2018年「法人」を狙うセキュリティ三大脅威にみる今後の対策
トレンドマイクロによれば、2018年1月~11月に発生したサイバー脅威から、2018年の脅威動向を分析。法人利用者を狙う脅威としては、以下の3つが大きな脅威と考えている。
図:2018年国内の法人における三大脅威
攻撃が拡大・多様化する裏で、以前に漏えいした情報はまた別の攻撃に利用され新たな被害を招く、言わば「被害の再生産」の構図が明らかになってきたといえるが、取引所からの仮想通貨流出は除き、一般企業でも起こりうる「止まらない情報漏えい被害と漏えい情報を使用した攻撃」「ビジネスメール詐欺」から今後のセキュリティ上の課題を考える。
この記事の目次
国内における法人組織からの情報漏えい被害状況
2018年には日本だけでなく、世界的にも法人組織からの大規模な情報漏えいが相次いだ。2018年1~10月の間に国内で公表された情報漏えい事例の情報を整理したところ、外部からの攻撃により日本国内の法人組織から1万件以上の情報が漏えいしたとされる事例は14件を数えた。この14件の中には1件あたり最大で57万件、14件の合計では約215万件の情報が漏えい、もしくは漏えいの可能性があると公表されている。また、このような国内法人の被害以外にも、海外法人の管理するシステムの侵害により、日本企業の情報が漏えいした事例も複数わかっている。
一例として、6月に発生した海外企業が運営する宿泊予約サイトからの情報漏えい事例では、国内400か所以上の宿泊施設に関連する利用者の情報が合わせて32万件以上漏えいしたことが報じられている。
そして、情報漏えいの事例はこのような大規模なものだけではない。被害件数が1万件未満、もしくは不明や未公表となっている公表事例も合わせると、10か月間で62件の情報漏えい事例が国内で明るみになっている。平均すれば、2018年においては毎週1.4件の情報漏えい事例が公表されていた計算になる。
これら62件の事例を外部からの攻撃種別で分類すると、公開サーバへの攻撃が53.2%と半数以上を占め、続いて不正アクセスによる組織内ネットワークの侵害が16.2%、Webサービスへの不正ログインが14.5%、従業員へのフィッシング攻撃が12.9%となっていた。
図:外部からの攻撃による法人組織からの情報漏えい事例62件における攻撃種別の割合
但し、このように公表、報道される情報漏えい事例はあくまでも一部であり、現時点では明るみになっていない、もしくは明るみにならないままの被害も相当数あるものと考えられる。例として、2018年10月に公表されたGoogleの情報漏えい事例は、実際には3月の時点で把握されていたものの、公表まで7か月経過していた。また国内のクレジットカード関連の情報漏えい被害に関しては、指定調査機関による詳細調査が終わるまで公表を控える傾向にあり、実際の被害把握から数か月後に公表されることが多い。また、そもそも被害の発生自体に気づいていない、把握されていない事例も存在することであろう。2018年9月に公表されたFacebookの情報漏えい事例では、被害の原因となったシステムの脆弱性は既に2017年から存在していたためFacebook側でもいつごろから攻撃が開始されていたかの確証が無く、確認された被害以前に既に攻撃を受けていた可能性も示唆されている。これらの事例が示すように、いつどこでどのような情報が漏えいしたかすべては把握しきれないのが現実の状況である。
一時に留まらない情報漏えいの影響
このように国内でも法人組織からの情報漏えい被害が常態化してしまっている一方で、過去に漏えいした情報が集積され何度も「再利用」されている状況も明らかになっている。代表的な例として9月には、国内の有名企業や中央省庁のメールアドレスとパスワードのリスト16億件がネット上に流出しているとの報道があった。この報道では流出している16億件のパスワード情報はほとんどが過去に漏えいした情報を寄せ集めたものであるとされている。このような報道から、過去に漏えいした情報は集約され、サイバー犯罪者に使用され続けている可能性が読み取れる。サイバー犯罪者は、スパムメールの送信先、不正ログインの際のアカウントリスト攻撃や辞書攻撃の元情報として過去に漏えいしたメールアカウントやパスワードの情報を使用しているものと推測される。
過去の漏えい情報を使用したとみられる手口の例として、国内では2018年10月以降に確認されている「セクストーション」スパム攻撃では、件名や本文内に受信者が使用したことのあるパスワードが記載されており、本当にハッキングを受けていると誤解させる手口になっていた。これは過去に漏えいしていたメールアドレスとパスワードの情報を利用し、パスワードがわかっているメールアドレスに対してそのパスワードを記載する手口と推測されている。
「漏えい情報を使用する攻撃」を踏まえたセキュリティ:
2018年の国内における情報漏えい事例からは、法人組織が管理する情報を狙う攻撃による情報漏えいの被害が常態化してしまっている実態が読み取れる。また、広く公表された被害だけでなく、表面化していない被害も存在しており、法人においても個人においても利用者自身の認証情報が自分の知らないうちに漏れている可能性を常に意識しなければならなくなっている。
そしてこのような情報漏えいはその場の被害のみに留まらない。一度漏えいした情報は集約され、広く一般を狙う攻撃から特定の法人組織を狙う攻撃まで、新たな攻撃に再利用され続ける構図が読み取れる。
故にすべての法人組織は、自組織が保持する情報を守ると同時に、他者から漏れた情報を標的型メールや不正ログインを発端とする攻撃のリスクを認識しなければならない。また一度漏れたパスワードそのものだけでなく、類似するパスワードが推測されて破られるリスクまでを考え合わせると、既にパスワードのみで認証を行う方法はセキュリティの担保として限界に達しているのではないだろうか。
少なくともインターネットからアクセス可能な範囲における認証に対しては、二要素・二段階の認証の利用と共に不正なログイン試行の活動を監視する対策が必須といっても過言ではない状況である。
日本語化、CEO詐欺、国内を狙うビジネスメール詐欺で新たな傾向
法人を対象としたメール経由の詐欺手口であるビジネスメール詐欺(BEC)では、2018年に入り国内での新たな動向が2例確認されている。2018年までに国内で報じられたビジネスメール詐欺事例としては、大手航空会社が3億8000万円の被害を受けた2017年12月の事例が代表的であるが、この大手航空会社の事例をはじめ、これまで国内で明るみになったビジネスメール詐欺の被害に関しては海外の取引先になりすます手口が主となっており、詐欺メール自体としては英文のもののみを確認していた。
しかしながら、トレンドマイクロによれば、2018年7月に初めて日本語を使用した詐欺メールが複数の企業で受信されていたことを確認したという。またトレンドマイクロが確認したものと同内容の日本語の詐欺メールに関しては、独立行政法人情報処理推進機構(IPA)も8月27日に注意喚起を公開しており、複数の日本企業を狙った日本語によるBECのキャンペーンが行われていたことは確かといえよう。
幸いなことにこの詐欺メールでは日本語の精度が低く、このメールによるものとされる被害は報告されていない。しかしながら、今後はサイバー犯罪者側も日本語の精度を上げてくることが予想されるため、注意が必要である。
図:2018年7月に初確認された日本語を使用したビジネスメール詐欺の例
続いて9月には、海外有名ファッションブランドの日本法人が3億円のビジネスメール詐欺被害に遭っていたことが報じられた。この事例では日本法人の社長が、海外本社の経理部長になりすました偽の送金指示に従った結果、被害に遭ったものとされている。本事案はこれまで国内で確認されていた取引先なりすましの手口とは異なり、組織の中でより上位の系統からの指示を偽装する「CEO詐欺」の手口による被害と言える。
このように国内のビジネスメール詐欺事例で、これまでとは異なる傾向が続けて確認されていることは、ビジネスメール詐欺を行うサイバー犯罪者が自身の攻撃を成功させるため、様々な変化を施してきていることを示している。これまで海外企業との取引のない国内企業にとっては、ビジネスメール詐欺はあまり「自分事」ではなかったかもしれないが、日本語を使用した詐欺メールの初確認に加え、国内でのCEO詐欺手口の被害が確認された今、他人事ではなく、自社内のメールやり取りにおいてもビジネスメール詐欺に注意しなければならなくなったと言えよう。
「法人を狙う脅威」を踏まえた対策の考え:
標的型メールでは、受信者の業身に直結した内容の件名と本文など巧妙な手口が使われている。これは、標的企業に関するインターネット上の公開情報や過去に漏えいした情報などを徹底的に調べ上げた上での攻撃と推測される。また、添付のマルウェアも既存のウイルス検出機能では未対応であることを確認した上で使用されることが常套手段となっており、単一の技術による防御だけではすり抜ける可能性も高い。
これらのことから、複数のレイヤーで複数の対策技術によって守る、多層防御の考え方が必須となってきている。特に「侵入を前提とした対策」として、自組織のネットワーク上での不審な活動の存在に早期に気づくためのネットワーク監視の重要性は増加している。さらに加えて早期に可視化した脅威の存在を特定するため、端末上での挙動監視も重要となる。
ビジネスメール詐欺のような「人を騙す」攻撃に対しては手口を知り騙されないようにすることが1つの対策であるが、当然サイバー犯罪者側も手口を変化させてくる。2018年には詐欺メールの日本語化やCEO詐欺手口による被害といった新たな傾向が国内で確認されている。世界的には、インターネット上で入手できる標的企業の情報や過去に漏えいした情報から標的企業のCEOや会計担当者を特定して攻撃を仕掛けてくる、簡便な手口も目立ってきていいるという。
このような手口の変化を把握し、対策を更新していく対応が重要となっていく。
本レポートは、トレンドマイクロ セキュリティブログの内容を元に作成しております。
データ出展:トレンドマイクロ セキュリティブログ
https://blog.trendmicro.co.jp/