情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2020年11月19日号
***************************************************************
激化する日本へのサイバー攻撃 緊急事態宣言クラス
***************************************************************
日々サイバー攻撃、ハッキング被害のニュースが確認されている。
この約3ヶ月日本に対するサイバー攻撃が多発していて【9月20件】【10月17件】そして11月に
入り18日現在で【17件】のハッキングによる情報漏洩等の被害が各社ニュースに掲載されている。
ハッキング被害の中にはホームページ改ざんからなりすましによる出金被害など様々であるが、情報
漏洩という点ではメールアドレスなどの個人情報やクレジットカード情報などがあり、クレジットカード
情報の流出数は9月からの約3か月で【10万件】を超えている。
しかしこの数字はあくまで流出可能性として確認できたものだけであり、確認ができていない被害と
ハッキングそのものに気付かずニュースになっていないサイトも存在するため、実際にはもっと多い数字
であることは間違いない。
11月11日にはダークウェブ内のブラックマーケット【Cit0day】のDBが流出しインターネット上に公開
され共有された。
この中には全世界の約2万3千個のサイト情報があり、日本のサイト(.jp)が219件含まれていた。
その後調査した結果、.net/.org/.comのドメインで日本のサイトが多数確認され
.jpと合わせて
約400の日本サイトが存在していた事が分かった。
この情報には480万件を超えるユーザアカウント情報があり、これを使えば誰でも該当するサイトに
ログイン可能となってしまう。
対象ドメインを任意に調査してみたところ、企業サイトやショッピングサイト、中には自治体などの
公的機関も存在していた。
正規のIDとパスワードでログインするのだから当然セキュリティソリューションに検出されることもない。
対象となるサイトは早急に対応をしなければ2次、3次の被害に遭ってしまう可能性がある。
ドメインは弊社ホームページに掲示しているので確認して欲しい。
11月2日にサイバー攻撃を受けていたカプコンはランサムウェアによってデータが暗号化されてしまい
解凍のための金銭約11億5000万円を要求されていた。しかも金銭要求に対し拒否したため
ネット上にカプコンの流出情報が公開された。流出した個人情報総数は36万4000件にも上る。
このようなケースはどこでも発生する可能性があり、このようになると企業は何もできない。
11月17日イベントやチケットなどの管理を提供するオンラインサービス「Peatix」が不正アクセスを
受け677万件の情報流出というニュースが入ってきた。
間接的ではあるものの関係がある会社であることからSIPSで直ぐに調査を開始した。
そして翌18日ロシア及び欧州のブラックマーケットに当該流出情報を掲示しているハッカーフォーラム
を複数発見した。
サイトから状況確認すると11月11日に情報販売の掲示と共にDBサンプルの提供を開始していた。
更に16日に暗号化を解除した120万個のアカウント情報が共有されていた。
直ぐにサンプルを確保すると同時に情報提供者にコンタクトし全体情報も確保することに成功した。
調査した結果、ニュースに出ていた677万件の情報は当初SQLDBファイルの宣言部分に書かれて
いたAUTO_INCREMENTの数であると推測され実際の情報件数は420万個の個人情報であった。
もちろん全てのファイルであるという確証は取れていないが、おそらく当初の数ではなく420万個程では
ないかと推察される。情報の中には残念ながら関係する知人の情報も含まれていた。
そして直ぐに関係者に連絡しSIPSの調査情報を提供した。
今回のように中国以外のブラックマーケットに情報がある場合、被害を受けた会社でも見つけ出す事
は出来るかもしれない。
しかし、もしこれが中国ブラックマーケットであれば、そこにアクセスすることもできず、状況の確認ができ
ないまま時が過ぎ、2次被害、3次被害を待つしかなくなる。
今週、中小企業向けのセキュリティセミナーで冒頭に話した内容は、次のような内容である。
日本の多くの会社がサイバー攻撃の被害を受けているが、このようなハッキング被害は企業の大小に
関わらず起きる可能性があり、その確率は平均57.6%もあり被害に遭った時の平均被害額は2億
4000万円にも上る。※トレンドマイクロ社「法人組織におけるセキュリティ実態調査
2019年版」
万一情報漏洩による訴訟賠償が発生すると平均で6億3700万円がこれに加わる。
※日本ネットワークセキュリティ協会「2018年情報セキュリティインシデントに関する調査報告書」
個人情報保護法の改定によってハッキングによる情報漏洩が発生した場合には報告義務が必須と
なり、報告義務違反や虚偽報告があると罰金が最大1億円かかる。
情報流出したかどうかも分からないと言う訳にはいかないのである。しかもこれらの費用を合計すると
約10億円必要となるが、果たして10億円を出せる企業はどの程度いるのだろうか。
聴講者から「何から始めたら良いか」という質問があったが、まずは自社の状況を正確に把握することが
必要でありシステム構成や保有情報量は当然ながら自社サーバがハッキングされる危険性はどの位
あるかを理解し、予めハッキングされた時にどうするかという対策を作り上げておくことが重要であると
回答した。
年末年始にかけて例年サイバー攻撃は増加し1年でもトップクラスの事象数が確認されている。
ハッキングされないためにどうするかというセキュリティ対策も重要であるが、ハッキングされた時にどうするか
という事もこれからのセキュリティ対策として考えておかなければならない。
対岸の火事どころではなく隣が火事になっていて、いつ飛び火するか分からない状況が今のサイバー
攻撃の発生状況なのである。
新型コロナウイルスによる経済悪化を乗り切ったとしてもサイバー攻撃で会社が存続できないのでは
本末転倒になってしまう。
---------------------------------------------------------------------------------
<参考URL>
SankeiBiz:2020/11/18
カプコンが「11.5億円の身代金要求」拒否 犯罪集団からの金銭要求応じず
https://www.sankeibiz.jp/workstyle/news/201118/cpd2011180612001-n1.htm
NHK:2020/11/18
「Peatix」最大677万件情報流出
宇都宮の食事券購入者含むか
https://www3.nhk.or.jp/news/html/20201118/k10012717901000.html
SouthPlume
NEWS:2020/11/11
ダークウェブのマーケットを通じて、日本の約400個のウェブサイトのアカウント480万個流出‼
http://www.southplume.com/news20201111.html
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved