情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2022年4月6日号
***************************************************************
安易な考えが生む情報流出とサイバー犯罪
***************************************************************
2022年4月1日から民法の改正により成年年齢が20歳から18歳に引き下げられた。
これにより、今まで親権を要していた婚姻、契約、国家資格の取得などが2年早まり、4月1日時点
で18歳を超えた人は自らの意思で各種決断ができることになる。
この民法改正に関しては、賛否両論はあるものの法的には決定事項であり、今後はこの条件下で
生活していかなければならない。
さて、これによるメリットとデメリットが様々語られているが、その中でクレジットカードの作成(契約)も
その一つになる。今まで20歳であった契約が2年早い18歳を迎えれば自分の判断で作成する事が
出来てしまう。
クレジットカードの作成そのものは、利便性のある決済手段の一つとしてメリットであるが、決済に関
する考え方やセキュリティ事項に関する内容は、高校を卒業したばかりの人には少し荷が重いと思う。
3月31日、日本クレジットカード協会が発表した2021年のクレジットカード不正利用の調査結果
では、年間の不正利用額が330.1億円で、その内の番号盗用被害額は311.7億円になるという。
これは2020年より30%増加していて、5年前から比較すると不正利用額は2.3倍、番号盗用の
被害額は3.5倍になっている。
このデータを見て、皆さんはどのように感じるだろうか?
不正利用の大半はサイバー空間でのなりすましであり、つまりクレジットカード情報が流出していて、
サイバー犯罪者によってそれを不正利用されているという事になる。
流出の原因は大きく2つある。
一つはフィッシングによる情報流出、もう一つはハッキングによる企業サーバからの情報流出である。
フィッシングに関しては当レポートでも何度も注意喚起していて、個人がフィッシングメールなどに反応
して個人情報やカード情報を入力してしまう事を自分自身で注意するしかない。
しかしもう一方で企業のサーバがハッキングされてカード情報が流出してしまうという事に関しては、
企業側が流出させないためのセキュリティ対策を取らなければ、いくら個人が注意したところでどうにも
ならない。
今年1月には、クレジットカード決済サービスを事業としている、メタップスペイメントへの不正アクセスが
発覚し翌2月に調査内容が公表され、46万件以上のクレジットカード情報の流出が判明した。
それ以外の企業でも10万件規模の流出事故があり、1~3月のクレジットカード情報の流出数は公
表されているだけでも65万件近くあるが、未確認も含め実質は100万件は下らないと考えている。
昨年末SIPSで、中国ブラックマーケットにおいて任意の日にフィッシングで入手したクレジットカード情
報の売買数を確認したところ1日で1000件程度の情報が流出、売買されている事が分かった。
これを3ヶ月に換算すると多少の増減はあるが9万件となり、企業からの流出数と比較するとその数は
10分の1程度であることから、企業からの情報流出数が如何に多いか分かる。
クレジットカードの不正利用にはもう一つのパターンがある。
流出している個人情報や決済情報を利用し、サイバー犯罪者自身が任意の誰かになりすまし正規
の手順でクレジットカードを作成してしまうという方法である。
クレジットカードの作成には、作成者の個人情報、及び決済情報、更に本人確認書類があれば
インターネットを通じてクレジットカードが作成出来てしまうのだが、この作成時に必要な様々な個人
情報が既にサイバー闇市場に流出しているのである。
クレジットカードだけではない、様々な情報が皆さんの想像を遥かに超えて流出していて、それらの
情報を利用した次なるサイバー攻撃とサイバー犯罪が繰り広げられているのである。
ロシアのハッキングフォーラムでは、様々なアプリケーションをターゲットにしたパスワードを盗むマルウェア
が販売されている。このマルウェアを利用してパスワードを盗み、各種アプリにログインすればそこには、
各種個人情報も存在している。
こうして個人情報は無防備に流出し、一人の人間の全ての情報がサイバー空間上でリスト化されて
いるのである。
では、このような高度な攻撃者に企業側はどれだけ慎重にサイバー攻撃対策を実施出来ているのか?
4月1日から「改正個人情報保護法」が施行されたが、対応済み組織は6割程度という調査結果が
トレンドマイクロから発表された、そして対応済みの割合は企業規模が小さくなるほど低くなっている。
更に対応済みとなっている企業の中で、対応方法が明確になっている企業はその半数以下であった。
今回の改正の大きなポイントである「個人情報の漏洩に関して管轄機関への報告義務」を把握して
いた企業は全体の76.9%で、残りの23.1%はその内容さえ把握できていないという結果であった。
約4社に1社は今回の法改正の内容も理解していないというのが、日本企業の現実である。
東京商工リサーチの調査によると、経営破綻した件数は4カ月連続で最多を更新し2022年3月に
過去最多を記録したとある。
あくまで調査はコロナ破綻となっているが、コロナに関連するサイバー攻撃の影響も含まれると思う。
セキュリティ対策は「難しい」「お金がかかる」等の理由でしっかりとしたセキュリティ対策が取れていない
企業も多く、また情報セキュリティに対する知識が薄く、自分がセキュリティ対策をした気になっている
企業も少なくはない。
結果、サイバー攻撃を受け、情報が流出し対応費用が重なり多額な損出を出し自分自身を苦し
める事になっている事に早く気付くべきである。
サイバー攻撃による情報流出ニュースに挙がる大手企業は、どこもしっかりとしたセキュリティ対策をして
いたにも拘わらず被害に遭っている事を考えてほしい。
単なるセキュリティソリューションの導入だけではサイバー攻撃からは守れないのである。
さて今年に入りサイバー闇市場の動向として気になる点がある。
マッチングアプリ運営会社各社からの情報流出である。
昨年5月に、ネットマーケティング社が運営するマッチングアプリ「Omiai」のサイバー攻撃による情報
流出事故があったが、それ以降他社を含むマッチングアプリ運営企業の情報流出に関する大きな
ニュースは、確認されていない。
しかし、SIPSの調査では今年に入り16社以上のサービス、65件以上の情報流出による日本の
個人情報の売買の書き込みが中国ブラックマーケットを中心に確認されている。
1件当たり数百件から数千件の販売をする書き込みもあり、想定すると月3万件以上の情報が流出
していることになる。
マッチングアプリを利用する人は多く、日本国内の総利用者数は3,400万人
2021年は768億円
の売上規模がある。
そして、このマッチングアプリに登録するためには個人情報、決済情報、本人確認書類が必要となる。
つまり単純なアカウント情報の流出だけではなく、クレジットカードの作成や銀行口座の作成に必要
な全ての情報がマッチングアプリのサイトには存在しているという事になる。
マッチングアプリのアカウントを不正利用して、なりすましによる疑似恋愛とロマンス詐欺。
流出した個人情報や決済情報、本人確認書類を2次利用したクレジットカード不正利用。
更にはキャッシュレスペイ、銀行口座、証券口座、暗号資産口座の不正出金など様々なサイバー
犯罪は全てが繋がっているのである。
マッチングアプリサービス提供企業だけではないが、企業も、個人もこのようなリスクが存在し、危機的
な状況にあるという事を十分理解した対応を取らなければ「痛い目に遭う」では済まされない。
安易なセキュリティ対策が情報流出を生み、不正な犯罪が起きて日本円が流出する。
そしてその日本円がどこかの国のミサイルや軍事資金に変わり、誰かの命を脅かしている可能性もある。
いずれ自分たちに跳ね返ってくる可能性でさえある事も考えなければならない。
---------------------------------------------------------------------------------
<参考URL>
NHK
NEWS WEB:2022/4/5
「日本も戦争状態に」 企業狙うサイバー攻撃 どう立ち向かう?
https://www3.nhk.or.jp/news/html/20220405/k10013567621000.html
ZDNet
Japan:2022/3/31
改正個人情報保護法の対応済みは6割、中小に遅れ--トレンドマイクロ
https://japan.zdnet.com/article/35185678/
YAHOOニュース:2022/3/31
クレジット被害330億円 21年、番号盗用で最悪に
https://news.yahoo.co.jp/articles/dd6177ceef1ce0400d4232dcd92dfc14ce0db108
HotHardware:2022/4/2(英文)
Password Stealing BlackGuard
Malware Sold In Russian Hacking Forum
Targets A Ton Of Apps
https://hothardware.com/news/blackguard-stealer-grabs-data-from-chrome-and-cryptowallets
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved