フィッシング詐欺に騙される人が意外に多いことを示す調査結果　ほか

　11月もセキュリティの話題にはこと欠きませんでした。中でも、11月のMicrosoftの月例パッチでWindows 95の時代から19年間も存在していた深刻な脆弱性がようやく修正された件をはじめ、米国では、10月末以降、ホワイトハウスや郵政公社（USPS）、海洋大気局（NOAA）に対するサイバー攻撃が相次いで明るみになっており、中国やロシアが関与している可能性が報じられています。また、米英の情報機関が高度なスパイ型マルウェア「Regin」を使って欧州連合などに攻撃を仕掛けたのではないかとの疑惑も報道されました。

　一方、日本では、アジアの高級ホテルに宿泊する企業幹部や政府関係者などを狙った「Darkhotel」攻撃が発生しており、特に日本で多くの被害を生んでいることが報じられました。また、国内組織の「.com」登録情報が書き変えられるドメイン名ハイジャックが起きたほか、サイバー犯罪に使われていたプロキシサーバーを運営していたとして摘発された業者が、ルーターの脆弱性を使って盗まれたIDとパスワードを中国の利用者に販売していたことが明らかになりました。11月13日には、日本版NCFTA（National Cyber-Forensics & Training Alliance）として、産官学共同で設立された非営利団体「一般財団法人日本サイバー犯罪対策センター（JC3：Japan Cybercrime Control Center）」が業務を開始しています。

フィッシング詐欺に騙される人が意外に多いことを示す調査結果

　「フィッシング」という詐欺手法が世の中で知られるようになって久しく、多くの人が「今さらフィッシングなんかにひっかかるわけはない」と思っているかもしれませんが、実は意外に騙される人が多いことを示す調査結果が公開されました。

　Googleとカリフォルニア大学サンディエゴ校の研究者による「manual hijacking（手動でのアカウント乗っ取り）」に関する調査論文「Handcrafted Fraud and Extortion：Manual Account Hijacking in the Wild」によれば、フィッシングメールを受け取った人のうち、平均で13.7％がフィッシングサイトに情報を入力してしまっており、個々に見ると、最も多いもので45％、最も少ないもので3％となっているそうです。攻撃者が数百万のフィッシングメールを送っていることを考えれば、たとえ3％であっても看過できるものではありません。

　また、このようにして盗まれたアカウントの20％は、ログイン情報を盗まれてから30分以内にアクセスされています。そしてログインした攻撃者は20分以上かけて、例えばパスワードを変えたり、銀行の口座情報やSNSのアカウント情報などを探したり、別の新たな被害者を騙したりします。

　こうして乗っ取ったアカウントで他人になりすました攻撃者は、アドレス帳に基づいて家族や友人らにフィッシングメールを送信します。このフィッシングメールは極めて効果的で、通常のフィッシングよりも36倍もアカウントを乗っ取りやすいのだそうです。

　一方、この論文とは別にフィッシングに関して、米セキュリティ企業CyberArkのレポート「Privileged Account Exploits Shift the Front Lines of Cyber Security」によると、企業のネットワークへの侵入に際して攻撃者の大多数が、ゼロデイ攻撃ではなく、（洗練された）フィッシングを使っているとされています。

　このように、今でも十分に有効な攻撃手法であるフィッシングに対しては、以下のような対策が提示されています。

• ユーザーは常にログイン情報や個人情報を求めるようなメールに気を付けるとともに、不審なメールを受け取った場合は当該サービス提供者等に通報する。また、自分のアカウント情報を確認したり、更新したりする場合はメール内のURLをクリックするのではなく、ブックマーク等に保存されている当該サービスの正規のURLからアクセスする。
• アカウントが脅威にさらされている場合にサービス提供者がすぐに当該利用者に連絡できるようにバックアップ用の電話番号やサブの電子メールアドレス（有効かつ十分に強いパスワードが設定されているもの）を設定しておく。
• 2段階認証などの多要素認証を利用する。

　上記の対策はいずれも当たり前のものですが、むしろ当たり前と思って油断していることこそが「脆弱性」であるということを改めて肝に銘じなくてはいけないでしょう。

　この論文では、このほかにもさまざまな調査結果が掲載されています。例えば、アカウント乗っ取り犯の接続元IPアドレスを国や地域別に示したのが下記の図です。最も多いのは中国とマレーシアですが、当然ながら踏み台にされている可能性もあるため、乗っ取り犯の居場所そのものを示しているとは限りません。その一方で論文では、中国からのトラフィックが、乗っ取り犯の中国語による検索と一致しているとしています。同様に、南米、主にベネズエラからのトラフィックは乗っ取り犯のスペイン語での検索と一致しているそうです。

乗っ取り犯の接続元IPアドレスの国・地域

　ところで、ここまで読まれた読者の中には、この論文の執筆者らはどうやって調査をしたのだろうと疑問に感じた方も少なくないと思います。論文内ではさらっと触れられているだけですが、当然ながらGoogle（Gmail）のユーザーを対象にしています。論文の内容自体は大変興味深いのですが、ここまで細かくユーザーの動きを観察しているというのは、Googleなので分かり切ったことではあるのですが、それでも気持ちのいいものではありませんね。

セキュリティよりもパフォーマンスを優先する傾向

　いわゆる「次世代ファイアウォール」などのセキュリティ製品を導入することでネットワークのパフォーマンスが（場合によっては）劇的に落ちてしまうケースがあり、これがネットワークやシステムの管理者の悩みの種になることは珍しくありませんが、その実態を調べた結果が公開されました。

　McAfeeが504人のIT担当者に対して行なった調査によれば、その60％が自社のネットワークがセキュリティを考慮して設計されているとしつつも、回答者の3分の1以上が、ネットワークパフォーマンスを向上させるために、ファイアウォール機能や何らかのセキュリティ機能をOFFにしていることを認めています。中でも、最もOFFにされていることが多い機能は「deep packet inspection（DPI）」「anti-spam」「anti-virus」「VPN access」だそうです。

ネットワークパフォーマンス向上のためにオフにしているセキュリティ機能

　DPIのON/OFFでパフォーマンスに40％もの差があるとの調査結果もあることから致し方ないとは言え、決して安価ではない「次世代ファイアウォール」が導入されたにもかかわらず十分に活用されていないのは残念な話です。ただ、これはそのような製品を作っているベンダー側の責任もあるでしょう。少なくともセキュリティ機能を有効にしたために40％もパフォーマンスが落ちてしまうのは論外です。では、どこまでなら許容できる、または許容すべきなのかというのは非常に難しい問題で明確な目安はありませんが、それでも、機種の選定に当たっては導入後のパフォーマンスも考慮した上で納入業者と折衝すべきでしょう。また、導入してからダメだったというのは、機種の選定やその方法に問題があっただけでなく、ネットワークやシステムの構成・設計自体にも問題があった可能性もあります。その点からの見直しも場合によっては必要でしょう。