昨今のサイバー犯罪とセキュリティを調査してみた

8920 ワード
サイバーセキュリティ CSO サイバー攻撃 CISO サイバー攻撃 テキストリンク

はじめに

本エントリは、Qiita Advent Calendar 2017 ulgeekの12日目です。
毛色は変わりますが、「サイバー犯罪とセキュリティ」に関して調査した結果を記事としてまとめたものです。

概要

近年のサイバー犯罪は、個人単位のクラッキング行為やウィルス流布にとどまりません。組織単位で標的に攻撃をしかけ、数億円単位の損害を企業に与えるといった犯罪が出現しています。
また、企業だけではなく個人に対しても、ネットバンキングの不正送金や仮想通貨アカウントの不正使用など、サイバー犯罪が発生しています。決して他人事ではありません。業務を継続するためにも、日常生活を問題なく過ごすためにも、セキュリティ対策は切っても切り離せない時代にきています。

まずは「敵を知り対策を練る」ために、サイバー犯罪の事犯を知っていただき、セキュリティ対策について考える際に参考にしていただければ幸いです。

サイバー犯罪の分類

近年のサイバー攻撃による犯罪は下記の3分類に大別されます。

  1. Cyber bank Robbery
  2. Ransomware
  3. IoT DDoS

1.Cyber bank Robbery

銀行口座や銀行を標的にした犯罪で、1度に多大な金額(数億円~数十億円)を得ることができるため、「ビジネス」として成り立っていることが特徴です。

日本における事犯

警察庁が公開している2017年上半期の事犯では、インターネットバンキングからの不正送金や、仮想通貨アカウントへの不正アクセスが記述されています。前年比によると被害件数/被害総額ともに減少傾向にありますが、被害総額を見ていただくとお分かりいただけるように、被害は決して小さくありません。

インターネットバンキングに係る不正送金事犯

  • 発生件数は214件
  • 被害額約5億6,400万円

仮想通貨アカウントへの不正アクセスによる不正送金事犯

  • 認知件数は23件
  • 被害額約5,920万円相当 (2017年5月以降、認知件数が増加している)

「平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について」警察庁

ここがPoint!

  • 被害総額が大きい。
  • 仮想通貨アカウントもサイバー攻撃の標的となっている。

海外における事犯

海外では、銀行口座だけではなく銀行自体を標的としたサイバー犯罪が発生し、数億円の被害がでました。

2016年2月4日木曜日の営業時間外に、バングラデシュ中央銀行のシステムにハッカーがマルウェアを利用して侵入。そのハッカーは乗っ取ったアカウントを利用し、SWIFT(※1)を通じてニューヨーク連邦中央銀行宛に偽の送金指示を行い、フィリピンの銀行口座などへの不正送金に成功しました。そこからカジノ等にお金が流れ、行方が分からなくなっています。

この事件の特徴は以下の4点です。

  1. 被害額が約8,100万ドルと史上最大級(送金の試みは10億ドル弱)
  2. 最終的な標的は中央銀行(一般の銀行ではない)
  3. 銀行のバックオフィス業務に精通した、精巧なマルウェアを使用
  4. 詐欺の舞台が複数の国に跨っていた

上記の事件の場合、証拠が海外に流出してしまうため、複数国で協力体制が必要となり法的な措置が取りづらくなります。

※1 国際銀行間通信協会(Society for Worldwide Interbank Financial Telecommunication)。SWIFTが提供するメッセージング・サービスは世界中の200以上の国家と地域で、11,000以上の金融機関等に利用されている。
事件では、SWIFTが提供している銀行保有のAlliance Access systemのアカウントが乗っ取られ、不正な送金指示が可能となったと見られる。
「バングラデシュ中央銀行での不正送金事件の余波」野村総合研究所

ここがPoint!

  • 被害を受けた場合、奪取された資金を取り戻すことが難しい。
  • 組織的に攻撃をしかけるため、被害額が大きい。

2.Ransomware

Ransomwareはマルウェアの一種です。
権限を奪取することでユーザーがシステムにアクセスできないようにし、復旧と引き換えに身代金を要求します。
「Ransomware - Definition」 Trend Micro USA

海外における事犯

ニュースで話題となった「WannaCry」「Petya」などを使用した犯罪のことです。日本でも話題になりましたが、2017年5月12~19日にかけての間、NHSイングランド傘下の複数の医療施設が、マルウェア「WannaCry」によるサイバー攻撃の影響を受けました。
感染による被害は、以下の2つに分類されています。

  • NHSのスタッフがデバイスからロックアウトされ、患者情報にアクセスしてアップデートしたり、患者の検査結果をかかりつけ医に送信したり、患者を病院から退院させたりすることができなかった/遅れた。
  • 医療設備/機器が、ロックを防止すべきトラストのITシステムからロックされるか孤立した。これは、診断画像や血液検査/組織サンプルについて、トラストが設備/機器に依存していたために、トラストの放射線部門や病理部門が障害に見舞われたことを意味している。

「「WannaCry」に襲われた英国の地域医療連携システム、そこから何を学べるのか」ITmedia, Inc
「WannaCry Affected 34% of NHS Trusts in England, Investigation Finds」Tripwire, Inc

Ransomwareに感染した場合、身代金を支払うことで無事に復旧できたケースもありますが、深刻なケースは暗号化する際にファイルを破壊し、身代金を支払ったとしても復旧できないケースもあったことです。上記事犯ではセキュリティソフトを導入していたものの、パッチ適用を求める警告を無視していたため、本来防止できたマルウェアに感染してしまいました。セキュリティソフトを導入するだけでなく、パッチを適用して常に最新の状態に保つことがマルウェア感染防止に不可欠です。

「「WannaCry」の残した被害と教訓、2017 年上半期の脅威動向を分析」トレンドマイクロ社
「大規模な暗号化型ランサムウェア攻撃が欧州で進行中、被害甚大」トレンドマイクロ社
「平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について」警察庁

ここがPoint!

  • 2次感染など、被害の拡大を招く。
  • セキュリティソフトは、最新のパッチ適用を実施していなければ、感染を防止できない。

3.IoT DDoS

2016年に増加した「Mirai」ボットなど、IoT機器を標的とした探索行為や感染活動です。
「平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について」警察庁

海外における事犯

海外では、著名なセキュリティ情報ブログ「Krebs on Security」が、MiraiというマルウェアのDDoS攻撃の被害に遭い、サーバがダウンしました。また、NetflixやTwitter、Reddit、Spotify、Gov.UK(英国政府ウェブサイト)も、2016年にウェブサイトがオフラインになる事態が発生し、原因がMiraiによるDDoS攻撃であるといわれています。

IoT機器はハード面で制約があるため、出荷時からOSが更新されない/IDやパスワードが出荷時と同じ/セキュリティソフトを導入しにくいといった課題があります。攻撃者はこの課題につけ込みIoT機器を踏み台にすることで、予想できない数のトラフィックを利用して攻撃くるのです。

「IoTデバイスを狙うマルウェア「Mirai」とは何か――その正体と対策」Tech Factory _ ITmedia, Inc
「IoT セキュリティ対策に関する提言」サイバーセキュリティタスクフォース

ここがPoint!

  • 日常生活で使用するルーターなども踏み台にされる可能性がある。

セキュリティ対策

上記のような犯罪に巻き込まれないようにするため、組織や個人でセキュリティ対策を検討することが不可欠です。組織と個人で対策を後述するとともに、セキュリティ対策で要となるセキュリティソフトについて簡単に記述します。

組織における対策

セキュリティ対策をコストと捉えず、事業を継続するための投資と捉えることが求められます。
情報セキュリティ対策の推進において、投資やリソース配分に関する意思決定を経営層が担当し、こうした意思決定を支援するためのとりまとめ・調整機能としてCSO(Chief Security Officer)やCISO(Chief Information Security Officer)が重要となります。

2016年の調査によると、日本における売上高が1兆円以上の企業でCISOの設置が進んでおり、40.4%の企業が設置済みと回答しています。また、売上高が1兆円以上の企業では、経営戦略とIT戦略が密接な関係にあると考える企業が90%を占めています。一方で、売上高が1兆円未満の企業では、いずれも割合が下がっています。

現在のサイバー環境をふまえると、経営戦略とともにIT戦略を立案できるよう、まずは社内の体制を整備し、あわせて社内に情報セキュリティ教育を徹底することが大切だと思います。
「第23回 企業IT動向調査2017(16年度調査)」一般社団法人 日本情報システム・ユーザー協会
「企業の CISO や CSIRT に関する実態調査 2016」IPA
「日常における情報セキュリティ対策」独立行政法人情報処理推進機構

個人における対策

AndroidやiOSの端末に対するサイバー攻撃も発生しています。
「Android端末を踏み台にしたDDoS攻撃発生 Google Playに300本の不正アプリ」ITmedia エンタープライズ
(マルウェア「WireX」は対策がされているため、防御することが可能です。)

個人単位で下記の対応を実施することで対策が可能です。

  • 権限を変更するようなアプリを不用意にインストールしない
  • 不正なサイト/メールを不用意に開封しない
  • モバイル端末用のセキュリティソフトを導入する
  • 自宅で使用するルーターは、デフォルトの設定で利用しない

IPAにて「日常における情報セキュリティ対策」が公開されていますので、詳細を知りたい方は下記をご覧ください。
「日常における情報セキュリティ対策」独立行政法人情報処理推進機構

セキュリティソフトの特徴

セキュリティソフトといっても、特性に応じて多種多様で、「これがとてもいい!」と一概には言えません。事実、有名なセキュリティソフトでも未知のマルウェアを防ぐことができない場合もあります。企業や個人の情報資産/利用システム・媒体に合わせて、導入することで水際対策が可能です。

例えば、「不特定多数が接続する」ことを前提にした環境であれば、「特定のWiFi環境下でウィルスに感染した媒体が見つかった場合、その媒体のみIPアドレスを振り分け、接続先を変更することで、特定ネットワーク内の2次感染を防止できるセキュリティソフト」が有効であるかもしれません。

最後に

近くAI/機械学習を流用した、より高度で複雑なサイバー攻撃が登場すると予想されます。多大な損失を出してからではなく、攻撃を未然に防ぐ/損失を軽減するために、ソフトウェアやアプリの脆弱性やサイバー攻撃の情報を収集し、組織や個人で継続的に対策を練る必要があります。

参考

下記サイトにて、ソフトウェアやアプリの脆弱性やサイバー攻撃の情報が確認できます。
Japan Vulnerability Notes
警察庁 サイバー犯罪対策プロジェクト

余談

先日セミナーにて、国際刑事警察機構(インターポール)の刑事さんから「最近のサイバー犯罪について」お話をうかがったことがきっかけで、本記事の作成に至りました。
この記事を書くモチベーションを与えてくださった刑事さんに心から感謝申し上げます!
(余談ですが、「ルパ●を追いかける仕事は、インターポールの仕事ではありません(笑)」だそうです。勉強になりますね。)