情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2022年1月31日号
***************************************************************
サイバー空間に国境はなく、法律も秩序も存在しない
***************************************************************
1月27日にIPA(情報処理推進機構)から「情報セキュリティ10大脅威
2022」が公開された。
脅威は「個人」と「組織」に分けられていて、以下の通りである。
▼個人(第1位~第5位)
1位:フィッシングによる個人情報の搾取詐取
2位:ネット上の誹謗・中傷・デマ
3位:メールやSMS等を使った脅迫・詐欺の手口による金銭要求
4位:クレジットカード情報の不正利用
5位:スマホ決済の不正利用
▼組織(第1位~第5位)
1位:ランサムウェアによる被害
2位:標的型攻撃による機密情報の窃取
3位:サプライチェーンの弱点を悪用した攻撃
4位:テレワーク等のニューノーマルな働き方を狙った攻撃
5位:内部不正による情報漏えい
順位の変動はあるが、昨年とほぼ同じような項目が並んだ。
2022年を迎えて1ヶ月が過ぎようとしているが、個人の脅威1位のフィッシングと、組織の1位の
ランサムウェア攻撃は、年末年始にも猛威を振るっていて被害は甚大になっている。
被攻撃者側からすれば、【昨年同様に注意すべき内容】であると考えがちであるが、攻撃者側の観点で
サイバー闇市場にある情報を分析すると、攻撃内容、攻撃ツール、分析ツールなどがより進化している
事が分かる。
サイバー攻撃者のイメージは、フードを被り、暗闇でPCに向かいキーボードのタイピングの音を響かせて
黙々と攻撃しているような印象だが、昨今はビジネスマンみたいに分業制になっていて、自分の得意な
分野を粛々と実行するようなビジネススタイルになっている。
フィッシング攻撃は、主にメールを使い偽サイトに誘導し、言葉巧みに個人情報を搾取する攻撃だが、
この時の【送信するメールアカウント】を収集し提供する人、【フィッシングに使うゾンビサーバ】をつくり、
管理する人、【フィッシングに利用する偽サイトのソースコード】を作り提供する人、【収集した個人情報
の正確性】をチェック検証してリスト化する人、【収集した個人情報が確実に利用】できる仕組みを構築
する人、など様々である。
例えば、流出しているメールアドレスが、利用されていないメールアドレスであればメールを送ったところで、
メールにもアクセスしてもらえないので効率が悪い。
そこで、正規に利用されているメールであるか検証し有効なメールアドレスがリスト化される。
ゾンビサーバは世界中にあり、リモート管理ができるC&Cサーバとして利用する。
フィッシングで使う偽サイトのソースコードは、まるでネットショップで買い物をするかのように各種サイトの
ソースコードが販売されている。しかも、利用方法を説明する動画まである。
こうやってフィッシングにより収集した個人情報も正確でなければ問題である。折角収集した個人情報、
例えばクレジットカード情報が利用しようとした時に使えない情報であれば意味がない。そこで収集した
カード番号に対してセキュリティコード等を入力してエラーが発生するか否かを自動で確認するプログラム
なども存在している。
また、収集した個人情報が確実に利用できる仕組みとしては、収集した各種アカウント情報が様々な
サービスでどのように利用されるのか?該当サービスで利用されているセキュリティ対策は何か?など詳細
を調べ上げて、アカウントを利用する時にそのサービスのセキュリティを回避し、確実に利用できるように
専用プログラムでアセンブリする。そして確実になりすましログインするのである。
ランサムウェア攻撃も同様である。
攻撃対象は主にシステムやプログラムの脆弱性を利用して行われる。
【ターゲットとなる脆弱なサイトやサーバを抽出】してリスト化する人、【ターゲットに対する侵入手段】を
検証する人、【ターゲットに侵入し悪性マルウェアを設置】する人、【ターゲットに理解させる】ために各種
手法で通知・脅迫する人、【ターゲットからの入金時にマネーロンダリング】する人、など最終的な現金に
するまでには多種多様な工程があり、それを間違いなく完璧に実行しなければならない。
つまり、準備段階の工程から本攻撃の工程、そして最終的に金品を得る工程など、それぞれの工程に
対して専門に実行する担当者がいて、役割を分担して実行しているのである。
しかし被攻撃者側は、「去年と同様に注意すればいい」程度の考え方で、自ら検証もせず出入業者
に勧められる通りの対策で満足していて、1年前から進歩していない企業が多い。
コロナ禍で被害が甚大になり得る医療関係に対する攻撃は、「非情な攻撃」として非難されることも
あるが、実際に医療関係機関での対策は十分取れていたのだろうか?
米国Cynerio社から興味深い調査結果が報告された。
医療機器専門のセキュリティ企業である米Cynerio社は、インターネットに接続された医療機器の
約50%が患者の個人情報に対するアクセス権限および機器制御権限のエラーに関する脆弱性を
保有していると分析している。
病院の医療機器は今ではそのほとんどがインターネッに繋がっている。
調査によると、注入ポンプの73%にハッカーたちが悪用する可能性がある脆弱性が存在するという。
これは理論的には、ハッカーたちが医療機器のハッキングを通じて患者に投与する服薬量を任意に
変更して命を脅かすことができるという意味である。
注入ポンプ以外にも心臓ペースメーカーや超音波検査機が脆弱な医療機器の上位に位置する。
このような現状から考えると、医療機関は現在ハッカーたちの主なターゲットであると言えよう。
今後、医療機器を狙った大規模なサイバー攻撃が発生する可能性が高いと専門家らは警告する。
実際日本でも病院のシステムを停止させるランサムウェア攻撃が発生している。
医療機器に存在する脆弱性のほとんどは簡単に修正可能な脆弱性であるが、未処理なのである。
しかし、ほとんどの医療機関はセキュリティを維持する人材が不在で、機器のアップデートが存在する
という事実さえ認識していない。
医療関係を例に取ったが、これはその他企業や組織、団体でも全く同様であるという事になる。
SIPSの調査では1月に日本の企業が100社以上不正アクセスによる侵入を許している。
大きな被害を出していないのは、【本攻撃】ではなく、【調査のための攻撃】である可能性も高い。
サイバー空間は、【デジタル社会】【インターネット社会】などと称され、利便性に長けた空間である事
は間違いないが、忘れてはならない事がある。
『サイバー空間に国境はなく、法律も秩序も存在しない』という事である。
実際にはPCやスマホなど各種機器を使って現実社会で操作しているから、現実社会のままの考えで
様々なサービスが実行されている。
しかし、操作は現実社会で行っていても、サイバー空間に入った以上、デジタルデータはサイバー空間
で動き、伝達されていく。そしてそこには秩序なき不正を考える人間もいるということだ。
悪意ある人が現実社会で「スマホを操作」して行った事実、つまり犯罪が特定できれば警察は動けるが、
特定できなければサイバー空間の闇に消えてしまうという事になる。
これが、日本以外の海外の人間であれば、現実社会の国境という壁があり更に難しくなってくる。
IPAの発表通り、個人へのフィッシング攻撃や、企業へのランサムウェア攻撃はもちろん注意が必要だが、
この数か月でサイバー闇市場での様々な【サイバー闇ビジネス】が盛んに進化し動き始めている。
おそらく2022年は、【なりすましによる各種不正利用】によるサイバー犯罪が急増する事が考えられる
そして、それはサイバー空間に自分がコントロールできない、なりすましによって突如現れる、もう一人の
別人格の自分が存在してしまうかもしれないという事を意味する。
インターネットの各種サービスを利用する人は、現実社会の金品だけでなく、心や体まで奪い取られる
ことがないように注意する必要がある。
サイバー空間を使わざるを得ない今の社会で、自分を、自社を、自組織を守れるのは自分自身で
しかないという事を覚えておかなければならない。
---------------------------------------------------------------------------------
<参考URL>
IPA:2022/1/27
情報セキュリティ10大脅威
2022
https://www.ipa.go.jp/security/vuln/10threats2022.html
ZDNet
Japan:2022/1/27
日本企業は脆弱性対策よりもシステムを止めないことを重視--テナブルが2022年展望
https://japan.zdnet.com/article/35182674/
読売新聞:2022/1/28
サイバー攻撃に「特捜隊」…警察庁、200人体制で新設へ
https://www.yomiuri.co.jp/national/20220128-OYT1T50101/
YAHOOニュース/KODO:2022/1/22
サイバー攻撃対策、経営責任に 政府、重要インフラ強化
https://news.yahoo.co.jp/articles/fb07eae3cebf257b2e76958b345eb56ff152d7ae
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved