい。継続して注意が必要な手口だ(参照:トレンドマイクロ)。

<文/柳井政和>

【柳井政和】

やない まさかず。クロノス・クラウン合同会社の代表社員。ゲームやアプリの開発、プログラミング系技術書や記事、マンガの執筆をおこなう。2001年オンラインソフト大賞に入賞した『めもりーくりーなー』は、累計500万ダウンロード以上。2016年、第23回松本清張賞応募作『バックドア』が最終候補となり、改題した『裏切りのプログラム ハッカー探偵 鹿敷堂桂馬』にて文藝春秋から小説家デビュー。近著は新潮社『レトロゲームファクトリー』。2019年12月に Nintendo Switch で、個人で開発した『Little Bit War(リトルビットウォー)』を出した。

この記事に関連するニュース

トピックスRSS

ランキング