SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2022年1月12日号

***************************************************************
 年末年始を狙ったサイバー攻撃を多数確認
***************************************************************
新年明けましておめでとうございます。
2022年が始動しましたが、年末年始は良い年越しが出来ましたでしょうか?

サイバー闇市場は年末年始のお休みはなく、逆に盛んに様々な動きが確認されている。
本日は今年最初のレポートとして、年末年始に確認された日本に対するサイバー脅威をレポート
したいと思う。

毎年、年末年始はサイバー攻撃が増加するが、昨年末から年明けにかけてのサイバー攻撃も例外
ではなく、多くのサイバー攻撃が実行され、企業や個人の被害状況が確認されてきている。
年末年始などの長期休暇は攻撃者にとって格好の狙い目である。理由は人が出社していないため
攻撃に対する確認が遅れるため、時間的に余裕をもって攻撃ができるからである。

そんな中、今回の年末年始は企業向けのランサムウェア攻撃と個人向けのフィッシング攻撃が、普段
以上に確認された。

▼ランサムウェア攻撃
昨年末の12月にSIPSで確認されたランサムウェア攻撃は以下の6件確認された。

【2021年12月に確認されたランサムウェア攻撃】
 日付    確認場所         攻撃者(ランサムウェアグループ) 被害者    
12/10  ロシアブラックマーケット    LV Blog Ransomware   食品会社
12/27  海外ブラックマーケット     AvosLocker          プラスチック製品製造会社
12/28  海外ブラックマーケット     LockBit2.0           自動車・医療部品製造会社
12/28  海外ブラックマーケット     LockBit2.0           IT企業
12/30  ロシアブラックマーケット    NightSky             IT企業
12/30  ロシアブラックマーケット    NightSky            精密機器製造メーカー

攻撃は特に月末近くに集中している。
また攻撃者であるランサムウェアグループも4グループ存在し、ロシア系の攻撃者が多いことが分かる。
更に医療関係に関わる企業が多いのが気になるが、対象は無作為に選ばれていることから、企業は
再度ランサムウェアへの対応が必要となる。
昨年はランサムウェア攻撃により日本でも多くの企業が被害を受けたが、2022年は一層注意が必要
になる。

昨年4月に【簡単に攻撃が可能な日本のサイト】という書き込みがブラックマーケットで確認されて
脆弱性のあるURLのサンプル公開までされている。
そこには毎日5万件もの日本の脆弱なサイトURLが更新され販売されていた。
このようなURLの脆弱性を狙えば、攻撃者は簡単に侵入しランサムウェ攻撃も成功してしまう。

下記参考URLに対象ドメインを記載しているので、再度確認をお奨めする。
また、サンプルに入っていなくてもWebで利用する各種アプリケーションに脆弱性が存在すれば、同様
に攻撃されるリスクがあるので、各社入念にチェックして欲しい。

昨年、情報セキュリティー会社の「CrowdStrike」社が行ったランサムウェアに関する調査では、日本
国内200社にアンケート調査を行い、結果としてその約60%がランサムウェアの被害を受けたという
報告が上がっている。
進化し、高度な攻撃になってきているランサムウェア攻撃は2022年もより増加する事が想定される。     
  
▼フィッシング攻撃
フィッシングによる情報流出が止まらない。
12月から今年に入り、フィッシングメールは、ほぼ毎日届く。
フィッシングメールのヘッダを確認すると、From(差出人)/Sender(送信者)/Received(経由地)は
そのほとんどに“.cn”という国別ドメインが付いていた。

これは中国を表す国別ドメインで中国から発信されたメールであることが確認できる。
一方、メールの送り主として偽装された会社は「メルカリ」「JCB」「Amazon」が多く確認されている。

そして年末年始に行ったSIPSの調査では、中国ブラックマーケットでフィッシングに関連する各種情報
の売買が盛んに行われていた。  
その販売項目内容は以下の通りである。
 ◎アカウント情報
 ◎フィッシングソースコード
 ◎接続用VPN情報 
 ◎接続認証代行
 ◎フィッシング教育

調査を進めると、販売しているアカウントにも種類があることが分かった。
◎フィッシングアカウント(ホワイトアカウント/グリーンアカウント)
フィッシング攻撃(メール/SMS)により得た情報で決済条件によりホワイト/グリーンアカウントと呼ばれる。
フィッシングによる正規のアカウント本人から得た情報であるため正確度か高い。

◎ハッキングアカウント
企業DBをサイバー攻撃して得た情報で大量に入手可能である。
但し、サイバー攻撃を検知された場合、アカウントの設定条件が変更されている場合がある。

◎パスワードクラックアカウント
流出したアカウントIDにパスワードリスト攻撃を行い正常性が確認されたログイン可能なアカウント
ログイン可能な場合、パスワードを変更してアカウントの乗っ取りを行ってから保有する。
但し、残高(利用上限)の有無はログイン後でなければ確認ができない。

◎なりすましアカウント
流出した各種個人情報(名前/住所/電話番号/決済情報)を基に、サイバー攻撃者が本人に
なりすまして作成されるアカウント。
正規アカウントの作成手順で作られるアカウントのため、サービス提供会社は正偽の判断が難しく
サービスを利用していない人であっても、アカウントを不正に作成され不正利用される可能性がある。

各社が提供するサービスには、提供するサービスごとに各社セキュリティ対策を実施しているが、中国
ブラックマーケットで売買されているアカウントは、各社のセキュリティ対策を回避する目的の専用プロ
グラムを準備し、その専用プログラムを通じてサービスにログインする手法がとられていることが分かった。

これにより、各社サービスのログイン時の様々なセキュリティは回避され、正常に不正ログインができる。
ログイン後は、アカウントのパスワードや各種設定情報を変更してショッピングが可能になるということだ。

また、ショッピングにより不正購入した商品は任意の場所に配送されるが、この配送先も闇ビジネスで
募集したアルバイトを雇い、商品の受け取りのみを行い報酬をもらうアルバイトである。
更に配送後に別の配送業者が引き取りに行く、これを何度か繰り返し、商品の流通経路を隠蔽する
手法が取られていた。
  
中国ブラックマーケットで売買される情報の中に「華僑の個人情報」というものがあったが、これは在日
中国人の情報で不正な闇ビジネスに利用されるアルバイト募集者候補のリストになっている可能性が
高い。  

12月のある1日に中国ブラックマーケットで、クレジットカード情報がどの位売買されているのか、目安を
確認する目的で調査すると、カード番号の最初の6桁(BIN番号と呼ばれるカードの発行者識別番号)
のみサンプル表示している掲示とフルナンバー(15桁/16桁)をサンプル表示している掲示が存在した。
サンプルだけでも無数に存在するため、フルナンバーのサンプル表示をしている数のみカウントしたら1日で
約300件のサンプル公開が確認された。

これがBIN番号のみのサンプル掲示、更にサンプルだけでなく実際に保有している数をカウントすれば、
おそらく1日で数千件から数万件が販売されていることが想定される。 

フィッシングだけでなく、流出した個人情報を使った「なりすましアカウント」にも要注意である。
昨今のクレジットカードやネット銀行の口座はインターネットで申し込みが完了する。
申し込み時に行う本人確認は「本人確認書類」のみである。

各種申し込みをするときの本人確認書類は、コンビニでコピーされ、もしくはスマホで撮影され、安易に
ネットで送信される。
中国ブラックマーケットには日本の「免許証」「パスポート」「保険証」「マイナンバー」などの画像が多数
流出し、売買されている。

しかも顔写真などを変更修正するツールまで売買されている。
最近では修正を専門に行う闇ビジネスも存在し、「偽造カード販売します」という書き込みもある。

これにより、修正された自分の本人証明書は名前だけが自分で、別の顔にすり替わり利用される。
サイバー空間にはもう一人別の自分が存在することになり、別の自分が銀行口座を開設したり、
クレジットカードを新規作成し決済される。

当然現実の自分の銀行口座情報も流出しているので、現金の引き落としは実際の自分の口座から
引き落とされることになる。 
クレジットカードの場合は、利用上限額まで利用が可能であり、利用明細は1ヶ月後に発行されるため
不正の発覚が遅れ被害は大きくなる。

安易な仕組みのサービスを利用した日本人の情報は、世界中のサイバー空間に流出し、それを使った
各種サイバー犯罪が繰り返されている。

コロナ禍の影響で在宅ワークを含め、インターネットを利用したサービスがより多く登場しているが、それも
安易な仕組みを使ったサービスにより情報流出の原因の一つになっている。

情報の流出はハッキングだけではない。サービスの仕組みや情報の通信経路など様々な場所で発生
しているのである。
サービスを提供する企業はサービスのサーバログイン時のセキュリティだけでなく、仕組みや運用上の
リスクも考えたサービスの提供とセキュリティ対策が求められることになる。

2022年、コロナウイルスの影響で落ち込んだ経済を立て直さなければならないが、企業のリスク管理が
企業の存続を分ける事になるかもしれない。
---------------------------------------------------------------------------------
 <参考URL>
NHK:2021/12/31
ランサムウエア使った攻撃 企業や組織の約6割“被害受けた”
https://www3.nhk.or.jp/news/html/20211231/k10013410251000.html

GigaZine:2022/1/11
ランサムウェア入りUSBメモリを送りつける詐欺が増加中、データを暗号化して使用不能にし元に
戻すための身代金を要求する手口
https://gigazine.net/news/20220111-cyber-criminals-mailing-usb-drives-ransomware/

YAHOOニュース/ITジャーナル:2021/12/19
メルカリ&メルペイでアカウント乗っ取りの不正利用が急増? 運営「被害分は全額補償」
https://news.yahoo.co.jp/byline/shinoharashuji/20211219-00273339

SouthPlume NEWS:2021/4/26
簡単に攻撃可能な日本のサイト公開‼
http://www.southplume.com/news20210426_2.html

                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved