進化した不正送金ウイルスが猛威をふるい、銀行やゲームを狙うフィッシングが横行、不正ログインの大規模被害も多発しました。これらサイバー犯罪のインフラだった中華系中継サーバー業者の一斉摘発、内部犯行による大量の個人情報漏えい、iCloudからのプライベート画像流出、LINEのっとり詐欺も、今年の印象深い出来事です。
<INDEX>
【1】サイバー犯罪のインフラ「中華系中継サーバー」業者が一斉摘発
【2】不正送金ウイルスが進化し猛威、地銀・法人の被害急増
【3】銀行、ゲーム、メールアカウント狙うフィッシングが横行
【4】不正ログイン(パスワードリスト攻撃)多発、パスワード管理が課題に
【5】「LINE」のっとりで電子マネー購入詐欺、「Skype」でも同手口
【6】個人情報大量漏えい~ベネッセから2895万件、JALは最大74万件
【7】iCloudから海外有名人のプライベート画像が大量流出
【8】アプリや連携機能で「無断投稿被害」多発
【9】家庭用ルーターがDDoS攻撃の踏み台に~適切設定が必要
【10】SNSなどコミュニティサイトのトラブル増加止まらず
<以下本文>
【1】サイバー犯罪のインフラ「中華系中継サーバー」業者が一斉摘発
日本国内に設置した中継サーバーを使い、中国からの通信を日本国内に中継するサービスを提供していた業者8社が、2014年11月、20都道府県警によって一斉摘発された。業者の中には、一般ユーザーから盗み取ったプロバイダの接続アカウントを使用して、中継サーバーをインターネットに接続していたところもあったようだ。
摘発された業者の中継サーバーを利用すると、接続元が隠ぺいされ、中国からの通信が日本国内からの通信に見えるようになる。この特性がサイバー犯罪のインフラとして重宝がられ、国内で起きた中国人が関与していると見られるさまざまなサイバー犯罪に、東京や埼玉などの各地に置かれていた中継サーバーが使われたという。
2014年に起きたサイバー犯罪では、オンラインバンキングの不正送金や、オンラインバンキング/オンラインゲームのフィッシングサイト開設に使用されたようだ。ほかにも、2013年にアメーバで起きた24万件の不正ログインや、ポイントの不正交換が行われた楽天市場の不正ログイン、10万件のクレジットカード情報が流出したエクスコムグローバルの不正アクセスなども、これら業者の中継サーバー経由で行われたらしい。
2014年1~6月の不正送金被害は18億5200万円(1254件)で、過去最高を記録した2013年の14億600万円(1315件)を、半年で上回った。被害の内訳をみると、地方銀行や信用金庫・信用組合の被害数の大幅増加、法人口座の被害額の急増が目を引く。2013年下半期と2014年上半期で比較すると、地銀は19行から48行へ約2.5倍に増え、信金・信組も0件から11件に増加した。法人口座の被害額は7500万円から5億7200万円に跳ね上がっている。
被害を拡大させた要因に、不正送金ウイルスの進化がある。これまでは、ログイン時に不正なポップアップ画面を表示してアカウント情報を入力させ窃取するタイプ(日本向けにカスタマイズされたZeus/Zbot系ウイルス)が主流だったが、3月以降は、ユーザーがIDやパスワードを入力する環境を監視して自動的に送金操作を改ざんするタイプのウイルス(Vawtrak、別名Snifula、Neverquest、Papras)が猛威をふるうようになった。ユーザーに偽画面を提示しつつ、窃取したアカウント情報を使ってその場で不正送金手続きを行うため、ワンタイムパスワードなど不正送金対策の決め手となるはずの方法が役立たない。
利用者サイドの対策としては、ウイルスに感染しないための脆弱性対策の徹底と、ウイルスに感染したパソコンでネットバンクを利用する際に生じる、通常ありえない症状(ログイン時にワンタイムパスワードの入力を求める等)を知っておくこと等が挙げられる。
国内のユーザーを標的としたフィッシングが、年間を通じて行われた。主なターゲットは、オンラインバンキングとオンラインゲーム、ISPなどのメールのアカウントで、海外の限られた攻撃者グループが繰り返し仕掛けていると思われるものが、大半を占めている。中でも高頻度で繰り返されたのが、オンラインバンキングとオンラインゲームで、偽サイトの一部には、中華系の中継サーバーを使って開設されたものもあった。仕掛けていた海外の攻撃者グループは、依然野放し状態であるため、フィッシングの猛威は来年も続きそうだ。
国内犯に関しては、2013年から2014年にかけて、ゆうちょ銀行や楽天銀行、セブン銀行などのフィッシングを行っていた男が今年6月に逮捕された。男は2008年の逮捕に続く再犯で、2014年12月にはアカウント窃取にウイルスを使った手口で再逮捕された。2014年3月に行われた「LINE」のフィッシングも、11月に摘発された。こちらは、かつての「Ameba」のフィッシングを彷彿とさせる、子どもたちが仕掛けたもので、面識のない全国の子どもたち十数人がかかわっていたという。
【4】不正ログイン(パスワードリスト攻撃)多発、パスワード管理が課題に
過去に流出した大量のID・パスワードのリストをあらかじめ用意し、標的とするオンラインサービスに不正ログインを試みる「パスワードリスト攻撃」が、2014年も多発した。警察庁の発表によると、2013年には約80万件のパスワードリスト攻撃が発生していたことが、事業者からの申告により判明している。2014年の警察庁データは未発表だが、セキュリティ通信編集部が今年11月末までに公表された不正ログインの被害件数を集計したところ、約90万件にのぼり、すでに2013年の数値(1年間で80万件)を超えていた。
6月には「niconico」で21万9926件、「mixi」で26万3596件と、20万件を超える大規模な不正ログインが発生した。その後も大手サービスでの不正ログインが相次いだことから、IPA(情報処理推進機構)は9月、パスワードの管理方法など防止対策をまとめ、複数サービスで同じパスワードを使い回さないよう呼びかけた。IPAの調査によれば、約4分の1の人がネット銀行や買い物サイトなど金銭がからむサービスのパスワードを使い回しており、その理由の最多は「忘れてしまうから」だった。IPAは対策として、「紙のメモ」「パスワード付き電子ファイル」「パスワード管理ツール」といったパスワード管理方法を推奨している。
【5】「LINE」のっとりで電子マネー購入詐欺、「Skype」でも同手口
無料の通話・メッセージアプリ「LINE」のアカウントをのっとり、友だちリストに登録されている人にメッセージを送って、電子マネーをだまし取ろうとする詐欺が5月下旬頃から多発した。「何してますか? 忙しいですか? 手伝ってもらってもいいですか?」などというメッセージに返信すると、コンビニで電子マネー(WebMoneyやiTunesカード)を買い、カードの番号を写真に撮って送ってほしいともちかけられる。
警視庁には10月27日までに、LINEのアカウントのっとりをめぐって、被害相談や被害届が657件寄せられた。このうち電子マネーをだましとられたのは368件で、被害総額は約2800万円に上る。LINEでは、パスワードの変更を呼びかけたり、スマートフォン版LINEアプリでPINコードの設定を必須にしたりするなどの対策を実施。10月中旬以降、警視庁に新たな被害報告は届いておらず、LINEへの問い合わせも大幅に減少したという。なお、同じ手口の詐欺が「Skype」でも確認されている。Skypeユーザーは気を付けていただきたい。
【6】個人情報大量漏えい~ベネッセから2895万件、JALは最大74万件
通信教育大手のベネッセから顧客情報2895万件が流出した。6月下旬、ベネッセにのみ登録した情報を使ってダイレクトメールが送られてきたとの問い合わせが同社に数多く寄せられたことから、事態が発覚。7月、同社子会社に派遣されていたシステムエンジニアの男が、情報を社外に漏えいさせたとして、不正競争防止法違反の容疑で逮捕された。報道によると、男は会社貸与のパソコンに私物のスマートフォンをつないで顧客情報を持ち出し、名簿業者に売却。情報が複数の名簿業者を通じて出回った。この件をめぐりベネッセは11月、プライバシーマークの付与を取り消されている。
日本航空(JAL)からは、パソコンのウイルス感染により、最大で74万件の個人情報が漏えいした。9月にシステムの反応が遅くなる障害が発生し、調査を行ったところ、社内のパソコン23台がウイルスに感染し、顧客情報管理システムからJALマイレージバンク会員の情報が抜き取られて外部に送信されていたことが判明した。調査は現在も続いているが、パソコンがウイルスに感染した経緯はまだわかっていない。
【7】iCloudから海外有名人のプライベート画像が大量流出
アップルのクラウドサービス「iCloud」から流出した女優やモデル、歌手のプライベート写真が、海外のネット掲示板に投稿されて拡散し、騒ぎとなった。当初、アップルのシステムに脆弱性があり、これを突かれた結果の流出ではないかと噂されたが、同社はこれを否定。「ユーザー名、パスワード、セキュリティのための質問」を盗み取ろうとする、非常に的を絞った攻撃が行われ、被害者のアカウントが乗っ取られてしまったことによる流出だと説明している。
iPhoneやiPadなどを利用していて、自分の撮った画像も流出するのではないかと心配になった方もいるだろう。「自分のフォトストリーム」「iCloudバックアップ」「2ステップ確認」という言葉がピンとこない方はご用心。下記のIPA(情報処理推進機構)の資料と、セキュリティ通信記事に目を通して、設定を確認してみるようおすすめする。なお、Android端末でも、Google+と連動する[フォト]アプリで自動バックアップを有効にしていたら、画像や動画がGoogle+に自動保存されている。こちらも設定を確認してみてはいかがだろうか。
TwitterやFacebookなどのSNSで、意図しない投稿が勝手に行われる被害が多発した。原因のひとつには、アカウントが乗っ取られてしまうというオーソドックスなものもあるが、アプリの連携機能を通じたSNSならではの被害が後を絶たない。SNSでは、サービスの一部の機能の使用権限を他のWebサービスやアプリに与えるアプリ連携機能により、サービスの向上や機能強化を図っている。与える権限の中には、登録してある自身や知り合いの情報へのアクセスや、メッセージの投稿などもあり、不用意に権限を与えてしまうと、悪質なアプリに個人情報を盗み取られたり、意図しない投稿をされたりといったことが起こる。
アプリに許可する権限は事前に表示され、ユーザーがそれを許諾して初めて与えられるものだが、興味を惹くリンクをクリックさせ、その過程に紛れて承認させようとしたり、有用な機能拡張に見せかけたりと、巧みに誘導する。よく読まなかったり、深く考えずに承認してしまったりすると、アプリ連携を悪用した被害にあってしまう。
【9】家庭用ルーターがDDoS攻撃の踏み台に~適切設定が必要
ネットワークに接続された機器を踏み台にしたDDoS攻撃(大量のデータを送り付けるなどして過大な負荷をかけ、サービス不能の状態に追い込む攻撃)の兆候が観測され、警察庁やセキュリティ機関などが再三、適切な設定や不具合の解消を呼びかけた。前年から発生している大規模なDDoS攻撃では、一般家庭で使用しているルーターや無線LAN親機も悪用されかねない手法が使われている。これら機器に送信元を偽装して特定のリクエストを送ると、偽装した送信元宛てにリクエストの数倍から数十倍の応答メッセージを送り返してしまう問題を悪用した攻撃だ。
この手の攻撃は、「アンプ攻撃」や「リフレクター攻撃」と呼ばれている。ホスト名をIPアドレスに変換する「DNS」を悪用するもの、時刻を同期するための「NTP」を悪用するもの、ネットワーク機器の設定や制御を自動的に行えるようにするUPnP機器を検出する「SSDP」を悪用するもの、ネットワーク機器をリモート管理する「SNMP」を悪用するものについて、攻撃の踏み台にするための機器選定を行っていると見られる動きが、国内で観測された。
国民生活センターによると、SNSをきっかけとする消費者トラブル相談は2009年度以降増加を続けている。SNSには、消費者が登録した自分の個人情報等と連動した“ターゲティング広告”が短期間だけ掲載される。それをクリックしてサンプルだけ注文したはずが定期購入の契約にされてしまい、取り消そうにも業者に連絡が取れないといった広告絡みのトラブルが多い。また、SNSで知り合った相手から出会い系サイトに誘導された、マルチ商法に勧誘されたといったトラブル相談も多く寄せられている。
18歳未満の児童については、コミュニティサイトに起因した犯罪被害が増加を続けている。警察は抑止に努めているが、残念ながらまだ改善の兆しは見えない。2014年上半期の被害児童数は698人で、前年同期より100人増えた。なかでも増加が目立つのは、無料通話アプリ(LINEなど)のIDを交換する掲示板で起きる犯罪被害で、2011年にはゼロだったものが、2012年には36件、2013年には352件と急増している。2014年上半期は262件で、前年同期より27件増えた。 これら被害児童の5割がサイト利用について保護者から注意を受けておらず、9割以上が携帯電話(スマートフォン含む)のフィルタリング未加入だった。児童・保護者等に対しては十分な情報モラル教育が、事業者にはサイト内監視体制の強化やゾーニング導入など実効ある予防対策をとることが強く求められる。
(構成/文:現代フォーラム「セキュリティ通信」執筆グループ)