SIPS セキュリティレポート
当社ではSIPSによる調査・情報収集した内容を基に、日本へのサイバー攻撃の傾向や注意事項などを、不定期に“SIPSセキュリティレポート”として、メールにて 【無料配信】いたします。
当該レポートの情報を、ぜひ貴社セキュリティ対策の参考にしてください。
【配信日】 2020年12月10日
PayPayだけで終わらないキャッシュレスサービスの危機
12月7日キャッシュレス決済サービス“PyaPay”が不正アクセスを受けて2007万6016件の情報が流出したというニュースが飛び込んできた。
流出した情報はPayPayの加盟店、代理店、パートナー、営業先の住所、担当者の氏名などでニュースによるとブラジルから不正なアクセス履歴があったとされていて、今年最大級の情報流出と言っても過言ではない。
2年前の2018年10月にサービスを開始したPayPayのサービスは、同年12月に不正アクセスが発覚していて、システム上のセキュリティ対策を強化改善している。
今年9月にドコモ口座から表面化したキャッシュレスペイを不正利用した事件に関しても、当然ながらPayPayも含まれていて、当時18件260万円超の不正利用を確認していた。
今回の不正アクセスの原因は「アクセス権限の設定不備」とされているが、本当にそれだけだろうか?
2年前に不正アクセスされた時に、分からない場所にバックドアのようなものを設置されていて、その後再び侵入されたという可能性もある。
11月の三菱電機に対する不正アクセスも同様で、昨年攻撃を受け今年1月に不正アクセスを公表、その後、きちんとした対策を取っていないはずはない。
しかし再び不正アクセスによる被害が発生しているのである。
最近のサイバー攻撃者は、侵入しても痕跡を残さない手法で不正侵入を行うため、内部システムを調査しても何をされているか分からないことが多い。
もし前回同様の調査で同等レベルの対応策の実施であるとしたならば、今後ハッキングがされない保証はなく、再び侵入が繰り返される可能性が高い。
今回のPayPayの不正アクセスは、ブラジルからのアクセス履歴が注目されているが、それ以外の国からの踏み台によるアクセスであることも想定して調査しなければならない。
中国ブラックマーケットではPayPayに関する情報売買も確認しているが、PayPayだけではなく他のキャッシュレスペイに関する情報売買も多数確認されている。
PayPayだけでなく他のキャッシュレスペイサービスも同様にハッキングされていると考えて間違いない。
インターネットに公表されている最近の日本への不正アクセスの件数は【9月 20件】【10月 17件】【11月 27件】そして【12月 8件】(※12/9まで)となっている。
不正アクセスにもホームページ改ざんや不正メール送信、個人情報漏洩、クレジットカード情報の漏えいなど様々であるが、流出の可能性としては【個人情報 2806万件】【クレジットカード情報 15万件】となっている。
しかし、これはあくまでネットニュースで公表されたものだけの数字であり、不正アクセスを受けているが公表されていない数字や不正アクセスを受けている事さえ分からずに情報を流出している数は含まれない。
ここで注目したいのがハッキングされたサーバの約25%がAmazonの環境を利用してるということである。
中国のサイバー攻撃者はサーバをハッキングして管理者権限を奪うと、中国ブラックマーケットで情報共有しているのだが、Amazonは世界的に10万台以上、日本で2万台以上のサーバがハッキングされていて中国系ハッカーフォーラムで管理者権限情報が共有されている。
ある意味侵入しやすい環境なのかもしれない。
中国ブラックマーケットで売買される情報は、単純な流出情報だけではない。
SMS認証などの2段階認証、各種認証の方法や認証代行作業まで売買されている。
銀行口座情報、クレジットカード情報とセキュリティコード情報、免許証やパスポート、マイナンバーなど個人を特定する個人情報・・・
これら各種情報を組み合わせれば、なりすましによる不正利用がいくらでも可能となるわけである。
約3ヶ月で2800万件以上の個人情報流出、15万件以上のクレジットカード情報流出、この数字を見て我々はどのように考えるべきなのだろうか?
特に中国の闇サイト中国ブラックマーケットは特定の人しかアクセスできないため、ハッキングされていることが分からないまま被害が拡大してしまっているのである。
2016年に開催された【RSAカンファレンス】の結論では、「もうハッキングは防ぐことができない。私たちが防げると勘違いしているのだ。
このような事実を認め、どのような方法で、より早く発見して対応することができるかについて考えることが必要な時代だ。」と纏めている。
サイバー攻撃者は、最初にサーバをハッキングしてから最終的な不正利用までが1回のハッキングで終わるわけではない。
一般的には数週間から数か月の時間をかけて情報収集し、その情報をサイバー犯罪者に売買してその後不正利用される。つまり最終的な不正利用までは時間がかかるというわけである。
したがって、ハッキングが防げないとしたならば、ハッキングされたことをできるだけ早く検知し、2次被害、3次被害に遭う前に対策を打つことが重要になってくるのである。
スマホ決済やクレジット決済などのキャッシュレスサービスは、事業者も使う人も相当な危機感を持つことが必要だろう。
これから年末年始は1年で一番サイバー攻撃が多い時期である。
サイバー攻撃者の罠にかからないよう、被害に遭わないよう心から願うばかりである。
<参考URL>
ITmedia:2020/12/7
PayPayのサーバに不正アクセス 加盟店情報など2000万件に流出の可能性
https://www.itmedia.co.jp/news/articles/2012/07/news091.html
朝日新聞:2020/11/20
三菱電機にまたサイバー攻撃、取引先の口座8千超流出
https://www.asahi.com/articles/ASNCN4V2TNCNULFA00L.html
※当レポートの情報はサイバー情報提供サービス“SIPS”で確認した情報を基に提供しています。
※当レポートにて提供する情報は弊社サービス上で確認した数字で全てのサイバー攻撃に対する数字を表したものではありません。
※当レポートに関するお問い合わせは下記までお願いします。
