ニュース

「常識覆すサイバー犯罪」増加、二要素認証を突破する詐欺手口やサイト改ざんによる情報窃取など

トレンドマイクロが2019年のサイバー犯罪動向を解説

 トレンドマイクロ株式会社は7日、2019年に国内で起こったサイバー犯罪の動向や脅威予測について解説する報道関係者向けのセミナーを行ったが、ここで同社セキュリティエバンジェリストの岡本勝之氏は「これまでの常識を覆すサイバー犯罪が増加した年だった」と振り返った。

 「二要素認証があるウェブサイトは安全」「送信元が正規企業なら安全」「正規サイトなら情報を入力しても安全」といった思い込みによって、新たな手口によるサイバー犯罪の被害が増加しているとして、岡本氏は注意を促す。

ワンタイムパスワードを窃取、二要素認証を突破するためのフィッシング詐欺に注意

 個人を標的としたサイバー犯罪については、二要素認証の突破を狙う詐欺手口が急増したほか、SMSを利用した攻撃、人気サービスに便乗するなりすましや利用者情報を狙うウェブサービスへの攻撃が目立った。

 ネットバンキングで利用されるワンタイムパスワードなどの窃取を狙った攻撃が2018年末に観測されており、2019年には被害が続出した。国内のネットバンキングの二要素認証の突破を狙うフィッシングサイトのドメイン数は、2019年1月時点で26件程度だったが、同年9月で94件、10月で61件、11月で114件と高い水準で推移している。

二要素認証を突破するフィッシング詐欺が増加

 攻撃の特徴として、サイバー犯罪者はセキュリティ強化といった名目でSMSから不正サイトに誘導し、認証情報の入力を促してくる。認証情報を入力してしまうと、サイバー犯罪者は入手したID・パスワードを使って最終的にワンタイムパスワードを窃取する。

 認証情報入力後は正規サイトにリダイクレトするケースもあるため被害に気付きにくい。また、ネットバンキングでのワンタイムパスワードの通知方法は、SMS以外にも専用アプリやワンタイムパスワード生成器での表示、電話番号への音声通知などがあるが、いずれの方法でもワンタイムパスワードは正規の手順で発行・通知されるため、金融機関側でも被害に気付きにくい。そのため、利用者側としては、いかに最初のフィッシングサイトへのアクセスを回避するかが重要になる。

SMSから不正サイトに誘導して最終的にワンタイムパスワードを窃取

送信元を装った攻撃、宅配事業者をかたる偽SMSや人気サービスを装う手口

 送信元を偽装したフィッシング詐欺についても注意を促す。例えば、大手通販事業者などの正規SMSのスレッドに、不正サイトへ誘導する送信元を偽装したSMSが表示されるケースなどが確認されている。また、宅配業者の不在通知を装ったものや、携帯電話事業者を装って、不正アプリや不正プロファイルをインストールさせる手口も確認された。

 不正サイトに誘導された国内のモバイル利用者数は4月以降増加傾向にあり、10月~11月には57万3266件に上った。

 2019年にはキャッシュレス決済が注目されるようになり、モバイル決済事業者になりすましたフィッシング詐欺も起こっている。サイバー犯罪者はトレンドに合わせて人気サービスを装う傾向があるため、引き続き注意が必要だとした。

公式SMSのスレッドに送信元を偽装した偽SMSが表示されるケースも

 岡本氏は個人向けの対策として、「どのような手口が存在するか知ることが重要」だと述べる。不審なメールやSMSについては、安易に本文内のURLにアクセスしないこと、二要素認証や決済情報などの情報入力を行う際はそのウェブサイトのURLが正規のものか確認すること、複数のウェブサービスで同じパスワードを使い回さないことなどを挙げた。

脆弱性を狙ったECサイトの改ざん、被害は利用者にも拡大する恐れ

 このほか、法人を狙ったサイバー犯罪について、ECサイト改ざんによる利用者情報窃取などの手口についても注意を促す。

 カード情報非保持化の対策が取られているECサイトでは、仕組みとして、利用者が入力した情報をECサイト上に設置されたプログラムが決済事業者に送信する「JavaScript型」や、利用者が情報を入力するページを決済事業者のウェブサイトに設置して誘導する「リダイレクト型」がある。

ECサイト側でのカード情報非保持化の仕組み

 しかし、サイバー犯罪者によりECサイトを改ざんされて、利用者の情報が窃取されるケースはすでに起きている。例えば、JavaScript型についてはECサイトで入力した内容をサイバー犯罪者に転送する方法があり、リダイレクト型についてはECサイトを改ざんすることで偽画面を表示して決済情報を入力させる方法が確認されている。こうしたECサイトの改ざんは、ウェブサイトに存在する脆弱性や設定ミスにより起こり得る。

ECサイト改ざん後に利用者の情報が窃取される恐れがある

 一方、海外ではサイバー犯罪集団「MageCart」によるECサイト改ざん被害が2018年から確認されており、ここではクラウドECプラットフォームが侵害され、不正スクリプトが注入されることでカード情報などの決済情報を不正サーバーに送信する仕組みが作られていた。

 2019年には、米国やカナダの200以上の大学オンラインストアへの攻撃が発生。9月以降は、3000以上のウェブサイトへの攻撃が同集団により仕掛けられた。

 法人向けの対策として、自社サイトで使用しているシステムの脆弱性や設定ミスがないか定期的に確認することや、自社サイトに不正なアクセスやシステム変更がないかセキュリティ製品を導入して監視するよう岡本氏は注意を促した。

2020年はオリンピックに便乗した標的型攻撃が起こる可能性も

 なお、2020年の国内におけるサイバー犯罪について、岡本氏はオリンピックに便乗したサイバー攻撃を挙げた。大会関連の情報になりすました標的型攻撃や、大会運営を妨害するサイバー攻撃などが発生する恐れがあるという。

 また、システムの保守・運用を行う関連企業を狙うサイバー攻撃や、組織外のテレワーク環境のセキュリティの隙を突くサイバー攻撃などのサプライチェーン攻撃のリスクの拡大、人物の画像を合成する「ディープフェイク」を悪用した法人組織への詐欺行為についても動きがあるとした。

トレンドマイクロ株式会社セキュリティエバンジェリストの岡本勝之氏