タグ: サイバーセキュリティ

サイバー攻撃に関しては折に触れて当ブログでも取り上げてきました。ICTの業界でもその脅威に対する警告が発信され続けているんですが、実際のところそれほどしっかりと受け止められていないような気がします。オリンピックイヤーの今年、サイバー攻撃の増加が懸念されます。

破られた日本語の壁

欧米に比べて、サイバー攻撃が日本で多く発生してこなかった理由は、日本という国が特殊であったため。ランダムに攻撃するならば、できるだけ多くの人間がその言語を理解する方が良いわけで、当然英語が使用されます。そのため攻撃対象は英語圏のサイトや端末ということになるわけです。

そして、ターゲットを絞って攻撃する際にも、そのサイトがどういうサイトであり、どれだけ重要な情報がありそうか、が日本語サイトの場合は分かりにくかったというのもあったと思います。ところがWebブラウザにおける自動翻訳機能の登場で、日本語サイトも理解できるようになってきました。

さらに、フィッシングサイトへの誘導メールなどで使われる日本語についても、言い回しや文法が不自然なものが多く、ここでも日本語の壁が日本を救ってくれていたという一面がありました。が、しかし、最近の誘導メールの日本語も明らかに進化し、不自然さを感じさせないものが増えてきています。

様々な面で日本人を守ってきてくれた日本語の壁、残念ながらもう限界のようです。欧米並みの頻度で攻撃されることを前提とした準備が必要に、、、と、そんな場面で、国際的にも最高度の注目を集めるオリンピックが東京で開催されるわけです。

新しい攻撃対象　スマホ

スマホへの攻撃、SMSにフィッシング詐欺を仕掛けるスミッシング詐欺。以前一度取り上げましたので概要はその記事でご覧いただきたいのですが、日本人の誰もが肌身離さず持っていて、IDとパスワードだけ抜き取られます。メールの文面も違和感なく、誘導された偽サイトも基本的に本物サイトと区別がつきません。

サイバー攻撃元年になりそうな今年、この手口による被害はかなり拡大しそうな気がします。

Emotet（エモテット）というマルウェアが流行しています。昨年末、それもクリスマスイブに、一般社団法人　軽金属製品協会がこのウィルスに感染し、同協会を名乗る不正メールを発信していたことが公表されました。同協会とメール連絡したことのある人たち宛に不正メールが送られており、この人たちも被害者になっている可能性がありそうです。

Wordファイル　「コンテンツの有効化」

このEmotet、感染拡大にWordファイルを使用しています。これ、盲点ですよね。メールの添付ファイルがWordファイルだと、あまり警戒しませんからね。ビジネスでのメールのやりとりでも、Wordファイルは普通にやり取りします。

そして、このWordファイルを開くと、マクロを有効にするよう求めてきます。そこで、「コンテンツの有効化」をクリックすると、WordファイルのマクロがEmotetをダウンロードして実行する。これで感染してしまうんですね。感染すると、実在する会社や人物に成りすまして、感染拡大メールを送信するというわけです。

Emotetに感染した軽金属製品協会のお詫びとお知らせの中にも、「当協会名を名乗る不審なメールは開封しないようお願い申し上げます」という一文があります。

気を付けよう

かなり端折った説明で分かりにくかったかもしれませんが、覚えておいていただきたいのは2点。添付ファイルがWordファイルだからといって、安心できないということ。そして、「コンテンツの有効化」は非常に危険な行為。これだけです。とりあえず、この2点は覚えていただき、危険なマルウェアを掴まされないようにしましょう。

象印マホービンは、同社のグループ会社が運営するショッピングサイト「象印でショッピング」がサイバー攻撃を受け、顧客情報最大28万52件が流出した可能性があると発表しました。流出した情報のうちメールアドレスが使われ、いわゆるフィッシングサイトへの誘導も行われています。

ショッピングサイト　システムの脆弱性

28万件というのは、同サイトの利用者全員のことのようですね。最初に目にしたときはリスト型アカウントハッキングかと思いましたが、全部抜かれているとなると違いますね。システムの持つ脆弱性を突いたまさにハッキング。顧客情報を抜かれたうえ、サイトもフィッシングサイトに改ざんされてしまったようです。

顧客情報にはクレジットカード情報は含まれていなかったようで、そのため攻撃者はカード情報を手に入れるため、手に入れたメールアドレス宛に、フィッシングサイトのURLを添付した不正メールを発信。URLをクリックした顧客はフィッシングサイトに誘導されます。

そこでカード情報とパスワードを入力させ、これを盗み見しようとしたわけです。っていうか、入力した情報は盗み取られてるでしょう。実際に使われた誘導の文句は「おめでとうございます。オリジナルQUOカードキャンペーン実施中」。ログインすることで手に入るという流れでしょうか。

狙われたサイト

象印ユーサービス株式会社が運営するこの「象印でショッピング」。今は閉鎖中で確認できないんですが、どうやら同社商品の部品や消耗品を販売するサイトだったようですね。高額の買い物する顧客もなく、そのため、サイトの安全性に対する配慮が不足した、、、といった面はあったのかもしれません。

しかし、攻撃者は顧客の情報が手に入ればいいわけですから、サイトの安全対策は怠れません。フィッシングサイトがこれほど簡単に、かつ本物らしく作られちゃうわけですから、顧客のメールアドレスだけだとしても管理はしっかりしてくれないと。これ、すべてのサイトへの教訓ですね。

重要生活機器連携セキュリティ協議会（CCDS）はIoT機器向けのセキュリティ認証制度を始めました。IoT機器として先行した家庭用ルーターや防犯カメラなどには、サイバー攻撃に対する安全対策が不十分な機器が多く、近年攻撃の標的になっていました。今後、家電や車載機器などに、さらに展開していくであろうIoT機器に対する「まもり」、重要です。

全体の約5割がIoT機器を標的に

情報通信研究機構が今年1～6月に調査した結果、国内外に設置した観測網でとらえたサイバー攻撃のうち、なんと約5割がIoT機器を攻撃対象としていたそうです。これらの機器は、機器の性能が限定されている、管理が行き届きにくい、ライフサイクルが長いといった、サイバー攻撃に狙われやすい特徴を持っています。

パソコンやスマホなど、通信することを前提とする機器は、IDとパスワードをしっかり管理しますが、IoT機器においては、IDやパスワードの変更すらできないものもあるわけです。

実際に攻撃された事例

IoT機器を狙うマルウェアとしては「mirai」が有名になりました。IoT機器に感染し、乗っ取ったのち、感染したIoT機器を使って指示されたサイトにDDos攻撃を仕掛けます。この際、同じように感染したその他のIoT機器同士がネットワーク上で連携して攻撃を仕掛けるのが特徴です。

2016年には、この「mirai」によって有名なセキュリティブログがダウンするという事件が起きました。また、同年「Amazon」や「Twitter」などの大手ウェブサービスが同様に攻撃され、約5時間にわたって接続不良を起こしています。

ユーザーの意識の問題も

パソコンやスマホがウィルスに感染した。そんなとき、ユーザーはパソコンやスマホのメーカーにクレームを付けることはないと思います。使用者責任がある程度定着していますよね。しかし、これがテレビや冷蔵庫となるとどうでしょう。

知らないうちに我が家の冷蔵庫が「mirai」に乗っ取られ、大手企業のECサイトへのDDos攻撃に参加していたとしたら。莫大な損害賠償請求は？。。。このときユーザーは自身の使用者責任だと考えるでしょうか。