象印マホービン 最大28万件の顧客情報流出 フィッシング詐欺も

象印マホービンは、同社のグループ会社が運営するショッピングサイト「象印でショッピング」がサイバー攻撃を受け、顧客情報最大28万52件が流出した可能性があると発表しました。流出した情報のうちメールアドレスが使われ、いわゆるフィッシングサイトへの誘導も行われています。

ショッピングサイト システムの脆弱性

28万件というのは、同サイトの利用者全員のことのようですね。最初に目にしたときはリスト型アカウントハッキングかと思いましたが、全部抜かれているとなると違いますね。システムの持つ脆弱性を突いたまさにハッキング。顧客情報を抜かれたうえ、サイトもフィッシングサイトに改ざんされてしまったようです。

顧客情報にはクレジットカード情報は含まれていなかったようで、そのため攻撃者はカード情報を手に入れるため、手に入れたメールアドレス宛に、フィッシングサイトのURLを添付した不正メールを発信。URLをクリックした顧客はフィッシングサイトに誘導されます。

そこでカード情報とパスワードを入力させ、これを盗み見しようとしたわけです。っていうか、入力した情報は盗み取られてるでしょう。実際に使われた誘導の文句は「おめでとうございます。オリジナルQUOカードキャンペーン実施中」。ログインすることで手に入るという流れでしょうか。

狙われたサイト

象印ユーサービス株式会社が運営するこの「象印でショッピング」。今は閉鎖中で確認できないんですが、どうやら同社商品の部品や消耗品を販売するサイトだったようですね。高額の買い物する顧客もなく、そのため、サイトの安全性に対する配慮が不足した、、、といった面はあったのかもしれません。

しかし、攻撃者は顧客の情報が手に入ればいいわけですから、サイトの安全対策は怠れません。フィッシングサイトがこれほど簡単に、かつ本物らしく作られちゃうわけですから、顧客のメールアドレスだけだとしても管理はしっかりしてくれないと。これ、すべてのサイトへの教訓ですね。

IoT機器へのサイバー攻撃対策

重要生活機器連携セキュリティ協議会(CCDS)はIoT機器向けのセキュリティ認証制度を始めました。IoT機器として先行した家庭用ルーターや防犯カメラなどには、サイバー攻撃に対する安全対策が不十分な機器が多く、近年攻撃の標的になっていました。今後、家電や車載機器などに、さらに展開していくであろうIoT機器に対する「まもり」、重要です。

全体の約5割がIoT機器を標的に

情報通信研究機構が今年1~6月に調査した結果、国内外に設置した観測網でとらえたサイバー攻撃のうち、なんと約5割がIoT機器を攻撃対象としていたそうです。これらの機器は、機器の性能が限定されている、管理が行き届きにくい、ライフサイクルが長いといった、サイバー攻撃に狙われやすい特徴を持っています。

パソコンやスマホなど、通信することを前提とする機器は、IDとパスワードをしっかり管理しますが、IoT機器においては、IDやパスワードの変更すらできないものもあるわけです。

実際に攻撃された事例

IoT機器を狙うマルウェアとしては「mirai」が有名になりました。IoT機器に感染し、乗っ取ったのち、感染したIoT機器を使って指示されたサイトにDDos攻撃を仕掛けます。この際、同じように感染したその他のIoT機器同士がネットワーク上で連携して攻撃を仕掛けるのが特徴です。

2016年には、この「mirai」によって有名なセキュリティブログがダウンするという事件が起きました。また、同年「Amazon」や「Twitter」などの大手ウェブサービスが同様に攻撃され、約5時間にわたって接続不良を起こしています。

ユーザーの意識の問題も

パソコンやスマホがウィルスに感染した。そんなとき、ユーザーはパソコンやスマホのメーカーにクレームを付けることはないと思います。使用者責任がある程度定着していますよね。しかし、これがテレビや冷蔵庫となるとどうでしょう。

知らないうちに我が家の冷蔵庫が「mirai」に乗っ取られ、大手企業のECサイトへのDDos攻撃に参加していたとしたら。莫大な損害賠償請求は?。。。このときユーザーは自身の使用者責任だと考えるでしょうか。

スミッシング詐欺被害(SMSフィッシング詐欺) 9月急増

フィッシング詐欺のうち、SMS(ショートメッセージサービス)を使用するものをスミッシング詐欺と言いますが、これが9月激増しているそうです。10月のデータはまだ公開されてないようですが、注意が必要です。SMS、皆さんもご注意ください。

9月急増

インターネットバンキングに係る不正送金被害については、2016年以降、発生件数・被害額ともに減少傾向が続いており、今年も月間数十件程度、被害金額も3千万円以下という状況でした。ところが8月(105件、7400万円)、9月(436件、4億2600万円)と急増し、2012年以降の最多件数を記録しています。

最近の手口

メールにあるリンクをタップすることによりフィッシングサイトに誘導され、インターネットバンキングのパスワード等を入力させ、これを盗み取るという手口です。特に最近の手口としては、フィッシングメールにSMSが使用されていること。リンク先サイトでは、正規サイトのURLと誤認させるため、HTTPSが使用されていたり、.jpドメインが使用されているようです。

さらに、アカウントやパスワードの情報のみならず、ワンタイムパスワードや秘密の合言葉等を入力させるなど、巧妙な手口になっているようです。

以下は実際に送られてきたSMSの一例です。

お客様の〇〇銀行口座がセキュリティ強化のため、一時利用停止しております。再開手続きをお願いします。https;//www.・・・・

被害に遭わないために

被害に遭わないために、心当たりのないメールは放置すること。取引のある銀行からであっても、メールに記載されたリンクに安易にアクセスしないことですね。これだけSMSが悪用されていることは、金融機関も承知しています。SMSからリンクをたどるのではなく、正規のサイトを訪れて対処するようにしましょう。

総務省 18億円かけたセキュアゾーンを廃止(その2)

昨日に引き続き、総務省が18億円を捨ててしまった大失態。セキュアゾーンの構築にかかった期間中の総務相は現総務相でもある高市早苗氏ですね。大臣の耳にどれだけ届いていたんでしょう。また、同じ期間の事務次官は櫻井俊氏、嵐の櫻井翔君のお父様みたいです。

なぜこんなことが・・・

会計検査院の指摘では、「セキュアゾーンの整備を決定するにあたり、取り扱う情報の重要度に応じた対策の選択肢、各対策に対する需要の規模、および当該需要を踏まえた費用対効果を把握することが十分できていない」とあります。また、意思決定過程の資料も総務省に残っていないそうです。話になりません。

厚生労働省と農林水産省が一旦使用の希望をしたようですが、彼らユーザーの期待に応える代物ではなく、最終的に誰も使用していません。通常、システムを構築する場合、ユーザーとの間で要件定義がじっくり行われ、仕様が固まります。

そのため、今回のようにシステムが堅牢すぎて使えない(仕様通りになっていない)、、、なんてことがあると、ベンダー企業との間で訴訟等に発展するわけです。しかし、ユーザー不在でベンダーに丸投げみたいになっていると、こんなふうになるんですね。総務省側に訴訟を起こせるほどしっかりした資料(証跡)も残ってないんでしょう。

日本年金機構の大惨事を見て、上層部の誰かが「とにかく政府システムで機微情報が流出しないよう、100%安全な対策を取れ!」と指示。指示された方は大急ぎで、言われた通りに、めちゃくちゃ安全性の高いセキュアゾーンをこしらえました。「しかし、システムが堅牢すぎて、どの省も使えないと言ってます。。。どうしましょう。」みたいな感じです。笑い話ですね。

また野党が騒ぐのかな

冒頭書いたように、このセキュアゾーンの検討から構築にかけての期間の総務大臣は第3次安倍内閣時代の高市早苗氏(現職)です。そして当時の事務次官は櫻井氏(すでに退官して今は電通の取締役)だったりします。ネームバリューのあるお二人ですし、また野党の標的にされちゃいそうですね。

総務省 18億円かけたセキュアゾーンを廃止 会計検査院指摘

今月上旬、一部報道で伝えられていましたが、正式に会計検査院から調査の結果が公表されました。サイバー攻撃対策として18億円をかけて設けられたセキュアゾーンという名前のシステムが、一度も使われることなく2年間で廃止されたということです。

ことの経緯

政府が使用する情報システムを統合した政府共通プラットフォームは平成25年3月に運用を開始しています。27年5月に日本年金機構がサイバー攻撃を受け、個人情報が外部に流出しました。

これを受け、各省にサイバーセキュリティ対策推進会議議長指示が通知されました。「政府情報システムのうち、機微度の高い情報を扱う部分と、インターネット等の分離を進める計画をまとめて報告せよ」というものです。

この指示に基づき、総務省は政府共通プラットフォームへの機能追加で、セキュアゾーン(ネットと繋がらない安全地帯みたいなもんですね)を整備しようとします。27年8月には各省に対して、セキュアゾーンの利用希望の調査を実施しています(調査と呼べるほどのものではないけど)。

その後、28年の4月と9月に後述の民間業者とセキュアゾーン整備等の契約を結び、29年4月に政府共通プラットフォームにおけるセキュアゾーンの運用を開始しています。

契約の内容 NTTデータ 東京センチュリー

システムの運用や機器の管理を目的とした契約はNTTデータと締結。5年間で8億5千万円(うちセキュアゾーン関連で3億6千万円)となっています。半年後の9月、セキュアゾーンの整備に係る設計作業請負等を目的とした契約を東京センチュリーと締結。同じく5年間で20億円です。

運用は開始したものの、使われないまま費用を負担し続けることになるため、今年3月、契約期間を2年短縮する変更契約を締結し、セキュアゾーンを廃止しました。変更後の契約額は18億9千万円ということで、報道等ではこちらの金額が使われています。事実関係だけで今日はお終い。何でこんなことになったのか、、、続きは明日にでも。