タグ: サイバー攻撃

創業1803年、京都の和菓子の老舗、亀屋良長株式会社が保有するPC端末が、マルウエア「Emotet（エモテット）」に感染。同社からの情報流出や流出した情報を悪用されたなりすましメールが確認されたとのこと。9月1日に発生しています。

感染の経緯と影響

9/1、実在する同社従業員を名乗る人物から別の従業員に、請求書の連絡メールに偽装した添付ファイル付きのメールが送られてきます。受信した従業員が添付ファイルを開封し、「コンテンツの有効化」を許可したことでエモテットに感染したそうです。

感染後、エモテットの影響でいろんなことが起きているようです。社内で利用する共通メールアドレスに大量の不正メールが届いたり、同社と取引関係がある顧客情報が別の顧客に配信されるなど。

専門会社の調査によると、メールサーバー内に記録されている個人情報（氏名、住所、電話番号、メールアドレス、メール本文の内容）の流出が確認されています。ただし、クレジットカード情報は流出してないそうです。

Emotet（エモテット）の巧妙化

エモテットが9月に入って活動を活発化させているようです。亀屋良長はまさにその攻撃対象になってしまったわけですが、情報処理推進機構（IPA）には、同社以外にも感染の一報や問い合わせが急増しているとのこと。

手口も巧妙化しているようで、従来の添付ファイルはワードだったんですが、パスワードを設定した「zipファイル」を使用し、セキュリティ対策製品のスキャンをすり抜ける可能性のあるものも見付かっているみたいです。

領収書や請求書などのファイルは、ほとんどの場合マクロを必要としません。くれぐれも、マクロを実行させるための「コンテンツを有効にする」ボタンは押さないように。

心配していたことが、やはり起こりました。8/25付け日本経済新聞の一面トップ。「テレワーク　暗証番号流出　国内38社に不正接続」という記事。パルスセキュア社のVPNサービスを使っていた38社が修正プログラムを適用することなく使用し、不正アクセスを受けたようです。

パルスセキュアのVPNサービス

世界で2万社以上の顧客を持つ業界大手であり、昨年4月に自ら脆弱性について情報を公表、修正プログラムも提供されています。国内においてもJPCERTなどが再三注意喚起を行っていました。

昨年8月時点の情報では、この脆弱性を抱えたまま運用されているVPNサーバは世界で1万4500台あり、そのうち1511台が日本国内にあるといわれていました。

その後各社とも対策を講じ、今年3月末時点では国内にあった未対応の1511台は298台にまで減少しました。とはいえ、まだ300台も、、、この辺りからテレワークが盛んになってきます。

そして今回日経が伝えるところによると、国内では38社が不正アクセスを受けたとしています（海外を含めると900社超）。38社のうち日経が把握した被害企業としては、日立化成、住友林業、ゼンショーホールディングス、オンキョー、全薬工業、岩谷産業、ダイヘン、自動車総連などの名前があがっています。

フォーティネット、パロアルトネットワークス

今回はパルスセキュアのVPNが狙われ、脆弱性に対する適切な対応を怠った企業がその被害にあったというお話です。実は他にも脆弱性が注意喚起されていたVPN製品として、フォーティネット、パロアルトネットワークスの名前が4月時点であがっていました。

パルスセキュアほど多くはないかもしれませんが、この両社の製品に関しても、既知の脆弱性に対してパッチの適用や必要なシステムアップデートが行われず、不正アクセスを受けてしまったというニュースも、、、たぶんこのあと出てくるんでしょうね。

一昨日の日経に続き、今度はアイ・オー・データでも不正アクセスを受け、サービス利用者の個人情報約6万件が流出したと報道されました。不正アクセスを受けたのは5/7。5/8には専門機関と調査を進めており、同日に開示も行っています。

NarSuS（ランディスク遠隔管理サービス）

同社が運用するランディスク遠隔管理クラウドサービス「NarSuS（ナーサス）」に関わるサーバが第三者による不正アクセスを受け、約6万件の個人情報が流出しました。

流出した情報は、メールアドレス、氏名、郵便番号、住所、電話番号、FAX番号、会社名、部署名、製品型番、MACアドレス、製品シリアルナンバー。。。どうやら法人顧客のIT担当者の個人情報のようです。

NarSuSというのは法人向けサービスで、同社の法人向けNAS（ネットワーク接続のハードディスク）であるランディスク（商品名）という商品を購入した企業に対し、同社のサーバから遠隔で監視し、顧客側IT担当者に監視情報を提供するサービスです。

遠隔・複数のランディスクを一括管理できたり、障害発生時に素早く正確に状況が把握できる。という無料のサービスです。システム会社なんかでは、そのシステムのバッチ処理とか、ジョブの実行状況を運行・監視するチームがあるものですが、これを代行してくれるサービスですね。

NarSuSサービスは停止

外部調査機関とともに本件調査を継続するようで、NarSuSサービスは停止したままのようです。影響範囲の限定にはやむをえませんね。ただ、公表文の中に、「他の弊社システムへの不正アクセスの有無も調査し、、、」というくだりがあります。だけじゃないのかも・・・。

顧客側のハードディスクの情報等は流出していません。迅速な公表は良い感じですし、ホームページ上での周知も良し。公表文には顧客への真摯な姿勢も見て取れました。どこかのサイバー対策ソフト販売の〇〇〇〇マイクロとかとは大違いです。

ベネッセコーポレーションの個人情報流出事件を巡り、顧客らが同社とグループ会社のシンフォームに損害賠償を求めた訴訟の控訴審判決で、東京高裁は約160人に1人あたり3,300円を支払うよう両社に命じました。

一審の東京地裁では請求を棄却されてたようですが、今回は勝訴。さらに別の訴訟の判決でも、シンフォームだけに賠償を命じた一審判決を変更し、450人に同額を支払うよう両社に命じたとのこと。

ベネッセの個人情報漏えい事件

2014年にベネッセ（進研ゼミの会社）の委託先の契約社員が個人情報を不正に外部に持ち出し、3000万件を超える個人情報が名簿業者に売却されるという事件が起きました。この事件の被害者に対し、ベネッセは金券500円を配ったというお話です。

万が一個人情報が漏えいしても、1人あたり500円くらいなら、、、ということでインパクトがなく、日本ではサイバー保険が浸透しないという記事を以前書きました。3,300円が妥当な金額かどうかはともかく、一気に6倍になったわけですね。

欧米に比べるとかなり見劣りする水準かもしれませんが、被害者がベネッセ側に賠償を求める訴訟は他にもまだあるようです。もう一段高額の判断が今後出るかもしれません。

サイバー攻撃に対するリスク感覚

個人情報漏洩の価値というかリスク、1人3,300円で何か変化が起きるでしょうか？まだ今回の水準では日本企業のリスク感覚に大きな変化はないんでしょうね。これによりサイバー保険が一気に人気商品になったり、どこかのサイバーセキュリティソフトの会社が姿勢を正すことも、、、あまり期待できないかな。

ワン切り詐欺に続いて今回はフィッシング詐欺です。偽物のサイトに誘導してIDやパスワードを入力させ、これを盗み取るわけですが、従来は誘導の手段がメールでした。ところが最近はSMSによる誘導が増えてきています。スミッシングというんだそうですが、、、これまた、kuniのところにも来ています。

佐川急便や日通でも

このスミッシング、佐川急便の偽サイトでかなり有名になりましたよね。SMSを確認すると、「お客様宛にお荷物のお届けにあがりましたが不在のため持ち帰りました。配送物は下記よりご確認ください。」という内容。下記には佐川急便の偽サイトのリンクが張ってあります。

最初にこのニュースを見た時には、正直、考えたやつ凄いなぁ、、、って思いました。このSMSだったら、偽サイトへのリンクポチっと押しちゃいますよね。そういう才能、もっと真っ当な世界で活かしてくれよって感じです。後に日通でも被害があったようですし、1500件以上の類似ドメインが取得されていたことも報道されてました。

なぜ、いまSMS？

では何で今SMSが利用されるのか、なんですね。パソコンのメールのようにアドレスを取得する手間がなく、電話番号だけで済むこと。スマホは常時電源が入っていて、相手にすぐ届くこと、などが考えられます。そして最も大きな理由が、一時被害者のスマホを乗っ取って、二次被害者に偽SMSを送り付けることができるようになったからだそうです。

一次被害者が偽サイトで不正なアプリをインストールさせられ、そのアプリがスマホの電話帳登録先（二次被害者）に偽SMSを送り付ける、、、なんてことまでしてしまうみたいです。かなり端折って書きましたが、SMS恐るべしです。よく知っている会社であっても、SMSのリンクからサービスは利用しないこと！！！　皆さんもお気を付けください。