東京五輪を狙ったサイバー攻撃はどうなった？ 延期後にサイバー犯罪者が次に企む攻撃とは――アバストCISOに聞く

Avast Software最高情報セキュリティ責任者（CISO）のJaya Baloo氏

　東京オリンピック（東京五輪）が開催される予定だった2020年は、これまでの傾向と同様、開催国に対するサイバー攻撃の脅威が高まると予想されていた。しかし、新型コロナウイルス感染症（COVID-19）拡大の影響により、東京五輪が延期になっている。そのような状況の中、サイバー犯罪者たちはどのような動きを見せているのだろうか。

　現地点で確認されている日本国内の脅威動向について、チェコのセキュリティベンダーであるAvast SoftwareのJaya Baloo氏（CISO：最高情報セキュリティ責任者）に話を伺った。

問題となっているのは「Emotet」と悪質な広告「マルバタイジング」

――本日はよろしくお願いします。まずは、現時点で注目すべき日本国内の脅威動向について教えてください

　2020年に入ってから日本で大きな問題となったのは「Emotet」です。Emotetは2014年から存在している銀行系トロイの木馬でしたが、最近は被害者のメールボックスをスキャンして悪意のある添付ファイルを含むメールを返信することで、さらに多くのユーザーへと感染を広げようとしました。

　Avastは日本国内のみで1月に1万1000人以上のユーザーを、2月には5000人以上のユーザーを保護しています。このためか3月には攻撃件数が大幅に減少し始めました。

2020年に入ってから「Emotet」に感染させるメールが拡散されてるとして、JPCERTコーディネーションセンター（JPCERT/CC）でも注意喚起を行っている

　また、最近ではサイバー犯罪者が新型コロナウイルスに関連した「マルバタイジング」のキャンペーンを実施していることを発見しました。マルバタイジングとは、マルウェアの拡散や悪質なウェブサイトへの誘導を目的に悪質なインターネット広告を配布することです。

　サイバー犯罪者は、悪質な広告をウェブサイトに表示するためにアドネットワークから広告枠を購入しています。彼らは新型コロナウイルスに関する情報を掲載しているようなウェブサイト名で広告枠を購入しているため、アドネットワークの運用元はそれがサイバー犯罪者であることに気付かず、広告枠を販売してしまうのです。

　この新型コロナウイルスに関するマルバタイジング・キャンペーンでは、「Fallout」と呼ばれるエクスプロイトキットが利用されています。Falloutは、旧バージョンのInternet Explorerの脆弱性を利用し、ユーザーに気付かれないまま、個人情報・パスワード盗用ソフトの「Kpot v2.0」をインストールさせています。

　Falloutは2018年に初めて検知され、その多くが日本と韓国のユーザーを標的にしてきました。このマルウェアはウェブブラウザーのCookie、パスワード、自動入力機能のデータ、Windowsの認証情報、オンラインサービスのアカウントなど、あらゆる情報を盗みます。Avastは、2020年4月中旬時点で日本の8438人のユーザーを標的とした、1万7306件の攻撃を阻止しています。

PCではランサムウェアが中心、スマートフォンはさまざまな脅威が混在

――そのほかにどういった脅威が確認されているのでしょうか

　PCではランサムウェアが依然として大きな脅威となっています。マルウェアの作成者はできるだけ多くのデバイスに感染させるために、一般的なマーケティングやソーシャルエンジニアリングの手法を活用する高度な亜種を開発し続けています。

　個人データや銀行口座情報、オンライン活動などの情報を収集しながらユーザーのPCに潜り込むスパイウェアやクリプトマイニングマルウェアも普及している脅威の一つです。

　また、スマートフォンを標的とした脅威にも注意する必要があります。スマートフォンを標的とする攻撃には、アドウェア、スパイウェア、ランサムウェア、ダウンローダー、クリプトマイニングマルウェアなど、さまざまな種類があります。

オリンピックキャンペーンは新型コロナウイルスキャンペーンへと変化？

――日本ではオリンピックイヤーに合わせた攻撃が多発すると昨年多くのセキュリティベンダーが予想していましたが、疫病による延期という過去に例を見ない事態となりました。これは防御側に有利／不利のどちらになるでしょうか？

　通常、オリンピックのような大規模かつ国際的なイベントにはサイバー犯罪者が集まります。今年はサイバー犯罪者が彼らの「オリンピックキャンペーン」を「新型コロナウイルスキャンペーン」に変更したのではないかと推測されます。そのため、今夏は東京五輪が開催されたケースと同程度の脅威に遭遇することが予想されます。

　サイバー犯罪者は単純に手口を変えているだけです。過去のオリンピックでは、サイバー犯罪者がユーザーの金銭を詐取するという事件が発生していますが、東京五輪に関してはそのような事件がまだ発生していません。

　攻撃者が簡単に実行でき、利益を得ることができるフィッシング詐欺にオンラインユーザーは注意する必要があります。例えば、チケットに関する怪しいメールについては、いくつかのシナリオが考えられます。

　ユーザーは信頼できるウェブサイトを模倣したサイトに誘導され、偽チケットを購入させられるか、個人情報を入力させられたりします。それ以外の手口としては、ユーザーが携帯番号を入力させられた後、PCや携帯電話にマルウェアを自動的にダウンロードするサイトへの誘導、活動の監視、データの窃取などの被害に遭う可能性があります。

　サイバー犯罪者は、新たにチケット詐欺を行うために、2021年に延期された東京五輪を利用しようと考えている可能性があります。また、一般的なオリンピック関連詐欺が来年再浮上する可能性も考えられます。

オリンピック観戦チケットの抽選発表に便乗した偽メールが送られる可能性があるとして、警視庁サイバーセキュリティ対策本部が注意を呼び掛けていた（2019年6月時点）

IoT機器を狙った大規模サイバー犯罪はいつ起きてもおかしくないAvastは通信事業者と連携して対応

――オリンピックイヤーではIoT機器を狙ったサイバー攻撃が増えると言われていましたが、現時点で何か動きがあれば教えてください

　すでにAvastはスマートデバイスへの攻撃を頻繁に目にしており、サイバー犯罪者がスマートデバイスを標的とした大規模な攻撃を開始するのは時間の問題でしょう。

　一方、スマートデバイスはPCやスマートフォンのようにアンチウイルスソフトで保護することはできません。2019年にAvastがスタンフォード大学と共同で行った調査によると、スマートデバイスのベンダーは全世界で1万4000社以上あり、さらに多種多様なデバイスを製造しています。これら全てのデバイスに対応したエンドポイントセキュリティソリューションを作成することは不可能でしょう。

　そこでAvastは通信事業者とネットワークベースのソリューションである「Avast Smart Life」を開発しました。通信事業者がルータにAvast Smart Lifeを組み込み、セキュリティの問題をスキャンし、保護するとともにペアレンタルコントロール機能を提供します。すでにイタリアの通信キャリアであるWindが導入しており、その他の市場での展開も予定しています。

高度にパーソナライズ化された攻撃への対策、最大のポイントはユーザーの知識と経験

――AIは攻撃側にも防御側にも影響を及ぼしています。より洗練された文面やパーソナライズされた攻撃に対して、注意すべきポイントがあれば教えてください

　高度にパーソナライズ化された攻撃を防御する際、最も重要なのは「ユーザーの知識」です。カスタマーサポートで使用されているAIベースのチャットボットを見かけることがありますが、サイバー犯罪者も同様のチャットボットの技術を使用し、ソーシャルメディアやメールで会話を行うことができます。

　オンラインで誰かから連絡を受けたときには、自分のこれまでの経験や知識を総動員することが重要です。例えばメールを受信した場合、添付ファイルやリンクを開く前に送信者のメールアドレスを確認したり、別のチャンネルを介して送信者に連絡し、実際にメッセージが送信されたかどうかを確認することが重要です。

　また、セキュリティソリューションにおいてもAIは重要であり、防御に役立つと考えます。Avastは長年にわたり、機械学習とAIを活用して脅威を検知し、阻止してきました。AIは、リアルタイムでの脅威検知を可能にし、新たな脅威を予測する機会を提供してくれます。既知の脅威データベースを利用して機械学習を進めており未知の脅威の攻撃パターンを特定しています。

正規のソフトにマルウェアを仕込むサプライチェーン攻撃は増大中

――国家組織などから支援を受けているというAPT（Advanced Persistent Threat）グループですが、最近ではどのような動きが観測されていますか？

　APTグループが大規模なユーザー基盤を持つソフトウェア企業に潜入し、純正製品に悪意のあるコードを注入しようとするサプライチェーン攻撃が増加しています。サプライチェーン攻撃の動機はさまざまです。

　私たちは、影響を受けたユーザーの一部が実際にサプライチェーン攻撃の標的になっているケースを確認しています。2017年のCCleaner攻撃や2018年のASUSサプライチェーン攻撃がその一例です。

　また、「NotPetya」のようにサプライチェーン攻撃の動機が大量破壊であるケースもありました。サイバー犯罪者はウクライナの会計ソフト「M.E.Doc」を侵害することで、（正確にはワイパーと考えられる）NotPetyaを拡散させました（注:ワイパーはファイルの暗号化をストレージ消去目的で実行しており、犯人もファイルを元に戻すことができない）。

ソフトの権限や許諾範囲、プライバシーポリシーは入念に確認を

――新型コロナウイルス感染症の拡大防止策として、ウェブ会議サービスを活用する機会が増えました。直近ではZoomがユーザーデータをFacebookへ転送していたことが話題になりました。また、御社に関してましてはウイルス対策製品で収集されたユーザーデータをJumpshotを介して第三者に販売していたことでも話題になりました。便利な製品やサービスが出回っていますが、プライバシーやセキュリティ面を考えたとき、ユーザーはどのような点に注意して導入するものを選べばよいのでしょうか

　一般的に、アプリをダウンロードする前に、ユーザーはアプリがアクセスを要求するデータを確認し、そのデータがアプリの説明通り、機能として本当に必要なものかどうかを確認すべきです。例えば、ユーザーはゲームアプリが自分の連絡先、位置情報、動画へのアクセスが必要かどうかを考えるべきであり、必要でない場合はダウンロードする前に再考すべきです。

　また、ユーザーは新しいサービスにサインアップする前にその会社が個人データをどのように扱うかを理解するために、その会社のプライバシーポリシーを確認するべきです。例えば、Avastは2020年1月にJumpshotの事業を終了する前から、プライバシーポリシー内だけでなく、製品上でもJumpshotについての説明を行っていました。

Avastのウイルス対策製品で収集されたユーザーの閲覧データがJumpshotを介して第三者に販売されているという情報が海外メディアによって報じられ、問題になっていた

　企業に責任と透明性を持ってデータを扱うことを求める、欧州の一般データ保護規則（GDPR）とカリフォルニア州の消費者プライバシー法（CCPA）の施行は、ユーザーに大きなメリットをもたらしています。Avastは、こうした規制の導入を歓迎し、欧州とカリフォルニア州という特定の地域に限らず、日本を含む全世界において同様の基準を適用しています。

　例えば、CCPAではどのようなデータが収集され、どのように使用されているかを詳細に把握できるようにプライバシーポリシーを構成することを企業に求めています。Avastは、その基準に応じてプライバシーポリシーを改定し、日本のユーザー向けにプライバシーポリシーを日本語でも公開しました。