カテゴリー: I　C　T

アサヒビールやアスクルなど、ランサムウェア（身代金要求型ウイルス）被害が本格化してきました。あの手この手を使って企業のサーバーに潜り込む。手口はいろいろだけど、これだけ被害が大きくなってきた背景には、それだけ身代金で儲かってきているという事実もありそうです。

そう、アサヒやアスクルの例は氷山の一角で、身代金を拒んだがためにより大きな実害を受けた事例と解釈した方がよさそうです。実際には被害を受けていることを公表する前に身代金を払って解決する企業がたくさんあって、だからこそ味を占めたランサムウェアグループは増え続け、標的をどんどん変えながら調子に乗ってるわけです。

数年前から当ブログでも指摘、一番恐れていた状況になってきました。こうなってしまったからには、すべての企業がランサム対策を強化するしかありません。システム対応、サイバーセキュリティ対応を「コスト」と考えてきた経営陣のみなさん、まずはこの時代、「最も重要な投資」なんだと認識してください。そして全従業員にもその意識を周知、徹底していく。これしかないんです。

アサヒもアスクルも身代金を払わず、徹底抗戦してきた（と思われる）対応は素晴らしいと思いますが、被害を受けるまでその対策は脆弱すぎた。というのもこれまた事実だと思います。

インターネット証券の口座が乗っ取られ、株式を不正売買される被害が拡大しています。金融庁は2025年4月18日、同年2月からの約3カ月間に6社合計で1454件の不正取引が確認され、約954億円の不正売買が発生したと発表しました（その直後に7社目も判明）。

証券口座乗っ取り

顧客の証券口座を乗っ取り、その口座の保有株を売却。その売却代金で流動性がとても低い銘柄を勝手にストップ高まで買い上がる。当該銘柄はあらかじめ犯人たちが買い付けを行っており、ストップ高する過程で高値で売り抜けるというのが犯行の手口です。当然とんでもない価格まで買わされた顧客口座は大きな損失を被ることになります。

　「インフォスティーラー」

そもそも証券口座を乗っ取る際、顧客のIDやパスワード、取引パスワードなどを事前に知る必要があり、顧客をフィッシングサイトに誘導して、ID・パスワードを入力させ、これを手に入れてるんだろうと思っていましたが、別の手口もあるようです。　「インフォスティーラー」という、Webブラウザーなどが保存するIDやパスワードなどの認証情報を盗み出すマルウエアによるものらしいです。

マルウエアがWebブラウザーなどに保存された認証情報やキーボードの入力などの情報を収集し、第三者に送信するんだそう。いろいろ考えるもんですね。とはいえ、インフォスティーラーを仕込まれてしまう場面があるわけですから、心当たりのないメール（いや心当たりがあっても業者から送られてくるメールは無視すべき時代なのかも）や怪しげなウェブサイトには近づかないことですね。

山形県内で鉄道を運行する第３セクター・山形鉄道（同県長井市）が、山形銀行をかたるフィッシング詐欺で約１億円の被害を受けていたことが分かったといいます。被害は同鉄道にとどまらず、県内で複数の企業が同様の被害に遭っており、被害総額は数億円とみられるとのこと。

新種のフィッシング詐欺

従来このてのフィッシング詐欺は、まずメールが企業や個人に届くところから始まっていましたが、今回のケースは自動音声が流れる電話から始まっています。その電話の中でサポートデスクに応答すると、銀行員になりすました犯人に替わりフィッシング詐欺が開始されます。

この後は一般的なフィッシング詐欺と同様の手口に。メールアドレスを聞き出してフィッシングサイトのURLを送りつけて誘導し、会社情報や契約者情報などを入力すると、ワンタイムパスワードなどの操作を求められます。犯人は詐取した情報で金を引き出し、不正送金されるというもの。

自動音声による電話

複数の企業がほぼ同時にフィッシング詐欺に引っかかってしまった原因は「自動音声による電話とサポートデスク」にありそうですね。怪しいメールだとそこで一旦上司に相談するというアクションが挟まれることが多いと思いますが、この手口では、怪しい電話だけどすぐに詳しいことを説明してくれるサポートデスクにつながる。 なぜ本物の山形銀行と思ったかは本人に聞かないと分かりませんが、こういう手口に複数の企業が引っ掛かっているということは、、、御社でも気を付けて、従業員の皆さんに周知してくださいませ。

昨日書いたメガバンク（ほかにもJALやNTTドコモに対しても）へのDDOS攻撃。比較的簡単に行うことができるイメージですが、確実に金銭を要求することが可能と思われるランサムウェアではなく、なぜ今DDOS攻撃なんでしょう。

ランサムウェア被害には個人情報等の漏洩がつきもの

ランサムウェア被害ではほとんどの場合、個人情報（企業の機密情報含む）の漏洩がつきものですよね。そのため被害を受けた企業は個人情報保護委員会に3〜5日以内に報告する義務があります。その後も情報漏えい被害の調査結果や影響範囲など詳細に報告する必要があります。

つまりこの時点で世間から注目され、「まさか身代金払ってないだろうな」などという見方をされてしまいます。そのため、被害を受けた企業は身代金を払うことなく事態を収束させなければなりません。つまり攻撃者にしてみると意外に身代金が獲れなかったりします。角川は払ったみたいですが。

DDOS攻撃の方が脅迫しやすいかも

一方DDOS攻撃は個人情報等の漏洩がないため、公的機関への詳細報告の義務がなく、世間から身代金の是非を問われることがありません。そのため、脅迫に対して攻撃を受けないように、攻撃が早く終わってくれるように、少額であれば解決金を支払いやすいという状況があるのではないかと。

いやいや、あくまでkuniの妄想ですよ。ただ、三菱UFJ、みずほ、りそな（2回）は攻撃されたけど、三井住友は被害なし、ってのも何故？ですよね。

りそな銀行は1/8、「ネットワーク不具合による各種サービスへの影響について」を公表しました。7日午後5時半ごろから、個人向けのインターネットバンキングや、スマートフォン用のアプリでつながりにくくなる不具合が発生していたとのこと。現在は不具合は解消しているようです。

メガバンクが狙われている？

昨年末、三菱UFJ銀行、みずほ銀行といったメガバンクでも同じような不具合が相次ぎ、いずれも大量のデータを送りつけるサイバー攻撃（DDOS攻撃）を受けたことが原因と見られていました。りそな銀行も同様にサイバー攻撃を受けており、年明け早々に再度攻撃を受けた格好に。

DDOS攻撃

昨年まで猛威を振るっていたのはランサムウェア被害でした。身代金をとることを目的に、企業のPCやサーバー内に保管されたデータを暗号化したり、PCを操作できない状態にしてしまうマルウェア（コンピューターウイルス）を使用するタイプです。目的がはっきりしてますね。

一方でDDOS攻撃というのは、攻撃者が複数の機器（パソコンなど）を踏み台にして、特定の機器（サーバーなど）に一斉攻撃をしかけます。対象サーバーに負荷をかける攻撃であり、サーバーから特定のデータを抜き出したり、データを改ざんしたりすることはできません。実害としてはサーバー負荷によるサーバーダウンや、それにともなうサービス停止によって被害を及ぼすというタイプです。

一見、嫌がらせや愉快犯にも見えるDDOS攻撃ですが実は・・・（続きは次回公開します）