「ネットセキュリティニュース」執筆グループが選んだ2011年のセキュリティ関連10大ニュースをお届けする。東日本大震災や原発事故ではインターネット情報が重要な役割を果たしたが、便乗デマや詐欺も横行し、ネットの自浄力やデマ検証力が問われた。国内大手銀行をかたる新しい手口のフィッシングが頻発して高額な被害が発生し、国際企業を標的にするハッカー集団の熾烈な攻撃も起きた。不正アクセスによるクレジットカード情報の流出や不正ログインが相次ぎ、パスワード使いまわしの弊害が改めて指摘された。また、海外からのサイバースパイが国の中枢から情報を詐取していることが明らかになり、個人ならぬ国の無防備さが露呈した年でもあった。
【1】震災に便乗したネットの脅威~デマ、詐欺、便乗商法、標的型攻撃
【2】国内大手銀行をかたるフィッシングメール多発、高額被害も発生
【3】偽セキュリティソフト猛威~Macもターゲットに
【4】成果を晒すハッカー集団たち~国内企業の被害相次ぐ
【5】国内企業のWebサイトから大規模な情報流出相次ぐ
【6】不正アクセス:クレジットカード情報の流出が続発、不正使用も発生
【7】不正アクセス:相次ぐ不正ログイン、パスワードの使いまわしは厳禁
【8】詐欺団摘発で、Yahoo! JAPANのフィッシングが3か月間ゼロに
【9】標的型攻撃の被害状況明らかに~全衆院議員のメール盗み見
【10】「Yahoo!知恵袋」利用しカンニング、受験会場から携帯電話で
【1】震災に便乗したネットの脅威~デマ、詐欺、便乗商法、標的型攻撃
東日本大震災の発生後、有害物質を含む雨が降るなどといったデマ情報がチェーンメール、ツイートなどで拡散し、官房長官や総務省が注意を呼びかけた。ネット掲示板を使い義援金の名目で現金をだまし取ろうと企てる者も現れ、複数の逮捕者が出ている。海外では震災に便乗したフィッシングサイトが出現。日本赤十字社をかたる詐欺サイトも現れた。消費者の不安につけ込む便乗商法も横行。浄水器や健康食品について、根拠なく「放射性物質完全除去」「放射能を体外に排出」などとうたっていたネット通販事業者もあった。また震災後、「地震情報」「被ばくに関する知識」など、震災や原発事故に関連した情報の提供を装った標的型メールが、民間企業等に合計500件以上送付されていたことも分かっている。
・チェーンメールを受け取った際は、転送は止めてください!(総務省)
http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu01_000096.html
・標的型メール攻撃事案の把握状況について(警察庁)
http://www.npa.go.jp/keibi/biki5/hyotekigata.pdf
【2】国内大手銀行をかたるフィッシングメール多発、高額被害も発生
6月下旬以降、国内の金融機関をかたる不審メールが出回り、ネットバンキング利用者のログインアカウントやパスワード、口座番号などが漏えいし、振り込み被害が発生していることが判明した。7月から12月にかけて、複数の大手銀行が「顧客情報を入力させようとする不審メールに注意」するようWebサイトのトップページで呼びかけ、繰り返し更新を行っている。これら大手銀行の名をかたってばら撒かれている偽メールは、セキュリティ強化やフィッシング対策のためなどもっともらしい理由を述べ、ネットバンキング取引に必要な情報の入力を促している。
新しい手口として注目されるのが、誘導先の偽サイトまたは添付ファイル(EXE)で「乱数表」を示し、入力させようとする方法だ。契約者番号やパスワードだけでなく、乱数表の数字まで丸ごと詐取されると、攻撃者は勝手にネットバンキングを操作して不正送金することが可能になる。警察庁の発表資料によると、今年3月末から11月24日までの期間、この手口を使って2つの金融機関の24口座から約2000万円が不正送金されている。ちなみに、何らかの方法でパソコンに不正プログラムを送り込み、ID/パスワードを取得して不正送金された同期間の金額は、54金融機関の136口座から約2億8200万円で、これら不正送金の総額は約3億円にのぼる。
・今月の呼びかけ:ウイルスを使った新しいフィッシング詐欺に注意!(IPA)
http://www.ipa.go.jp/security/txt/2011/10outline.html
・インターネットバンキングに係る不正アクセス禁止法違反等事件の発生状況等につい て[PDF](警察庁)
http://www.npa.go.jp/cyber/warning/h23/111215_1.pdf
セキュリティソフトを装い、偽の感染情報を表示して、駆除のためと称して有料版のライセンス購入を迫る、いわゆる偽セキュリティソフトが今年も猛威をふるった。偽セキュリティソフトは、ユーザーをだますと報酬が得られるアフィリエイト方式で闇社会に広まっている。攻撃者たちは、メール、ブログ、SNS、検索結果、広告など、様々な手口を使ってユーザーを陥れようとする。なかでも、国内で多くの被害を出すのが、改ざんされた正規サイト経由で脆弱性攻撃を受け、勝手にインストールされてしまう、ドライブバイダウンロード攻撃によるもの。そんな偽セキュリティソフトのひとつ「MS Removal Tool」をとり上げた3月の記事は、本通信で今年最もアクセス数の多かった記事だ。
もっぱらWindowsユーザーが標的となっていた偽セキュリティソフトだが、4月末には新たにMac版が用意され、使用しているOSに応じた攻撃を展開。インストールしてしまったMacユーザーが続出した。
・偽セキュリティソフトにご用心、「MS Removal Tool」の感染被害続出(ネットセキュリティニュース:2011/03/30)
国産ゲーム機のプロテクトを解除したハッカーが提訴された問題にからみ、4月にハッカー集団のひとつが、同社への報復を宣言。関連サイトへのDDoS攻撃を始めた。そんな中で、同社の関連サイトから計1億を超える個人情報の流出が発覚。世界中の注目を集め、これを機に同社の関連サイトは海外の複数のハッカー集団から集中砲火を浴びることとなった。失墜を狙ったとみられる一連の攻撃は、同社のみならずいろいろな企業や機関にも及び、個人情報などが窃取されたサイトも多い。
金銭目的の攻撃では、隠密裏に動き、盗んだ情報を密かに悪用する。ところが彼らの場合には、予告や声明を出すなど、犯行を積極的にアピール。攻撃成功の証として、窃取した情報をネット上に暴露してしまうこともしばしばあった。暴露された情報の中には、クレジットカード情報こそなかったが、メールアドレスやパスワードを含む個人情報は多数あり、被害を受けた国内企業関連のものだけでも、数万人分の個人情報が晒された。
【5】国内企業のWebサイトから大規模な情報流出相次ぐ
国内の企業のWebサイトが不正アクセスを受け、個人情報やクレジットカード情報などが流出する事件が相次いだ。公表された国内企業関連の事件数は、前年の約2倍。1千万件を超える、これまでにない大規模な流出が複数あったため、流出総数は前年の約16倍に膨れ上がった。
100万件を超える主な大規模流出は、自動車メーカーの米国サイトで490万件(前年12月発表)、ゲームなどを配信する米国サイトで7700万件(4月発表)、同社系列の別の米国サイトで2460万件(5月発表)、欧州のゲームサイトで129万件(6月発表)、韓国のゲームサイトで1320万件(11月発表)。被害は、ワールドワイドな事業を展開している企業の海外サイトに集中しており、日本国内のサイトでは、通販サイトの閉鎖した旧サイトから流出した100万件(6月発表)が最多だ。
【6】不正アクセス:クレジットカード情報の流出が続発、不正使用も発生
不正アクセスによるクレジットカード情報流出事件が2011年も相次いだ。カード会社や顧客から不正利用の連絡を受け、あわてて調査を行ったところ流出が判明したというケースが多い。アイドルDVDなどを扱うショップからは、1万6300件のカード情報が流出(1月公表)。数千件規模の流出も複数発生した。インテリアのネットショップからは7300件(5月公表)、決済代行を行う業者からは5500件(4月公表)、釣り具のネットショップからは最大で3300件(3月公表)、食料品のネットショップからは3200件(5月公表)、ヘアケア関連のサイトからは2200件(1月公表)が流出している。カードの利用明細には必ず目を通し、身に覚えのない請求がないか確認しよう。
【7】不正アクセス:相次ぐ不正ログイン、パスワードの使いまわしは厳禁
何らかの方法でだれかのIDとパスワードを入手し、サービスにログインして悪事をはたらくという「なりすまし」の事例も目に付いた。5月には大量のユーザーを抱える会員制インターネットサービスをめぐり、「不正にログインされてサービスの利用を停止された」という書き込みがネット上で相次ぎ、サービス提供者が自社からの情報漏えいを否定する事態となった。このほか、ポイントの不正使用も複数発生している。IDやパスワードはどこから漏れるかわからない。パスワードを複数サービスで使いまわすと、そのうち一つのサービスでパスワードが漏えいした場合、他のサービスも不正に利用されてしまうおそれがある。絶対に避けよう。情報処理推進機構(IPA)の下記資料も参考にしていただきたい。
・今月の呼びかけ:インターネットサービスの不正利用がないか確認を(IPA)
http://www.ipa.go.jp/security/txt/2011/12outline.html#5
【8】詐欺団摘発で、Yahoo! JAPANのフィッシングが3か月間ゼロに
Yahoo! JAPANをかたるフィッシングを仕掛けていた詐欺グループが6月に摘発された。このグループは、「ユーザーアカウント継続手続き」と称して偽サイトに誘導する手口でクレジットカード情報をだまし取り、電子マネーなどで商品を購入する詐欺などを行っていた。アカウント情報の詐取に始まったYahoo! JAPANをかたるフィッシングは、やがてカード情報の詐取がメインとなり、2009年以降は大規模な攻撃が頻発するようになった。警察の摘発が続くも、複数のグループが入れ替わり立ち替わり攻撃を続け、2年余りにわたって攻撃が絶えることはなかった。これが、6月の摘発を境に完全に停止。約3か月間、安堵の日々が続いた。残念ながら、これで一掃とはならなかったようで、9月末には残党による攻撃が再開。以後ほぼ毎週、週末を狙ったフィッシングが繰り返されている。
・気をつけよう! フィッシングメールQ&A(Yahoo!セキュリティセンター)
http://security.yahoo.co.jp/qa/
【9】標的型攻撃の被害状況明らかに~全衆院議員のメール盗み見
「標的型攻撃メール」は、ターゲットとする企業や官公庁などに、仕事上重要と思わせるタイトルや本文で送りつけられる。クリックによりパソコンをウイルス感染させ、システムに侵入して情報を詐取し、バックドアを開いて外部へ送信しようとする。今年はこのサイバースパイ型攻撃が国の中枢を脅かしていることが明らかになり、深刻な国防論議が巻き起こった。9月、防衛・原発関連産業に対して標的型攻撃が行われ、ウイルス感染が起きていたことが明らかになった。10~11月には、衆参両議院のサーバーや議員の公用パソコン、在外公館の公務用パソコンがウイルス感染していたことがわかった。
衆議院は全議員と秘書の公務用パソコンのIDとパスワード計2676件が流出し、約2週間にわたって全員分のメールが盗み見された可能性があるという。参議院も全議員・秘書と管理者用の7百数十件のアカウント情報が詐取され、パソコン内部の情報が流出した可能性があるという。官公庁にも同様の標的型メールが多数届いており、総務省は職員のパソコンが感染して情報が外部へ送信されたことを明らかにした。こうした事態を受け、政府は企業と攻撃情報を共有する組織作りを開始した。経済産業省は官民の連絡会議を発足させ、警察庁も企業との間でサイバー攻撃の情報を共有するネットワークを設置した。衆参両議院も情報共有や情報管理体制の強化を進めていく方針だ。
・組織の重要情報の窃取を目的としたサイバー攻撃に関する注意喚起(IPA)
http://www.ipa.go.jp/about/press/20110920.html
・『標的型攻撃メールの分析』に関するレポート[PDF](IPA)
http://www.ipa.go.jp/about/technicalwatch/pdf/111003report.pdf
・脅威を増す標的型のサイバー攻撃に関する注意喚起(IPA)
http://www.ipa.go.jp/security/topics/alert20111018.html
【10】「Yahoo!知恵袋」利用しカンニング、受験会場から携帯電話で
2月26日、京都大学入試の試験時間中に、質問投稿サイト「Yahoo!知恵袋」に入試問題が投稿され、回答を得ていたことが発覚した。投稿は携帯電話を使い、ハンドルネーム「aicezuki」でなされており、京大のほか立教大、同志社大、早稲田大の入試問題も投稿されていたことがわかった。得られた回答には間違いや試験時間外のものもあるが、試験時間内に正答を得たものも多かった。私大3校はすでに合格発表を終えていたが、受験のピーク時に対応に追われた京都大は「入試業務に著しく支障をきたした」ことが偽計業務妨害罪にあたるとして、被害届を3月3日に提出。受験生は同日、仙台市で逮捕された。逮捕の決め手となったのは、投稿時のIPアドレスと携帯電話の個体識別番号だ。
早大と立教大は逮捕翌日に被害届を提出し(早大は後日取り下げ)、同志社大は8日、被害届を提出しないことを明らかにした。ネットでは、マスコミの報道姿勢や大学の対応、警察による逮捕が妥当だったか否か等、議論が百出した。受験生は家裁送致後、不処分となっている。京都大は来年度入試に向けた学生募集要項に「不正行為等への取り扱い」項目を入れ、試験時間中に携帯電話等電子機器を使用するなどの不正行為があればその場で失格となること等を明記した。同大がこのような項目を入れるのは開校以来初めてという。
(構成/文:現代フォーラム「ネットセキュリティニュース」執筆グループ)