2019年にも様々なサイバー脅威が登場し、利用者の安全を脅かした。トレンドマイクロでは、過去1年間のサイバー脅威動向調査として、2019年１月～11月に発生したサイバー脅威を分析した。
その結果、利用者に被害を与えた脅威の傾向としては、一般の利用者が持つ「セキュリティの常識」、言い換えれば「これは安全」という利用者側の思い込みを覆すサイバー犯罪の被害が顕著化した1年間であったことが見えてきた。

攻撃手法自体は既に以前から発生しているものであっても、一般の利用者にはまだ認識がない、その攻撃手法が拡大した、などの理由により、利用者にとっての「安全」の思い込みを覆す攻撃の被害が顕著になったものと言える。
本記事では「この常識を覆すサイバー犯罪」の観点から、2019年の日本におけるサイバー脅威動向の速報をお伝えする。

図1：2019年、国内の個人と法人における三大脅威トピック

■「安全」の常識を覆すサイバー犯罪

2019年、個人利用者に最も大きな衝撃を与えた脅威は、二要素認証突破を狙うフィッシング詐欺であったと言える。この攻撃は二要素認証（事業者によっては「二段階認証」などとも呼称）を使用しているから安全、という利用者の常識を覆したものと言えるであろう。トレンドマイクロの監視によれば、特に直接的な金銭利益に繋がるネットバンキングの二要素認証突破を狙うフィッシングサイトの数が9月以降に急増している。

図2：国内ネットバンキングの二要素認証突破を狙うフィッシングサイトのドメイン数推移（トレンドマイクロ調べ）警察庁の公表でも、ネットバンキングにおける不正送金被害は9月以降に急増しており、二要素認証突破型のフィッシング詐欺の影響が大きいものと言える。同様に攻撃対象となるネットバンキングサイト数もいわゆる都市銀行から地方銀行にまで拡大しており、被害もより大きくなることが懸念されている。また、携帯電話事業者のWebサービスやソーシャルメディアに対するものも既に確認されており、ネットバンキングだけが対象ではないことにも注意が必要である。

このようなフィッシング詐欺を筆頭に、利用者を不正サイトへ誘導する手段としては、これまでの電子メールに加え、携帯電話のテキストメッセージ（SMS）の使用が顕著となっている。SMSの送信先は携帯電話機能を持つ端末、つまりスマートフォン利用者を狙った攻撃となる。トレンドマイクロのクラウド型次世代セキュリティ技術基盤であるSmart Protection Network（SPN）の統計によれば、国内で不正サイトへ誘導されるモバイル利用者数が増加傾向にあり、SMS経由の誘導が大きく影響しているものと考えられている。また、これまで通り、人気のサービスや有名企業を偽装するなりすましの手口の横行も進んでいる。電子メールにおいてもSMSにおいても送信者情報は偽装することが可能であり、「知っている企業やサービスから送信されてきたメールやメッセージだから問題はない」という思い込みを利用するのである。

図3：不正サイトへ誘導された国内モバイル利用者数推移（トレンドマイクロSPN）法人においては、

• マルウェア「EMOTET」の本格上陸
• これまで標的型攻撃で見られていたような高度な攻撃手法を使用したランサムウェア攻撃
• 利用者情報を狙うWebサービスやECサイトへの攻撃

などが大きな脅威となったが、中でも、利用者情報を狙うECサイトへの攻撃は常識を覆すものと言える。2018年に施行された改正割賦販売法により、顧客の決済手段として使用されるクレジットカード情報をECサイトに保持することはできなくなった。これにより、ECサイトからのカード情報漏えいはなくなるものと期待されていたが、サイバー犯罪者はこの安全の思い込みを簡単に覆してきた。ECサイトにおけるカード情報非保持化の方法は「JavaScript（トークン）型」と「リダイレクト（リンク）型」の2種があるが、いずれの方法であってもECサイト自体の改ざんにより利用者のカード情報を奪うことが可能である。
サイバー犯罪者はまず、脆弱性、もしくは設定ミスを抱えたECサイトを攻撃し、改ざんをする。この際、「JavaScript（トークン）型」の場合には不正スクリプトを設置し、入力されたカード情報が自分のところに転送されるようにするのである。また、「リダイレクト（リンク）型」の場合には、利用者が決済に進んだ際に決済代行業者のサイトへ遷移させず、自身が用意した偽画面を表示させ、利用者が入力した情報を詐取する。2019年の日本では特に「リダイレクト（リンク）型」のECサイトでの被害が顕著であった。

図4：ECサイトにおけるカード情報比保持化２つの方法特に被害の多いECサイトのシステムに関しては日本サイバー犯罪対策センター（JC3）や経済産業省などが相次いて注意喚起を出す事態になっている。このようなECサイトを狙う攻撃については、カード情報を保持していないから安全、という思い込みが覆されたものと言える。また、一般利用者の目線で考えると「正規サイトだから安全」という認識を覆す攻撃であると言える。

■被害に遭わないためには

個人利用者

個人利用者においては、以下の心がけを常に意識する必要がある。

• 手口を知り騙されないよう意識する
• 本文の内容やメールの送信元を確認し、安易に本文内のURLにアクセスしない
• 普段と異なるタイミングで二要素認証や決済情報などの情報入力を求められた場合、いったん立ち止まってそのサイトのURLが正しいものかを再確認する

人の思い込みを利用して騙す手法が多くなっているため、その騙す手口を知り、早期に気づけるようにすることが１つの対策である。現実社会の振り込め詐欺、特殊詐欺においても手口を知っておけばこれはおかしいとどこかで気づくことができるのと同様です。当然、心がけだけでは防げないこともありますので、不審なメールやメッセージをフィルタリングする、また不正サイトへのアクセスをブロックする技術的対策の利用も欠かせないであろう。また、人を騙す手法に自組織の知名度が悪用された法人においては、自組織とは無関係であることをはっきりと公表し、その騙しの手口を広くに伝えることが望まれる。

法人利用者

ECサイト改ざんの被害原因は、脆弱性と設定ミスのいずれかである。自組織が運営するECサイトで使用しているシステムに脆弱性や設定ミスがないか定期的に確認することが必須である。
中小規模のECサイトでは、サイトの立ち上げ時に脆弱性や設定ミスのチェックを行った後、その後の保守などは契約していないケースも多く、その後に確認された脆弱性や設定ミスがそのまま放置されてしまうということも。このようなことが無いよう、ECサイトを立ち上げる際にはその後の定期的な保守まで勘案しておくことが必要となっている。

また、ECサイトに不正なアクセスやシステム変更がないか、セキュリティ製品を導入して監視し、早期に不審に気づける体制を持つことも被害を軽減する手段となる。ECサイト改ざんの事例においては、そのほとんどにおいて外部からの指摘により初めて被害に気づいていることが多いのです。

ECサイトの改ざんからのカード情報漏えいの事例に関しては、攻撃自体はECサイトに来るものですが、カードの不正利用など直接の被害はそのECサイトを利用する顧客が受けることになります。自社の顧客を保護するという観点からも十分なセキュリティを構築する責任が運営組織にはあるでしょう。

---

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース：https://blog.trendmicro.co.jp/archives/23409