ネット犯罪の最新手口と被害事例

security_17

ほとんど毎日のようにテレビや新聞、WEBニュースなどで報じられるセキュリティ関連の事件や出来事。セキュリティに対しての意識が年々高まり、家庭・職場で対策が講じられているはずなのに、個人や企業・団体をターゲットとした攻撃は後を絶ちません。それは日々、攻撃の手段が多様化しているのが原因です。

攻撃者は機器やソフトの脆弱性を研究し、最新の手口で攻撃をおこないます。使った手口が広まり、対策がなされると、さらに新しい手口をくり出すのです。このようなサイクルをくり返し、次第に手口も巧妙になっています。

この記事では、最新の手口と被害事例をご紹介します。

ネット犯罪の手口に変化

2014年?2015年にかけて、セキュリティの手口には大きな変化が起こりました。これまでは、直接にパソコンを狙うケースが多くありました。しかし、最近は標的を周辺機器としてきています。USB機器や脆弱性があるネットワーク機器を探しだして、直接ウイルスを、もしくはWEB経由で感染させてユーザーに攻撃をしかけます。

おもな攻撃の目的は金銭ですが、個人情報を狙うケースも多いです。ノートパソコンに装備された、PCカメラを使用する盗撮という場合もあります。実際、盗撮された画像がネットに公開された事件もありました。LAN接続のネットワークカメラを遠隔操作で盗撮する手口も登場しています。

セキュリティ対策の根幹が崩れはじめた・・・

攻撃を防御するための縦になる、パスワード・暗号化といったセキュリティ対策の機能も盤石ではなく、ここ1年でつぎつぎに対策機能事態の脆弱性が見つかっています。セキュリティ対策を突破、もしくは回避する攻撃も発見されていて、その根幹が揺さぶられる事態が起きているのです。

手口の進化

サイバー攻撃として使い古されているはずの手口も進化を遂げています。たとえば、金銭をユーザーに請求する偽ソフトは、これまでほとんどだまされない手口でした。

大半の偽ソフトは、要求の内容が英語で表記されていて、海外の連絡先であるために多くの場合で無視されたのです。ところが、2014年には日本語表記のものが登場し、巧みな誘導方法に変化しました。

ここ数年で勢力を増すSNSのスパム投稿も、巧妙な手口になってきています。ちょっとしたユーザーのスキやサービスの盲点を突いて、大量にスパム投稿を拡散する方法がつぎつぎ発見されました。

ネット犯罪の被害事例

このような脅威の引き起こした事件の一部は表面化しています。手口の大半はウイルスを使用していて、さまざまな場所から侵入してきます。攻撃に使われるのはアンダーグラウンドサイトなどで配布されているツール。ある程度知識があれば使うことができます。もはや、対岸の火事で済まない状態です。

主な被害事例一覧

security_11

インターネットで暗躍している攻撃者は、多くの場合が犯罪集団で、国家や大企業がおもな標的です。しかし、不特定多数の個人もターゲットにしています。さらに、身近な悪意ある何者かが、あなたを標的とする可能性も十分ありえるのです。

BadUSBの周辺機器が攻撃を仕掛ける

2014年8月に米国で開催されたセキュリティ関連のイベントで、これまでになかったサイバー攻撃の手口が発表されました。それは、USBをつなぐだけで攻撃を受け、セキュリティ対策ソフトでは検知が不可能。さらに、根本的な対策はなく痕跡も残しにくいというものです。この脅威を、登壇の研究者らは「BadUSB」と呼称しました。

BadUSBの脅威

キーボードやUSBメモリなどすべてのUSB機器には、ハードウェアを制御するためのファームウェアが内蔵されています。しかし、このファームウェアをユーザーの許可なく書き換えることができるというUSBの仕様が問題になります。不正なプログラムを攻撃者が書き換える危険?それがBadUSBの脅威です。

ユーザーが席を外した間に、パソコンにつながれたUSB機器を攻撃者が外し、不正プログラムに書き換えて戻す、という手口が考えられます。プログラム次第で攻撃方法は異なりますが、パソコンのデータの破壊程度であれば、カンタンなプログラムで実行できてしまいます。

セキュリティ対策ソフトが検知できない

security_12

ファームウェアのやり取りは、ドライバとWindowsデバイスを介しておこないます。ファームウェアの挙動をセキュリティ対策ソフトで検知することは不可能です。

USB機器の偽装・機能の改変であらゆる攻撃をすることができます。たとえば、LANアダプタ用にUSBメモリのファームウェアを改ざんし、ネットワークの設定を書き換えると、不正なサイトへユーザーを誘導できます。USBキーボードの制御方法を書き換えると、不正な操作を背後で実行することも可能になるのです。

ウイルス連携なら検出可

ただし、多くの機器はファームウェアを格納するフラッシュメモリの容量が少なく、手の込んだ攻撃を実行するプログラムまでは収納できません。そういった攻撃であれば、別途ウイルスをBadUSBでダウンロードさせて仕掛けます。ウイルスがファームウェア外で活動すれば、セキュリティ対策ソフトで挙動を検出できる可能性が上がります。

BadUSBによる攻撃は、2015年1月末時点で発見されていません。しかし、表面化していないだけで実際に仕様されている可能性は十分にありえます。

自宅のPCカメラが私生活を盗撮する

現在、カメラ機能はノートパソコンにつきものです。ネットでは、このカメラを使用したWEB経由の盗撮が横行しています。大々的に報じられたのは、米国のミス・ティーン受賞者が被害者になった2013年8月の事件です。被害を受けた女性が所有していたパソコンのカメラで私生活が盗撮され、脅迫を受けていたといいます。

脅迫やストーカー行為に

こういった犯罪で使用されたのが、遠隔操作ツール「Remote Administration Tool(RAT)」です。何らかの方法で攻撃者は盗撮対象のパソコンにウイルスを侵入させます。これにより遠隔操作ツールを使ってPCカメラを操作。カメラ操作のみならず、個人情報を盗んだり、ほかのサーバーを攻撃する踏み台にする仕組みがある種類もあります。

犯行の目的

攻撃者が盗撮するおもな目的は、ストーカー行為や脅迫です。報告された事例によれば、顔見知りの犯行が少なくありません。

悪意を持った知人にパソコンの修理を頼んでウイルスを仕込まれたり、ウイルスの埋め込まれたWEBサイトをネット上の知り合いに薦められたことによる被害があります。とくに異性であれば、知り合いであれどパソコンを預けたり、むやみに薦められたWEBサイトをクリックしないことが重要です。

最終手段は物理的対策

ウイルスは基本、パソコンの起動中に動作します。しかし、海外ではPCカメラをシャットダウン中にも作動できるものが出回っていると報告されています。警戒したほうがよいでしょう。

完全に盗撮を防止するには、外付けであればカメラ事態を外す。内蔵であればカメラ部分にシールを貼ったりして物理的に隠しましょう。背後でウイルスがカメラ機能を有効にしてしまう可能性があるので、デバイスマネージャーでカメラ機能を無効にするという方法は、盗撮対策としてオススメできません。

ネットに映像が筒抜け

危険はLAN接続のネットワークカメラにも潜んでいます。家庭向け製品であれば、自宅の防犯を目的に設置される場合が多く、多くはWEB経由で外出先から閲覧できる仕組みになっています。

ということは、24時間インターネット経由で映像を送信しているのと同じです。通常は第三者に見られることがないようにユーザー認証をおこないますが、これがもし破られれば、プライバシーが筒抜けです。

実際、複数メーカーのネットワークカメラ製品で、ユーザー認証を回避して操作される脆弱性が発見されています。アイ・オー・データ機器のネットワークカメラでは、外部より特別なURLを指定すると、認証無しでアクセス許可をしてしまうという問題が一部製品から発見されました。

そのURLを第三者が知るには、IPアドレス・ポート番号を指定する必要があり、誰しも実行可能なわけではありません。しかし、盗撮の危険性があります。同社では、2014年7月に修正用のファームウェアを公開、現在も更新を呼びかけています。

パスワードの2段階認証を攻撃者が突く

ネット犯罪の常とう手段は、他人になりすましてネットサービスに侵入。金銭や重要な情報を盗むことです。そのために、攻撃者はネットサービスの認証パスワードを狙います。

ネットサービスごとに異なるパスワードを設定して覚えるのは大変なため、つい1つか2つのパスワードを使い回すというユーザーは多いです。このようにパスワード管理の甘いユーザーを攻撃者はターゲットにします。

最近は、あるネットサービスの流出ID・パスワードを使用して、別のネットサービスに不正アクセスする「パスワードリスト攻撃」が相次いでいます。この攻撃は「リスク型アカウントハッキング」とも呼ばれ、組み合わせの同じID・パスワードを使いまわしていればアウトです。

niconicoの被害事例

security_13

流出事故が起きた ネットサービスではない別のサービスで発生するアクセスですから、被害があってもユーザーは気づきにくくなります。パスワード流出時の被害をユーザーが最小限に抑制するには使い回しを控えてパスワードをWEBサイトごとに使い分けることが大事です。

2段階認証でも油断は禁物

Googleやアップル、マイクロソフトなど大手を中心に、パスワード流出での被害を防止するために、2通りの手段で認証をおこなう「2段階認証」が広がってきています。

一般的なID・パスワードでの認証にプラスして、事前に登録したメールアドレスやSMS宛てで送信された確認コードを使用し、2段階目の認証をおこなう方法です。パスワードが流出しても、確認コードは第三者に届かないので、効果的に不正アクセスを防止する方法といえます。

2段階認証の突破

ところが、2015年1月にネット上で2段階認証を突破するツールが公開されました。ツールに収録されたパスワード500個を使って総当りで認証をテストするものです。

ツールの開発者によると、サービスの脆弱性を突いたとしています。このツールは現在仕様できなくなっていますが、つねに悪意ある攻撃者はこのようなサービスでも脆弱性をねらっているといえるでしょう。

ネットバンクが狙われる

ネットバンクの提供する2段階認証方式の突破も、攻撃者は狙っているのです。主要なネットバンキングでは、パスワード生成器(トークン)を希望者に提供しています。メールで2段階認証の確認コードを受信するのではなく、確認コードとしてトークンに表示されたワンタイムパスワードを入力する仕組みです。

ワンタイムパスワードは短時間で切り替わって、1回の入力に限定された確認コードのため、コードだけ盗まれたところで低リスクになっています。

三井住友銀行の被害

しかし、2014年5月12日に三井住友銀行は、ウイルスを原因として同社のネットバンキングサービスで不正取引の被害が発生していると発表しました。被害者には、2段階認証を利用しているユーザーも含まれていたといいます。

security_14

ログイン直後に、ウイルスが「読込中です」「ダウンロード中」といった偽の手続き画面を表示し、送金手続きをおこなわせた上で、別の入金データを送信します。利用者に気づかれないように不正送金を背後でおこなっていました。万全なパスワード対策でも、不十分んウイルス対策だと、このようなリスクが襲います。

SSLの暗号化通信でも情報が漏れる

WEBを利用していると、登録手続き・通販などで個人情報やカード番号を入力する機会が少なくありません。しかし、暗号化されていない状態で重要な情報を送信すれば、頭頂のリスクがあります。さらに、悪意ある攻撃者がWEBサイトの運営者になりすまして情報を盗む可能性もあるのです。

このような通信の安全性を確保するため、SSLという仕組みが考案されました。「認証局」という中立的な企業・組織からWEBサイト側がサーバー証明書の発行を受け、これを利用して暗号鍵を作成。WEBサイトの認証。通信の暗号化をおこなっています。

Googleの証明書

security_16

SSL通信を実現させるライブラリ(プログラム週)として、広く利用されるのがオープンソース「OpenSSL」です。通信の暗号化機能を標準で備えていて、「https://」ではじまるSSL対応サイトの6割以上が OpenSSLにより構築されているといわれます。

OpenSSLに重大な脆弱性

しかし、一部バージョンのOpenSSLで2014年4月1日に「Heartbleed(心臓出血)」という重大な脆弱性が判明。クレジットカード会社の三菱UFJニコスは同4月18日、この脆弱性が原因で同社のWEBサイトから個人情報894人分が漏えいしたおそれがあると発表。閲覧された可能性がある情報は、氏名・住所・カード番号などです。

security_15

Heartbeatに欠陥

情報流出の原因になったHeartbleedとは、要するにサーバーのメモリに保存したデータを盗難に遭うリスクのことです。SSL通信だと、正常にWEBブラウザ・WEBサーバーが稼働しているか確認するために、パケットを交換する「Heartbeat(心拍)」機能を使用しますが、この機能自体に問題がありました。

通常はパケットのサイズをWEBブラウザが申告して送信、WEBサーバーが自身のメモリに書き込んで、サイズ照合小号してから読み出して送信します。しかし、脆弱性があるとサーバー側がサイズを照合することなく、そのまま申告の値で処理します。

すると、サーバーはメモリに保存されていた別データを足して送り返してしまうのです。サーバーのメモリにはサーバー証明書の暗号鍵も置かれていて、もしも流出すると、より大きな影響になります。不正な証明書を発行されたり、暗号化通信を解読される危険性があるためです。脆弱性が利用しているネットサービスにあるか確認するには、運営企業に問い合わせる必要があります。

偽ソフトやランサムウェアが脅しをかける

あらゆるソフトがインターネットでは公開されています。多くは便利で役に立ちますが、中にはそう見せかけてユーザーをだます「偽ソフト」詐欺が横行しています。

偽ソフトとは

偽ソフトとは、ウイルス対策ソフトを偽って、実際はそういった機能がないソフトのことをいいます。配布時は無料としてインストールされます。しかし、インストールしたあとにウイルスチェックで「感染している」といった警告画面を表示、対処には有料版を購入するようにと促します。通常、代金を盗まれる以外には何も起きません。

ランサムウェアの増加

その一方で、ここ数年はユーザーがパソコンに保存しているデータを人質に、脅迫する手口が増加しています。「ランサムウェア」というウイルスを侵入させて、文書・写真といったファイルを暗号化して使用不可の状態にします。そのうえで、復号のパスワードを条件に金銭を求めてきます。

手口自体は古いもので、あまり国内で問題視されていませんでした。感染時の要求画面が英語表示のため、国内のユーザーにはわかりにくく、国内から利用できない決済方法が多いといった理由もあります。しかし、ランサムウェアで日本語化されtあものが2014年の後半に発見されました。

手口の巧妙化

ランサムウェアでウイルス感染させる手口も巧妙になってきています。あるWEBサイトが「Adobe Flash Player」の偽のインストールページに書き換えられ、ユーザーを誘導しランサムウェアをインストールさせるといった事例がありました。被害に遭ったら、ファイルは諦める以外ありません。要求額を支払っても復元不可能です。

SNSで自分のアカウントがスパムを拡散

何者かに自分のSNSアカウントが乗っ取られ、勝手に投稿されたスパムが拡散するという被害が続出しています。これは、おもに連携アプリ機能を悪用した攻撃です。

Twitter被害の手口

よくTwitterで起こっている手口で説明します。「性格診断」「無料動画」といった興味を引くツイートがタイムラインに流れてくることがあるでしょう。このようなツイートには、スパムが含まれている場合があります。

すおパムのリンクをクリックしてしまうと、アカウント利用の許可が求められます。これは、外部のアプリが情報の発進を許可するものです。確認することなく画面の「連携アプリを認証」を押してしまうと、スパムが自分のアカウントで投稿されます。さらに自分をフォローする知り合いにもこのスパムを拡散してしまうのです。

アプリ連携をうっかり許可したときは、自分のアイコンをクリックで「設定」→「アプリ連携」→連携を解除するアプリで「許可を取り消す」をクリックしてください。

タグを悪用して拡散させる

スパム被害はFacebookでも深刻な状態にあります。よくある手口だと、パスワードリスト攻撃などでアカウント自体を不正アクセスし、スパム投稿を拡散する方法です。この際、写真をスパムに掲載し、乗っ取られたユーザーの友だちをその写真にタグづけすることで、一気に拡散させます。タグづけとは、友だちが一緒にいたことをアピールする機能で、自動的にタグづけされた友達全員のタイムラインにも表示されます。この機能自体は本来便利なものですが、ネット詐欺師が悪用しています。

メール攻撃でウイルスを巧みに偽装

SNSの利用が拡大したとはいっても、いまだに業務連絡などでメールはよく使用されるツールです。企業・組織の機密情報などを狙った攻撃は後を絶たず、大きな脅威になっています。メールを手段とする攻撃も日々、巧妙化している状況です。

ポピュラーな攻撃手法が標的型攻撃です。攻撃者は標的となる企業・組織の従業員に、ウイルスを仕込んだ添付ファイル・リンクを含むメールを送信。この添付ファイルを従業員が開封すると、ウイルスに感染します。

ただ、見知らぬ相手に突然ファイル・リンクを送付しても、通常は警戒されてしまいます。なので、やり取りを数回おこなった上で相手を信じさせ、実行に移す手口が出てきているのです。

ファイル名で判断できない

攻撃者は、添付するウイルスファイルにも細工します。「exe」のような拡張子の実行形式だと、受け取る側に見破られる可能性があります。そこで、巧みにファイル名の偽装をおこなうのです。

そのひとつの手口が、Unicodeの制御コード「RLO(Right-Left-Override)」を挿入する方法になります。RLOとは、右から左に文字の読み方を変更する制御コードです。このコードをファイル名の途中に挿入すると、拡張子の偽装が可能になります。たとえば、「fil[RLO]fdp.exe」とすると、実際の表示が「filexe.pdf」になります。用心深く確認しないと、見逃してウイルスに感染してしまいます。

添付ファイルを開封させるため、Windowsショートカットに偽装したウイルスの手口も出現しています。これは、ショートカットファイルで設定するリンク先をウイルス機能のスクリプトにするだけで作成が可能です。これをダブルクリックすれば、ウイルスに感染します。つまり、ショートカットファイルが実行形式のファイルと同様のものになってしまうのです。

ショートカットファイルのアイコンには矢印が左下に出ますし、メールサービスによっては送受信できないこともあります。引っかかりにくいと思ってしまいがちですが、実際に感染したケースが存在します。

まとめ

ネット犯罪の最新手口と被害事例をご紹介しました。被害事例を見ていただいた通り、その手口は多様化しています。全てにおいて対策するというのは、難しいのが現実です。まずは、重要度の高いところからセキュリティ対策することが必要です。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

今、注意すべき攻撃手口はこれ!【2016年最新セキュリティ脅威レポート】 特別プレゼント

・「セキュリティ診断」で何がわかるの?
どんな危険が見つかっているの?
どんな被害が発生しているの?

もし、あした「情報漏えい事故」であなたの会社がニュースになったら?
攻撃者は、自動攻撃ツールを使って24時間365日、攻撃できるスキマを狙っています。
セキュリティ事故は、いつ起きてもおかしくありません。

【2016年最新セキュリティ脅威レポート】では、弊社が実際に疑似攻撃(ペネトレーションテスト)をおこない、検証した結果から、2016年注意すべき脆弱性・実際に多かった不備などをお伝えします。

「今、どんな被害が起きているのか?」
最新のセキュリティ脅威を知って、事故を未然に防ぎませんか?
ぜひダウンロードして、今後のセキュリティ対策にお役立てください。


【2016年最新セキュリティ脅威レポート】目次
1. おもなWebアプリケーション診断項目
2. ペネトレーションテスト内容とは?
-2015年度ペネトレーションテスト初回診断時総合評価の結果一覧
-脅威レベル深刻度別・脆弱性の該当比率一覧
3. 2015年度に多く検出された脆弱性とは?
4. ペネトレーションテストで発見した、新らなる脅威とは?
-最近また増えた、ウイルス感染配布サイト
-パケット改ざんプログラムによる被害

セキュリティレポートをダウンロードする >