身代金を要求するランサムウェアの被害が拡大し、公的機関にも深刻な影響が出ています。年間を通して不正アクセスによる大規模情報漏えいが発生、大手サービスでの不正ログインも相次ぎました。フィッシングは長期継続した標的に変化が起きています。迷惑メールが大量に出回り、ネット詐欺が横行、家庭にあるIoT機器のリスクが顕在化し、ポケモンGOトラブルにも悩まされた2016年でした。
<INDEX>
■ランサムウェア被害拡大――病院や鉄道など重要システムにも深刻な影響
■不正アクセスで大量情報流出――大手企業、研究施設、学校などが被害に
■大手サービスで不正ログイン相次ぐ――情報漏えいやポイント不正使用多発
■フィッシングの標的変化――「銀行、ゲーム」から「メール、クレカ情報」へ
■ネットバンキング不正送金――個人被害は高止まり、マルウェア感染に注意
■日本語マルウェアメール出回る――業務連絡や宅配通知など装い、開封促す
■ネット接続機器(IoT機器)乗っ取り多発――サイバー攻撃の踏み台に
■ネット詐欺の手口あれこれ――当選詐欺、サポート詐欺、求人詐欺など
■「ポケモンGO」トラブル頻発――偽アプリ、不正アプリ出回る
■オンラインゲーム「チート行為」――販売した男や学生、会社など摘発
<以下本文>
■ランサムウェア被害拡大――病院や鉄道など重要システムにも深刻な影響
ランサムウェアは、ファイルやシステムを使えないようにロックし、ユーザーに解除料の支払いを求めるタイプのマルウェア(ウイルス)のこと。前年に急増した被害が内外でさらに広がり、病院や鉄道などの重要なシステムにまで影響が及ぶ深刻な事態となった。Windowsパソコンを標的としたマルウェアに加え、Android端末を狙った日本語対応のものや、Macを狙ったものも発見されている。
ランサムウェアの主な感染経路は、メールとWebサイトだ。メールは、添付ファイルを開かせようとする英文メールに加え、日本語のメールが年間を通じて度々ばらまかれた。Webサイト経由の感染では、ユーザーを騙してインストールさせるタイプと、改ざんされた正規サイトの誘導先などで、FlashPlayerなどの脆弱性を突いた攻撃を仕掛け、強制的にインストールしてしまうタイプとがあり、Webサイトに配信される広告も感染源のひとつになっている。「信頼できるサイト以外でアプリをダウンロードしない」「システムやアプリのアップデートを欠かさない」といった基本的なマルウェア対策とともに、万一感染してもシステムを復旧できるようにバックアップしておくことが重要だ。
■不正アクセスで大量情報流出――大手企業、研究施設、学校などが被害に
今年も大規模な情報流出が発生した。大手旅行会社のJTBからは、顧客678万8443名分の個人情報が流出(6月公表)。メールの添付ファイルを開いたことによりパソコン1台がマルウェアに感染したことが流出の発端だった。感染していたマルウェアはELIRKSとKorplug(別名PlugX)。この2つのマルウェアは、経団連事務局のパソコンが外部と不審な通信を行っていた件(11月公表)でも使われていた。マルウェア感染による情報流出は、富山大学の研究施設(10月公表)などでも発生している。
不正アクセスによる個人情報流出で規模が大きかったのは、FMラジオ局J-WAVEの約64万件(4月公表)、日本テレビの42万8138件(4月公表)、化粧品会社イプサの42万1313件(12月公表)、音楽会社エイベックスの約35万件(4月公表)で、いずれもシステムの脆弱性を突く攻撃を受けて流出に至った。
佐賀県では、県独自の教育情報システム(SEI-NET)と県立学校の校内LANからファイル15万件以上が流出(6月公表)。生徒、保護者、教員の個人情報1万4355名分が含まれており、成績や生徒指導関連書類もあった。この件では、不正アクセス禁止法違反の容疑で同県内の少年2人が逮捕、送検されている。
■大手サービスで不正ログイン相次ぐ――情報漏えいやポイント不正使用多発
何らかの方法で入手したIDとパスワードのリストを使い、サービスへのログインを試みる不正ログインが今年も続いた。mobageでは最大で710万4847件(4月公表)、Amebaでは5万905件(5月公表)と58万9463件(11月公表)の不正ログインが発生した。ほかにも、JR東日本の会員サイト(4月公表、1万3000件)、イラスト投稿サイトpixiv(12月公表、3646件)、東北電力の会員サイト(11月公表、540件)や、ショッピングサイト、アンケートサイトなどで不正ログインが発生。登録してある情報を盗み見られたり、貯めておいたポイントを使われたりするなどの被害があった。
また、複数の女性芸能人が、利用しているSNS、データ保管サービス、メールサービスに不正ログインされ、プライベート写真やメール、通販購入記録などを盗み見られる被害にあっていたことが、1月、5月、11月に明らかにされた。それぞれの件で、不正アクセス容疑で男が逮捕されている。
このほか、ショッピングモールや家電量販店などが提供している、ポイント管理用のスマホアプリに不正ログインされ、店頭でポイントを使われてしまったという被害も目立った。ビックカメラのポイントが不正使用された件では3月に中国人の男が、楽天ポイントが不正使用された件では7月に中国人の女子留学生が逮捕されている。
■フィッシングの標的変化――「銀行、ゲーム」から「メール、クレカ情報」へ
今年前半は、オンラインバンキングとオンラインゲームのフィッシングが活発に行われた。以前から繰り返し行われて来たフィッシングだが、後半は勢いが衰え、オンラインバンキングのフィッシングはほぼ休止状態となった。オンラインゲームも以前のような執拗な攻撃は見られない。これらに代わって目立ったのが、プロバイダや大学のメールアカウントを狙うフィッシングと、クレジットカード情報を狙うフィッシングだ。
メールアカウントは、フィッシングメールをはじめとする迷惑メールの送信に利用するのが主な目的だが、さまざまなサービスに連携している場合には、それらにまで被害が及ぶことがある。10月に発表された大学のフィッシング事案では、十数万通のメールが送信されたのに加え、クラウドストレージから学生らの個人情報の入ったファイルがダウンロードされたという。
クレジットカード情報を狙うフィッシングは、カードのブランドやカード会社を装うタイプが早くから行われていた。今年も、カード会社の会員サイトを装うフィッシングがたびたび行われたが、圧倒的に多かったのは、アマゾンやアップル、グーグルといった、決済情報を扱うショッピングサイトやポータルサイトを装うタイプだった。情報の入力時には、HTTPSで接続し、錠前マークとURLが正しい、またはサーバ証明書の運営者が正しいことを、必ず確認していただきたい。
■ネットバンキング不正送金――個人被害は高止まり、マルウェア感染に注意
警察庁がまとめたインターネットバンキングの不正送金被害は、過去最高の被害額を記録した前年から一転し、2016年上半期は大幅に減少した。上昇していた法人口座の被害が減少したためというが、下半期に再上昇の気配があり予断を許さない。個人口座に関しては、ピーク時に比べると減ってはいるものの、相変わらず高止まりが続いている状況だ。
不正送金の多くはマルウェア感染によるもので、メールやオンライン広告、改ざんサイトなどで、不正送金に悪用されるさまざまなマルウェアが見つかっている。そんな中、警視庁は11月、マルウェア添付メールの配信を早期に把握し注意を促す「早期警戒情報」サービスを開始した。マルウェアメールを拡散するマルウェアに感染したパソコンのネットワークを監視することで、拡散するメールの件名や本文をいち早く把握し、注意を呼びかけようという取り組みだ。把握できるのは一部だけと思われるが、告知に該当するメールが来たら要注意だ。信頼できるメール以外を開封したり、添付ファイルを開いたり、メールのリンクをクリックしたりすると、マルウェア感染やフィッシングなどにあうかもしれないということを、忘れないでいただきたい。
前年多発したオンラインバンキングを装うフィッシングは、メールで誘導するタイプと携帯やスマートフォンの電話番号宛てにメッセージを送るSMS(ショートメッセージサービス)で誘導するタイプの両方が前年同様繰り返されたが、春ごろから頻度が少なくなり、8月の攻撃を最後に休止している。
■日本語マルウェアメール出回る――業務連絡や宅配通知など装い、開封促す
マルウェアを添付した日本語のメールが、さまざまな件名や内容でばらまかれた。大量に出回ったのは「作業日報」「契約書」「注文書」など業務連絡を装ったものや、宅配業者や通販サイトの不在通知、配達通知をかたったもの。「最高裁判所の書記官」からの出頭要請(2月に拡散)や、「日本国民税金庁(国税庁)」からの通知(10月に拡散)など、不自然なところがあるためすぐにおかしいと気付けるものもあったが、違和感をおぼえさせない巧妙なものも増加している。
メールに共通するのは、ZIP形式で圧縮されたファイルが添付されていること。中には拡張子が「.js」「.exe」「.scr」などの実行型ファイルが入っており、拡張子には偽装が施されていることもある。これらのファイルを開くと、ネットバンキングの認証情報を盗み取って不正送金を引き起こすマルウェアや、ファイルを暗号化して身代金を要求するランサムウェアなどに感染してしまうおそれがある。
こうした事態を受けて警視庁、警察庁、日本サイバー犯罪対策センター(JC3)では11月7日から、拡散が始まったマルウェアメールの件名や本文などの情報を、Twitterまたはサイトで公開する取り組みを行っている。
■ネット接続機器(IoT機器)乗っ取り多発――サイバー攻撃の踏み台に
無線LANルータやプリンタ、ハードディスク、カメラ、テレビ、ビデオレコーダー、メディアプレーヤーなど、さまざまな機器がインターネットに接続するようになり、これらいわゆるIoT(Internet of Things~モノのインターネット)の問題や、これらを標的とした攻撃が話題になった。
今年初め、日本国内の防犯カメラの映像がインターネット上で丸見えになっていることが、テレビや新聞でも取り上げられた。カメラにパスワードが設定されていなかったため、映像をネット上に一般公開している状態だったのだ。閲覧可能なカメラを世界中から集めたサイトや、ネットに接続されている機器を検索するサイトが注目を集める中、無防備な機器を乗っ取り、サイバー攻撃に悪用していた実態も表面化した。
サーバに過剰な負荷をかけてサービスを妨害する攻撃をDoS(Denial of Service)攻撃といい、ネットワーク上の多数の機器がいっせいにDoS攻撃を仕掛けるものをDDoS(Distributed Denial of Service)攻撃という。DDoS攻撃には、乗っ取った大量のパソコンにリクエストを送らせる手口や、偽装した送信元にリクエストよりも大きな返答を返してしまう機器を悪用した手口がよく用いられた。9月ごろから海外で相次いだDDoS攻撃では、インターネットに接続されたカメラやビデオレコーダーが悪用され、かつてない大規模な攻撃が行われたという。
今後ますます増えるであろうIoT機器が攻撃の踏み台にされないように、強固なパスワードの設定や機器のシステム(ファームウェア)のアップデートなど、パソコンと同等の意識を持って管理したい。
■ネット詐欺の手口あれこれ――当選詐欺、サポート詐欺、求人詐欺など
昨年も確認されていた手口だが、サイトの閲覧中に「本日のラッキーな訪問者はあなたです」と表示が出て、ブラウザの年次ユーザー調査と称するアンケートに誘導される当選詐欺に注目が集まった。アンケートに回答すると、参加の謝礼として、クレジットカード情報の登録を条件に「HD Streaming Movies」というサービスを無料で利用できるようになる。ただし数日後には自動的にプレミアム会員に昇格し、料金を請求される仕組みになっている。
ブラウザに「ウイルスがみつかった」「レジストリの障害を検出した」などという警告画面を表示させ、記載の番号に電話をかけさせようとするサポート詐欺も、昨年から続いている。メッセージは消せないし、警告音が鳴ったり、女性の声で警告のメッセージが流れたりで、焦ってしまう人も多いようだ。情報処理推進機構(IPA)にも、多くの相談が寄せられている。
10月には、SNSなどで「荷受代行」「荷物転送」のアルバイト求人を行い、応募者の本人確認書類を使って勝手にスマートフォンを契約し、騙し取っていた神奈川県内の男3人が詐欺の容疑で神奈川県警に逮捕されている。3人は騙し取ったスマホ4000台を転売して1億2000万円を得ていたとみられている。
■「ポケモンGO」トラブル頻発――偽アプリ、不正アプリ出回る
スマートフォンの位置情報を使ったゲーム「ポケモンGO」の国内での配信が7月22日に始まった。先行配信されていた欧米でトラブルが報告されていたこともあって、内閣サイバーセキュリティセンター(NISC)では、サービス開始前日に子供向けのチラシを公開。「個人情報を守ろう」「偽アプリ、チートツール注意」「会おうという人を警戒しよう」など、守りたい9つのポイントを紹介した。
NISCの呼びかけにもある通り、「人が多く集まるコンテンツは、悪いハッカーには絶好のターゲット」。本物のアプリに遠隔操作ツールを仕込んだ偽のポケモンGOアプリや、ポケモンGOのガイドであると称して迷惑広告をしつこく表示させるアプリなど、不正アプリが大量に見つかっている。こうしたアプリは、公式のアプリマーケット(Android端末ではGoogle Play、iPhoneではApp Store)以外のところで配布されていることが多いが、Google Play上でも見つかっている。中には、50万回以上もダウンロードされて高い評価が付いていたものもあった。Google Playでのレビューと評価は、マルウェアを使うとでっちあげられることを知っておきたい。
■オンラインゲーム「チート行為」――販売した男や学生、会社など摘発相次ぐ
オンラインゲームのチート(ずる)行為にからみ、私電磁的記録不正作出・供用容疑や著作権法違反容疑、商標法違反容疑での摘発が相次いだ。
換金性の高いゲームのアイテムやキャラクターは、反社会勢力の資金源になることもあり、チートツールの配布やそれを使ったアイテムなどの不正入手、パラメータの不正改ざんなどの行為は、犯罪として立件されることがある。2月には、チートツールを使って不正に入手したレアキャラクターを、オークションで販売して生計を立てていた男が摘発されたのをはじめ、10~12月には、チート行為を有料で請け負っていた大学生なども摘発されている。
チートに使うツールの販売も同様に罪に問われており、11月にはチートツールを販売していた男を摘発。チートツールを使えるようにしたiPhoneを販売した男も摘発されている。チートツールを販売していた会社の場合には、組織犯罪処罰法違反の容疑がかけられた。
たとえ金銭が絡まなくても容赦はなく、先のiPhoneを使ってチート行為を行った男性らが摘発されたほか、チート行為でレアアイテムを不正入手した高校生らや、彼らにその方法を教えた男性、チートツールをネット上で無料公開していた大学生なども次々に摘発されている。
チート行為は、アカウントの停止処分にとどまらず、違法性があれば刑事事件として扱われ処罰されることがある。ゲーム運営会社に損害が発生すれば、損害賠償請求される可能性もある。たかがゲームと軽い気持ちで手を出すと、実社会で取り返しのつかないことになるので注意したい。
(構成/文:現代フォーラム「セキュリティ通信」執筆グループ)