SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2023年2月9

***************************************************************
 サイバーセキュリティ月間。氾濫するサイバー攻撃 各地で被害続出!
***************************************************************
2023年内閣サイバーセキュリティセンター(NISC)らが推進する「サイバーセキュリティ月間」が2月1日
から始まった。
生活に影響を及ぼすサイバーセキュリティに関する問題が多数発生していることから、国民一人ひとりが
セキュリティについての関心を高め、対応していく目的で政府がサイバーセキュリティに関する普及啓発
強化のために行うものである。

毎年、世界中のセキュリティ関連機関やセキュリティベンダーから新たな対策やソリューション等が続々と
発表されているが、現実問題としてサイバー攻撃は減少するどころか、より一層の上昇傾向にある。
その理由は、情報セキュリティ対策をする団体や企業に比べサイバー攻撃者たちの技術の方が遥かに
進んでいるからである。

最近確認されたサイバー攻撃の内容を見ると、新しい攻撃手法が様々確認されている。
Golangベースの“Titan Stealer”と呼ばれる新しい 情報窃取マルウェアが、Telegram チャネルを
通じて攻撃者の中で流通し始めている。
このマルウェアはセキュリティ検知を回避する機能を有して潜入し、特定の機能や被害者のマシンから
盗み出す情報の種類を特定することができる。その後C2サーバを通じて窃取した情報を送信する。
Golang を使用する理由は、Windows、Linux、macOS などの複数のOSで実行可能なマルウェア
として生成出来るためである。

中国のハッキンググループはセキュリティ検知を回避するためにGolangマルウェアを利用し、ネットワーク
内部を並行してハッキングするラテラルムーブメント、権限昇格、悪性マルウェアの実行などを行っている。

これに対し、Google検索などの一般的なオンライン広告に見せかけてユーザをマルウェア拡散用の不正
なWebサイトに誘導する広告が表示される事例が急増しているという。

また人工知能(AI)を利用したチャットボット「ChatGPT」が注目されニュースになっているが、これを悪用
するサイバー攻撃も想定されている。
カナダのIT企業BlackBerry社によると、既に71%はChatGPTが国家的なサイバー犯罪に使われて
いる可能性を指摘している。

一方、イタリアの国家サイバーセキュリティ庁はVNware製サーバ狙ったサイバー攻撃について警告する。
世界各地で多数のランサムウェア攻撃の被害を確認しているが、VNwareサーバが世界的にランサム
ウエア攻撃のターゲットになっているとしている。

英国の国家サイバーセキュリティ センターは、ロシアとイランの国家支援の攻撃者が情報収集活動の
ために仕掛けたスピアフィッシング攻撃について警告していて、そのターゲットは学界、防衛、政府機関、
NGO、シンクタンク、政治家、ジャーナリスト、活動家など、特定の部門を標的にしているという。

これらは一例でしかなく、他にもサイバー攻撃の新たな手法、技術、プログラムなどが次々と確認される。
サイバー攻撃には目的があり、その目的によって攻撃のターゲットや手法、攻撃内容も変わってくる。

1.ランサムウェア攻撃(暗号化によるシステム停止と脅迫)
ランサムウェアであれば、被害を受けて困惑、混乱する医療機関や研究機関、重要機密情報を保有
する団体や企業が狙われる。背後には大がかりなハッキンググループが存在するだろう。
動かないと困るシステムを狙い脅迫により多額の金銭を要求する。
日本でも医療機関や教育機関、日本を代表する大手企業などが狙われている印象がある。

2.各種巧妙なハッキング攻撃(高額な金銭を奪う事を目的とし事前準備が巧み)
暗号資産や銀行の不正送金を狙い、明らかに多額の金銭を奪い取る攻撃があるが、その手法は巧妙
かつ多様な攻撃を繰り返している。このような攻撃は北朝鮮のように国家が支援するハッキングループ等
の存在が見え隠れする。

3.マルウェア攻撃/フィッシング攻撃(ログイン情報窃取と流出情報の2次利用)
情報窃取マルウェアを利用したフィッシング攻撃では、ショッピングサイトや電子決済、金融機関などの
ログインアカウント情報などが狙われ、その流出情報を2次利用した各種サイバー犯罪が起きている。
このような攻撃は、全述の2つの攻撃とは違って被害額は比較的少額ではあるが、攻撃者は民間の
ハッキンググループや個人のハッカーなど無数に存在している。
また国家支援のハッキンググループも情報収集目的でマルウェア攻撃を行う場合もある。

このように目的によって攻撃手法も変わるが、ランサムウェア攻撃は被害件数が増大していて被害額も
大きくなるので、世界的にも警戒される攻撃の一つである。
しかしマルウェア攻撃は1件の被害は少額であっても、2次利用によって被害額は積み上がり、攻撃者の
件数も多いことから全体の総額としてみると圧倒的に金額は大きくなる。

先日、キャッシュレス決済の不正利用に関する取材を受けたが、これは流出情報を利用した2次利用
(2次攻撃)である。
では何からこのような不正利用が起きるのかというと最初の契機はメールアドレスの流出からである。
メールアドレスは、個人や特定組織などがE-mailのアプリケーションを使ってコミュニケーションを取るために
利用するもので、企業や個人としてメールアドレスを保有している。

昨今は、携帯電話のメールアドレス、会社のメールアドレス、個人で契約するメールアドレス、更に個人が
自由に利用できるフリーメールアドレスなど一人で複数のメールアドレスを利用するのが一般的である。

そもそも、メールアドレスは連絡手段として電話と同様に名刺に記載している事が多い。名刺以外にも
様々なところに記載するなど公表しているので、公開されている情報と思われがちである。
メールアドレスだけでは「個人情報」扱いになる場合と、ならない場合があることから、一般的には比較的
神経質にはならない情報であるとも言える。

情報セキュリティの関係者でも、メールアドレスは公開情報だから、情報として流出しても大きな問題に
ならない。と言う人もいるが、果たして本当にそうであろうか?

サイバー闇市場と呼ばれる「ダークウェブ」や「ブラックマーケット」には、メールアドレスリストは無数に販売
されている。販売掲示される1件の書き込みで、多い時には数億個のメールアドレスが販売されている。

では、このようなメールアドレスがどういった危険性をもつのだろうか?
昨今、ブラックマーケットで販売しているメールアドレスは、メールアドレスだけでなく、パスワードもセットに
なっていることも多く、このような場合には該当するメールアドレスを乗っ取ることが出来る。
場合によってはメールサーバへの侵入も容易に可能となる。

また様々なインターネットサービスの登録にもメールアドレスは利用されているが、中国ブラックマーケット
では、メールチェッカーと呼ばれる各種インターネットサービスに利用されるメールアドレスを抽出する専用
プログラムまである。
これを使えば任意のキャッシュレス決済で利用されているメールアドレスが確認できてリスト化される。
1万人のメールアドレスがあった場合であっても、このプログラムを利用すると特定のキャッシュレスサービス
で利用されているメールアドレスが瞬時に分かってしまうのである。

サイバー犯罪者(流出情報の2次利用者)からすると、「○○ペイ」というサービス(電子決済)で使用して
いるメールアドレスが分かれば、そのメールアドレスに巧妙なフィッシングメールを送れば、一定の割合の人
が反応し、偽サイトから自分のログイン情報を入力してしまう。
このログイン情報を利用すれば、なりすましログインが可能となり、キャッシュレス決済は制限の範囲で
利用可能となるのである。

「メルペイ」「auペイ」「paypay」などのキャッシュレスペイだけでなく、「交通系決済」「キャリア決済」
「クレジットカード」など全て同じである。

闇市場には、サイバー攻撃を行うためのツールからサイバー攻撃によって窃取した情報まで存在する。
2月2日サンドラグのポイントを不正利用して商品を購入していた中国籍の男が検挙された。
サンドラッグは昨年7月にサイバー攻撃を受け会員情報が2万件近く流出していたが、これも闇市場で
販売されていた情報を利用した2次攻撃であると考えられる。
そして、これらが山積すると巨額となり、よくニュースで見る「不正利用検挙」のニュースはその極僅かな
事件でしか過ぎない。

企業はサイバー攻撃を受けないように情報セキュリティ対策を整えると共に、仮にサイバー攻撃を受けて
情報が流出した時にどのような対応を取るべきか考えておく必要がある。
ランサムウェア攻撃のように情報が暗号化されてしまいシステムが使えないとなれば被害は膨大になるが、
個人情報が流出した程度では直接的な企業の被害は少ない。
しかし、それを放置してしまえば2次被害に繋がるサイバー犯罪が起きる事になる。

今年に入り、中国ブラックマーケットではショッピングサイトのアカウントが大量に流出しているのを確認して
いる。これらのアカウントを2次利用されれば、また不正利用が増加する。
それだけではない、日本に対する「ハッキング予告」も確認されていて国も企業も警戒しなければならない。

今月は、NISCが推奨する「サイバーセキュリティ月間」である。
もはや何処から、どんな攻撃が来るか分からない状況で、明日は我が身かもしれない。
サイバーセキュリティ月間にサイバー攻撃を受けたなどとならないように、企業も個人もサイバーセキュリティ
の意識を強く持ち、個々のセキュリティレベルを上げる事が重要である。
***************************************************************
<参考URL>
内閣サイバーセキュリティセンター(NISC):2023/1/26
#サイバーセキュリティは全員参加 サイバーセキュリティ月間 2023年2月1日~2023年3月18日
https://security-portal.nisc.go.jp/cybersecuritymonth/2023/

NHK NEWS WEB:2023/2/2
不正ログインでポイント使い商品購入か 中国籍の男逮捕
https://www3.nhk.or.jp/news/html/20230202/k10013968261000.html

カナコロ:2023/2/6
メルペイ不正利用 「バーコード生成役」を全国初摘発
https://www.kanaloco.jp/news/social/case/article-967380.html

朝日新聞DIGITAL:2023/2/6
ランサムウェアの被害、230件 前年比84件増、病院や大学も
https://www.asahi.com/articles/DA3S15547804.html

The Hacker News:2023/1/27(英文)
British Cyber Agency Warns of Russian and Iranian Hackers Targeting Key Industries
https://thehackernews.com/2023/01/british-cyber-agency-warns-of-russian.html

                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved