情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2022年4月19日号
***************************************************************
サイバー攻撃で窃取された金銭はどこに消える?
***************************************************************
2022年第一四半期は、過去最高と呼べるくらいのサイバー攻撃が発生した。
原因の一つにはロシア・ウクライナ情勢により発生したサイバー攻撃もあるが、それだけとは言えない。
サイバー攻撃対策として何をしなければならないのかと頭を抱える企業も多いのではないだろうか?
2022年早々に入ってきたニュースの一つにメタップスペイメント社の不正アクセスニュースがある。
クレジットカード等の決済サービスを行うDBがサイバー攻撃を受け、46万件もの利用者のクレジット
カード情報が流出した。
クレジットカード情報の流出は、流出したカード情報を名義本人になりすまし不正利用するという
2次攻撃が可能となり、直接名義人である個人もしくはECサイト運営企業に金銭的な被害を与え
ることになる。
3月に日本クレジット協会から発表された2021年のクレジットカード不正利用の被害額は、年間で
330億1千万円あり、その内番号盗用被害は311億7千万円にも上る。
これは2000年に起きた不正利用額の308億7千万円を超え過去最高となったが、2000年当時
被害の約半分が偽造カードによる被害であったのに対し、昨年の被害額の約95%が番号盗用に
よる被害であった。
つまり流出した情報を不正利用した犯罪が圧倒的に増加しているということで、実在のカード番号
を使って不正利用する方が攻撃者にとっても簡単で、犯罪発覚のリスクが下がるという事である。
このようなクレジットカード情報の不正利用の要因としては、大きく以下の3つに分けられる。
1.
企業に対するサイバー攻撃で流出した情報を利用
2. フィッシング攻撃で流出した情報を利用
3.
流出した個人情報を使い、正規手順で作成したカード情報を利用
▼企業に対するサイバー攻撃
ハッキングなどにより内部に侵入されて情報を窃取される方法以外に、よく利用される手法としては
「Webスキミング」と呼ばれる手法があり、ECサイトに対して不正プログラムを送り込み、クレジット情
報を窃取してサイバー攻撃者に送信するという手口である。
この手法は、利用者もECサイトも気づくことが難しく一度不正プログラムを設置されると巧妙に情報
を抜き取られてしまう。
▼フィッシング攻撃
フィッシングメールは誰もが受けたことがあると思うが、実在の企業やサービスを装い、メールで不安を
煽りながら偽サイトに誘導して個人の重要情報を盗み取る手法である。
フィッシング対策協議会の発表では、2022年3月のフィッシング報告状況は8万2380件で前月比
約170%で、この1年では最も多い数となっている。
確かに3月は筆者にも1日10件以上のフィッシングメールが届いているが、そのメールのほとんどは、
メールソフトの「フィッシング」というフォルダーに振り分け配信される。
これはメールソフトの「振り分け設定」で【.cn】という中国のドメインを設定しただけで70%程度が
振り分けられる。これは日本企業のサービスが中国のドメインを利用する事は考え難いからである。
皆さんも試しに設定されることをお奨めする。
フィッシングというとメールやSNSを使って不安を煽り、偽サイトに誘導してカード情報や個人情報を
盗み取られるという印象を持っていると思うが、Emotetや他のマルウェアに感染させるようなメールが
送られてくるものも、メールで偽サイトや添付ファイルにアクセス誘導して悪性プログラムに感染させて
重要な情報を盗み取るという意味では、フィッシング攻撃の一つであるという見方もできる。
▼特定個人になりすまして作成したカード
詳細は長くなるので別の機会に説明するが、クレジットカードを作成するときに必要な個人情報や
個人特定情報(身分証)、決済情報などの流出情報から、特定の個人になりすましクレジットカード
を作成してしまう方法である。
さて、様々な形で流出し利用可能なクレジットカード情報があるが、実際にこれらの情報はサイバー
闇市場で売買されている。
実際にブラックマーケットと呼ばれる、その闇市場を覗いてみると驚くほどの情報が存在する。
もちろん日本の情報だけではないが、日本の情報は高く売買される傾向があり人気もある。
人気が高いのはフィッシングによって流出したカード情報であり、理由は情報の正確性からである。
そのほとんどは名義人が自ら偽サイトに入力したデータであることから、間違いがない。
更に、クレジットカードの利用残高によっても売買される金額が変わり、販売される中では最も売価
が高く、一般的には1件の情報が1万円から2万円程度で売られている。
情報提供者は、高価であっても「正確な情報で直ぐに元は取れる」とし強気の販売を行う。
企業へのサイバー攻撃で流出した情報は、流出が判明した企業が対策を取ると、その情報の正確
性は下がり、場合によっては利用できないという事もある。
そのため、1件の販売価格は下がり、こちらも利用限度額やその他条件によって価格は前後するが
一般的には5千円前後で販売されることが多い。
特定個人になりすましたクレジットカードは、利用が名義人に判明した段階でカードそのものの利用
ができなくなる。いわゆる1回限りの利用が原則の特殊な利用になり売価もマチマチである。
このブラックマーケットの状況に関して、先日取材を受けてた内容が4月21日にテレビで放送される
ので興味のある方は是非見て頂きたい。
▼NHK総合 所さん!事件ですよ 「人気女優もダマされた!?フィッシング詐欺急増中」
https://www.nhk.jp/p/jikentokoro/ts/G69KQR33PG/episode/te/1MV4XJJW1R/
このような様々なクレジットカードの不正利用によって得た商品は、特定の場所で売買されてサイバー
犯罪者の下に金銭が入る訳だが、このような攻撃をするサイバー攻撃者の中には、背景に国家が
支援するハッカー集団もいる。
世界中の捜査機関やセキュリティ会社などが調査していて、サイバー犯罪が発覚したケースも多い。
少なくとも言えるのは、悪いことをしている人間にお金が渡るという事である。
日本はこれらのサイバー犯罪を助長するようなセキュリティ対策しか行えていない。
しかも情報が流出したとしても大騒ぎしない。情報流出が起きても「注意します」で終わってしまう。
クレジットカードの不正利用だけではない、銀行口座、証券口座、キャッシュレスペイ、暗号資産、
様々なところで不正にお金が窃取されていて、毎年の被害の増加は日本の経済成長率を上回る。
このままでは日本が倒れてしまう。
皆が厳しく批判し、意見を出すロシア侵攻や中国の台湾有事、そして北朝鮮のミサイル問題が
我々日本人のお金を利用されているとしたら、日本にも問題があるのではないだろうか。
様々な脅威の可能性を理解して、そのリスクに対応する事が情報セキュリティの基本概念である。
サイバー空間の脅威を理解して一人一人が意識を変える必要がある。
---------------------------------------------------------------------------------
<参考URL>
INTERNET
Watch:2022/4/14
3月のフィッシング報告数は前月から約3万件の大幅増加、「えきねっと」などJRグループをかたる
詐欺の手口に注意
https://internet.watch.impress.co.jp/docs/news/1401971.html
京都新聞:2022/4/16
社説:クレカ被害 便利さのリスクに注意
https://www.kyoto-np.co.jp/articles/-/773638
日経XTech:2022/4/6
クレジットカード情報の窃取に気づかない、再び忍び寄る「Webスキミング」の手口
https://xtech.nikkei.com/atcl/nxt/column/18/00676/033000103/
SouthPlume
NEWS:2022/4/14
【中国ブラックマーケット】フィッシング攻撃用ソースコードの販売増加中
http://www.southplume.com/news20220414.html
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved