1通の不審メール開封が、125万件の情報漏えいに、ランサムウェアによるパソコン乗っ取りに、ネットバンキング不正送金で大金を失うこと等に、ダイレクトにつながっています。青少年のサイバー犯罪の本格化やネット接続機器の危険増大は、「いつの間にか」身近に起きていました。大事なことに気づかせてくれる今年のセキュリティ重大ニュース10本を、お届けします。
【1】日本年金機構から個人情報125万件流出――発端は不審メール開封
>【2】ランサムウェア攻撃急増――脅しに屈しない「バックアップ」を
【3】フィッシング――SMSで誘導する銀行フィッシングが新登場
【4】青少年のサイバー犯罪本格化――マルウェア販売やランサムウェア恐喝
【5】狙われた無線LAN――案じられる「ネット接続機器」への攻撃増加
【6】ネットバンキング不正送金――信用金庫・法人顧客の被害拡大
【7】実在企業かたるメール大量撒布――添付ファイルに仕掛けられたマクロ
【8】被害相次ぐ「不正ログイン」、うっかり許可の「アプリ連携」
【9】ネットの安全支える「SSL/TSL問題」――脆弱性悪用の危険浮上
【10】脆弱性攻撃、ゼロデイ攻撃――多発したMS製品とFlash Player
【1】日本年金機構から個人情報125万件流出――発端は不審メール開封
国民を震撼させた大規模な年金個人情報漏えい事件は5月8日午前、日本年金機構の2つの公開メールアドレス宛てに届いた不審メールが発端だった。受信した職員の一人が開封し、メール本文に記載されたURLをクリックしたところ、端末に不正プログラムがダウンロードされ、外部との不正な通信が発生した。通報により事態を知った機構が当該端末をLANケーブルから切り離した時はすでに、大量の交信が行われた後だった。18日午前、再び標的型攻撃メールが機構に送り付けられたが、その受信メールアドレスは8日に漏えいしたと推測される職員101人の個人メールアドレスだった。このうち添付ファイルを開封した職員3人の端末がマルウェア(ウイルス)に感染したが、組織として十分な対応がなされないまま、この後も不審メールの開封と端末の感染が続発した。20日から23日までの間、計27台の感染端末から、共有フォルダに保管されていた大量の情報が外部に流出し、約125万件・101万人の個人情報もそのなかに含まれていた。
この事故の発生原因については克明な検証が行われているが、「脆弱性対応の不徹底」もその1つに挙げられている。機構ではシステム停止等の懸念から脆弱性に対するパッチ適用が先延ばしにされていた。その未修正の脆弱性を突く形で、端末とディレクトリサーバーの管理者権限が奪われたという。脆弱性の解消と不審メールを開封しないことは、組織においても個人においても安全対策の第一であり、基本中の基本であることを肝に銘じたい。
【2】ランサムウェア攻撃急増――脅しに屈しない「バックアップ」を
ランサムウェアとは、侵入先のパソコンのファイルを暗号化して使用できなくし、復号と引き換えに金銭を要求する身代金要求型のウイルス(マルウェア)のこと。日本では言語が防護壁となって流行することはなかったが、昨年12月、世界に蔓延するランサムウェア「TorLocker」の亜種の日本語版が作成され、活動していることが確認された。今年5月には、感染端末の環境に応じた多言語対応のランサムウェアに注目が集まった。機械翻訳とは異なる違和感のない日本語メッセージが表示されることから、日本への攻撃が本格化する兆しとして警戒された。5月下旬にはJPCERTが、6月初めにはIPAが、ランサムウェアの被害について注意を呼びかけている。改ざんサイトの閲覧によってランサムウェアに感染する被害が多数出ていたのだ。これは、OSや各種ソフトウェアの既知の脆弱性を悪用した攻撃なので、アップデートを欠かさないようにとのアドバイスがなされた。
12月には、感染するとパソコン内のファイルが暗号化され、拡張子が「.vvv」に変更されるランサムウェア「CrypTesla(TeslaCrypt)」が話題になった。マルウェアを仕込んだ英文メールが配達や請求などを装って大量にばらまかれ、受信者が添付ファイルを開いてしまうと感染する。
こうしたメール経由、あるいはWeb経由(改ざんサイト、不正広告)で侵入するランサムウェアの被害を防ぐには、ソフトウェアのアップデートを欠かさず最新の状態に保つことに加え、感染に備えてデータをバックアップしておくことも重要だ。セキュリティベンダーのカスペルスキーは、バックアップコピーは外部メディアに保存し、「コピーが完了しだい、コンピューターから取り外す」ことの重要性を解説している。
【3】フィッシング――SMSで誘導する銀行フィッシングが新登場
今年も昨年同様、国内ではオンラインバンキングとオンラインゲームのフィッシングが活発に繰り返された。銀行を狙うフィッシングでは、メールで誘導するオーソドックスなタイプに加え、携帯やスマートフォンの電話番号宛てにメッセージを送るSMS(ショートメッセージサービス)を使って偽サイトへと誘導するフィッシングが、5月中旬頃に登場した。攻撃は銀行の営業時間とほぼ同じで、偽サイトを平日朝9時にオープンし、午後にかけてSMSを送信、夕方には偽サイトを撤収する。毎日偽サイトのドメイン名やIPアドレスを変えて新オープンするため、セキュリティソフトの検知が遅くなるのが特徴だ。
オンラインゲームのフィッシングは、スクウェア・エニックス、ハンゲーム、NCSOFT、GAMECITYと多彩な攻撃が展開された。とくにスクウェア・エニックスのフィッシングは執拗で、2年にわたりほぼ24時間稼働の攻撃が繰り返されてきた。このほか、クレジットカード情報を狙うフィッシング、Webメールのアカウントを狙うフィッシングも観測されている。12月に入り、上記のSMS利用の銀行フィッシング、オンラインゲームのフィッシングとも休止状態となったが、入れ替わるように銀行を標的としたメール誘導型のフィッシングが再開された。
【4】本格化する青少年のサイバー犯罪――マルウェア販売やランサムウェア恐喝
青少年のサイバー犯罪にも、高度な手口が使われるようになった。前年の出版社のサーバーの不正アクセス容疑などで6月に逮捕された17歳の少年は、タダ乗り無線LANや匿名化ツールを駆使した隠ぺい工作をはじめ、フィッシング、ランサムウェア、アカウント乗っ取り、クレジットカードの不正使用など、大人顔負けの犯罪を繰り返していたという。11月には、ネット上でマルウェアを販売していた中学生が逮捕され、購入者だった6名の中高生も相次ぎ摘発された。金もうけのためにネットバンキングの不正送金に使われるマルウェアなど3種類を販売していたほか、ランサムウエアを使った恐喝も行っていたという。
【5】狙われた無線LAN――案じられる「ネット接続機器」への攻撃増加
無線LANルータやWebカメラ、ネットワークストレージ(NAS)、テレビ、ビデオレコーダーなど、ネット接続機能を持つ機器が増えるにつれ、こうした機器が狙われる問題がしばしば報告された。回線のタダ乗りや乗っ取り、攻撃の踏み台にされるなどの被害が発生し、警察庁やセキュリティ機関から再三注意喚起が出された。なおざりにされがちな機器だが、さらなる攻撃の増加が懸念される中、パソコンと同等のセキュリティ意識を持った管理を推進したい。
【6】ネットバンキング不正送金――信用金庫・法人顧客の被害拡大
前年上半期に件数・金額ともに過去最高を記録したインターネットバンキングの不正送金被害は、同年下半期には減少傾向を見せたものの、2015年前半期には再び増加に転じた。前年は攻撃対象が個人から法人へシフトし、地方銀行や信用金庫に被害が拡大する流れがあったが、2015年もこの傾向を引き継いだ。被害を受けた金融機関の数は今年1~6月の半年間ですでに114となり、昨年1年間を越えた。最多は信用金庫(77)で、地方銀行(34)、農協(14)、都市銀行やネット専業銀行等(11)の順となる。法人顧客の被害増加も顕著で、全国銀行協会の最新のアンケート調査では、今年7~9月の法人顧客の被害金額は3億6700万円にのぼり、個人顧客より1億5000万円以上も上回った。
不正送金の多くは、マルウェア(ウイルス)に感染させたパソコンを遠隔操作して行われている。警視庁は4月、国内パソコンへの感染が多数確認されている「Vawtrak」の無力化を目指す作戦を実施した。不正送金に悪用されるマルウェアは他に「DRIDEX」「SHIZ」等が確認されており、これらをユーザーのパソコンに送り込み感染させるため、実在企業をかたるメールやオンライン広告、改ざんサイトなど、さまざまな手口が考え出され、実行されている。その罠にかからないよう、不審メールは開封しない、OSやソフトウェアは常に最新状態にしておく、金融機関提供のセキュリティ対策を利用するなど、十分な予防対策をとっていただきたい。
【7】実在企業かたるメール大量撒布――添付ファイルに仕掛けられたマクロ
今年10月、実在する企業をかたるメールが大量にばら撒かれた。8日には実在企業からの注文確認を装うメールと複合機からの送信を装うメールが、27日・30日には実在企業からの請求書やFAXの受信通知に見せかけたメールが大量に撒布された。いずれもメールに添付したファイルを開かせ、マルウェア(ウイルス)に感染させることを狙ったものだ。添付ファイルは、「マクロが仕掛けられたWordまたはExcelファイル」「PDFファイルに偽装したマルウェア本体をZIPファイルにしたもの」が確認されている。
セキュリティベンダー等の情報によると、添付ファイルを開いてマクロを有効にしてしまうと、外部からマルウェアをダウンロードしてパソコンに感染させる仕組みになっている。ダウンロードするマルウェアはオンライン銀行を狙う「SHIZ」で、感染するとインターネットバンキングの認証情報が盗み取られ、不正送金被害にあうおそれがある。
実在企業やサービスに偽装してマルウェアを投下する攻撃は、手を変え品を変え繰り返されている。不審メールの添付ファイルを開かないという原則にくわえ、今回のような攻撃に備え、Wordのマクロ設定についても安全かどうか確認しておこう。確認法は、<注7>のIPAや本通信の記事を参照していただきたい。
【8】被害相次ぐ「不正ログイン」、うっかり許可の「アプリ連携」
何らかの方法で入手したIDとパスワードのリストを使い、サービスへのログインを試みる「不正ログイン」が今年も続いている。1月には、「So-netメール」への不正ログインが公表され、メールの不正送信などが報告されたが、ほかにも、ホテルの宿泊予約サイトやアンケート会社の会員サイトなどではポイントの不正交換被害が、通販サイトでは不正注文被害が報告されている。通販詐欺サイトの広告などが勝手に投稿されてしまう、SNSの被害も後を絶たない。こちらは、ID/パスワードを使った不正ログインのほかに、うっかり許可してしまった「アプリ連携」が悪用されることも多い。
【9】ネットの安全支える「SSL/TSL問題」――脆弱性悪用の危険浮上
ネットの安全性を支える暗号化通信の仕組み「SSL/TLS」に関連する問題が、今年も浮上した。前年見つかった「Heartbleed」や「POODLE」と呼ばれる脆弱性に続き、今年は、「FREAK」と呼ばれる脆弱性が発見された。暗号が解読され、第三者の通信への介入を許してしまう可能性がある問題だ。暗号化通信に使用する証明書の不備が、同様の問題を引き起こしてしまう可能性も明らかになった。レノボやデルのパソコンには、特別なルート証明書と秘密鍵がインストールされていたため、悪用すると通信への介入やなりすましが可能だった。
【10】脆弱性攻撃、ゼロデイ攻撃――MS製品とFlash Playerに多発
攻撃に悪用されることの多いマイクロソフト製品とアドビシステムズの「Flash Player」から、前年を上回る多数の脆弱性が発見された。マイクロソフト製品は、過去最多の135件のパッチが配信され、2~300件台だった脆弱性数が500件台へと一気に増大した。Flash Playerは、17回のセキュリティアップデートが行われ、前年の5倍近い300件を超える脆弱性が修正された。ゼロデイ攻撃や修正直後の悪用攻撃が1年を通じて繰り返され、国内の改ざんサイト経由の悪用攻撃も多発した。
(構成/文:現代フォーラム「セキュリティ通信」執筆グループ)