企業を狙う「横方向」のサイバー攻撃　ラテラルフィッシングメール攻撃の驚異

ここ数年、ジワジワではあるが、目につくようになってきた攻撃手法に「横方向(ラテラル)」の攻撃が有る。　ラテラルフィッシングやラテラルムーブメントと呼ばれる驚異で、従来の常識や、防御策では十分な対策を施せない。　今回はラテラルフィッシングについて解説しよう。

■ 正規ドメインから発行されるラテラルフィッシングメール

現在、企業を襲う驚異の中で最も多いのが標的型攻撃と呼ばれるもので、主にフィッシングメールを利用したマルウェア感染や、ID/PW 情報の盗難が問題となっている。　フィッシングメール対策は幾つも存在するが、従業員側のリテラシーとして「偽ドメインからのメール」と思われるメールには反応しないという「常識」が有る。　例えばアップルを語るメールであるにも関わらず、アップルとは全く異なるドメインから送付されてきたメール等だ。

しかし、ラテラルフィッシングは、「正規ドメイン」からフィッシングメールが送付されて来るので、この「常識」が通用しない。　最近のサイバー攻撃者はフィッシングメールを送付するために、正規ドメインに侵入する。　例えば、abc.com というドメインの企業が有ったとしよう。　サイバー攻撃者は、abc.com の従業員に対して Office365 等のメール送信機能を持ったクラウドサービス等の偽のログイン画面へと誘導するフィッシングメールを送付する。　その偽のログイン画面と知らずに、ID/PW を入力した社員の、ID/PW を利用して、サイバー攻撃者は正規の Office365 等に侵入する。

そして、「正規のアカウント」と「正規のドメイン」からフィッシングメールを送付するのだ。　あくまで Office365 は一例として挙げただけだが、ポイントはフィッシングメールを送付するために、正規のドメインからフィッシングメールを送信出来る環境を作り出そうとすることだ。　こうして、abc.com の社員に対して、abc.com のドメインから「パスワードの有効期限」等の案内文と見せかけて、偽のログイン画面等へと誘導し、大量の ID/PW を不正に取得する。

ラテラルフィッシングの特徴は「正規のドメイン」からメールが送付されているため、従来のフィッシングメール対策ソフト等では検知出来ないことも多く、また「偽ドメインに反応しない」という常識も通じない。　そのため、一度ラテラルフィッシングが可能な状態を作り出されると、成功率が高い攻撃手法とも言われている。

■ ラテラルフィッシングに対する対策

ラテラルフィッシングは比較的新しいサイバー攻撃であり、ラテラルフィッシングそのものの対策技術というのは、まだ存在していない。　筆者なりに考えた現存するソリューションを利用して、ラテラルフィッシング対策を実施する方法を記載する。

1. セキュリティ意識向上トレーニング

   標的型攻撃に対するセキュリティトレーニングを改善し、この新しい攻撃についてユーザー教育を実施することで、ラテラルフィッシングの成功率を低下させることが期待される。　偽の電子メールアドレスを使用して攻撃メールを送信する従来のフィッシング攻撃とは異なり、ラテラルフィッシングは正当な（ただし侵害された）アカウントから送信される。　その結果、送信者のプロパティまたは電子メールヘッダーを確認して偽の送信者またはなりすましの送信者を特定するようにユーザーに伝えることは、もはや通用しない。

   多くの場合、ユーザーはリンクをクリックする前にリンクの URL を注意深く確認して、ラテラルフィッシングを識別することが大切だ。　メールに表示される URL テキストだけでなく、メール内のリンクの実際の宛先を確認することが重要となる。

2. 不正な DNS や URL の検出技術の採用

   ラテラルフィッシングは、主に ID/PW 盗難に利用される傾向に有り、フィッシングサイトへ誘導されるケースが多い。　そのため、誤ってURLをクリックした際に、フィッシングサイトへの誘導を阻止出来るソリューションが有効だ。　最近では、DNS 通信を傍受し、不正なドメインや URL へのアクセスを検出/ブロックするソリューションが登場しているので、こういった技術を用いることで、被害に合う確率を低下させることが期待出来る。

3. 多要素認証

   組織がラテラルフィッシングのリスクを軽減するためにできる重要なことの 1 つは、多要素認証を使用することだろう。　セブンペイの件で、注目を集めることになった多要素認証だが、実は大半の日本企業では自社の ID 保護として採用されていないというのが実態だ。　多要素認証を取り入れることで、ID/PW だけが仮に盗難されてもシステムにログイン出来ない状況を作り出すことが出来れば、サイバー攻撃者による不正アクセスを制限および削減するのに役立つだろう。 (大元隆志、Yahoo! = 8-18-19)

米サイバー司令局が北朝鮮ハッキンググループのマルウェアを正式公開

米国国家安全保障局の姉妹部門で破壊的ハッキングやセキュリティー運用に特化している米国サイバー司令局は、北朝鮮のハッカーとつながりのあるマルウェアのサンプル群を新たに公開した。　同局は米国時間 8 月 14 日に、マルウェアとセキュリティー研究に広く用いられているデータベースである VirusTotal にマルウェア群をアップロードしたと発表した。

サイバー司令局が同サーバーにマルウェアをアップロードしたのはこれが初めてではない。　同局は自身の Twitter アカウントを開設し、アップロードしたマルウェアをフォロワーに知らせている。　こうした情報公開は、各地のセキュリティーチームが国家支援による脅威と戦う手助けになるだけでなく、サイバー司令局が標的としている国民国家支援のハッキンググループの内側を垣間見る稀な機会を提供するものでもある。

アップロードされたサンプルは、米国政府が ELECTRICFISH と名付けた。　ELECTRICFISH は、システムにバックドアが作られた際に、データをインターネット経由であるシステムから別のシステムへと不法流出させるためのトンネルツールだ。　ELECTRICFISH は、ハッキンググループの APT38 と繋がっている。　サイバーセキュリティー調査会社の FireEye によると、APT38 は北朝鮮政府が支援する他のハッキンググループ（例えば 2016 年のソニーへのハッキングや 2017 年のランサムウェア「WannaCry」の首謀者とされている Lazarus など）とは、明確に異なる目的を持っている。　APT38 は金融犯罪に特化しており、世界中の銀行から数百万ドルを盗み出している。

国土安全保障省のサイバーセキュリティー部門である CISA によると、ELECTRICFISH が最初に発見されたのは今年の 5 月だが APT38 は数年前から活動している。　最近リークされた国連報告によると、北朝鮮政府は数十回のサイバー攻撃を通じて 20 億ドル以上を盗み出し、同国のさまざまな兵器計画に注ぎ込んでいる。　APT38　は、結成以来 1 億ドル以上の盗難資金を蓄積している。 (Zack Whittaker、TechCrunch = 8-16-19)

あなたの PC・スマホに炸裂する「マルウェア感染」の恐怖

誰もがスマートフォンやパソコンを当たり前のように使用するなか、サイバー攻撃や詐欺は日々激化しています。　サイバー世界では、常に全力でどこもかしこも守らねばらならない防御側よりも、1 つの弱点を見つけて、そこを突破するだけの攻撃側の方が圧倒的に有利なのです。　絶対的不利にある防御側にとって基本かつ確実な対策は、難しい技術を知ることより、実は「心理戦で負けないこと。」　そのためには、どのような脅威があるのかを知ることが第一歩です。　最近のサイバー攻撃事例を紹介しますので、類似ケースに出会った場合は、動揺せずに冷静に対処してください。

【重要】や【至急】の付いたメールが危ない

では、実例を見てみましょう。　楽天株式会社を騙って実際に送られてきた詐欺メールです。

サイバー詐欺実例 (1)

「お客様の楽天市場にご登録のクレジット情報が第三者によって不正にログインされた可能性がございましたため、セキュリティ保護の観点から緊急の措置としてお客様の楽天会員登録のパスワードをリセットいたしました。　（略）楽天 ID とパスワードでログインしてアカウントを更新してください。」　事例のように、突然「第三者によって不正にログインされた可能性があります」、「この PC はウイルスに感染しています」といった警告画面が表示されて、慌てて個人情報を入力してしまったり、指定されたソフトをインストールしてしまう被害が続出しています。

警告音で不安を煽る

電話による振り込め詐欺が巧妙化して被害が続いているように、電子メールやウェブサイトでも人の不安な心情につけこんだ巧みな誘導で、金銭や情報が盗まれているのです。　身に覚えのない文書や聞きなれない警告音で不安を煽られたら誰でも慌てます。　攻撃者は人の心理を利用します。　あくまでも冷静さを忘れずにいることが大切です。

サイバー詐欺実例 (2) Apple を騙ったもの

サイバー詐欺実例 (3) クレジットカード情報も狙われる

なお、2019 年 6 月の東京オリンピックチケット予約当選発表の際、大会委員会は当落を通知する電子メールでは確認用 URL を記載しないことを事前に告知しました。　これは、利用者が当選を装った詐欺メールの被害に合わないための対策です。オリンピック関連の詐欺メールは今後も様々なパターンで発生が予想されるので、注意が必要です。　また、多くの方が利用している Twitter や LINE、Facebook などの SNS を利用した詐欺も増加しています。　検索されそうなハッシュタグを付与したり、興味を持たれそうな文書、画像を掲載したりして、攻撃者サイトに誘導します。　今日、あなたが SNS で見ていたコンテンツは怪しくないと断言できますか?

止まないマルウェア感染

マルウェアとは、攻撃者が個人や企業のコンピュータに侵入し、不正行為や情報の持ち出し、破壊行為を実現するために作成されたプログラムのことを指します。　マルウェアは起動されると、拡散、権限奪取、機密情報の持ち出しなど攻撃者が指示した命令を実行します。　また、ファイルを勝手に暗号化し、復号するための金銭を要求するランサム（身代金）ウェアや、他人の PC のリソースを勝手に使って仮想通貨をマイニング（発掘）するクリプトジャッキングといった攻撃も発生しています。

主な感染経路は 3 種類あります。

・ 感染経路 (1) 電子メールに添付されたマルウェアを実行して感染

請求書や明細書、写真、履歴書などを装ったマルウェアが電子メールに添付されて送られてきます。　マルウェアは様々な工夫がされており、ウィルスチェックソフトに検知されないことも少なくありません。　メールの文面はあたかも利用者が日常的に受け取りそうな文章になっていて、日々大量の電子メールに忙殺される中、詐欺メールだと気づくのはなかなか難しいものです。

・ 感染経路 (2) 改ざんされたウェブサイトを閲覧して感染

攻撃者は公開されているウェブサイトの管理画面やぜい弱性を利用して侵入し、コンテンツを書き換えます。　するとそのウェブサイトを閲覧した利用者は自動的に攻撃者サイトへ誘導され、マルウェアに感染します。　さらには、広告を悪用される場合もあります。　ウェブサイトに掲載される広告コンテンツは広告主が提供しますが、攻撃者がこの広告を書き換えることで、様々なウェブサイトに掲載され、閲覧した利用者は攻撃者サイトへ誘導されます。

また、最近はフォームジャッキングと呼ばれる手法が増えています。　これは正規サイトでクレジットカード情報などを入力するエリア（フォーム）に、攻撃者によって不正なコードが埋め込まれます。　入力した情報が攻撃者にも転送されるため、利用者が送信ボタンを押した瞬間、情報が盗まれます。　セキュリティコードまで盗まれては、攻撃者はあなたのカード情報を使ってネットで買い物し放題となります。

・ 感染経路 (3) USB メモリや DVD-ROM を PC に挿入して感染

もし、オフィスの出入口に USB メモリが落ちていたら、「誰かの落とし物かな?」と中身を確認しませんか?　その中にマルウェアが入っていたら、PC に接続した瞬間に発動します。　インターネットにつながっていなくても、あらかじめ決められた命令を自律的に実行し、システム破壊などを起こすことが可能なのです。　見た目は USB メモリでも PC に挿すとキーボードとして認識され、任意のコマンドを実行できる USB も実在します。

「自分は大丈夫」が一番危ない

サイバー犯罪の事例を紹介してきましたが、このような攻撃から自分を守るにはどうしたら良いでしょうか?

電話の詐欺と同様に、電子メールやウェブサイト、SNS による詐欺行為を自分も受ける可能性があると自覚することが重要です。　不審な電子メールを受け取ったらアドレスをよく確認する、至急の対応を求めて来た場合は、あらかじめ入手している電話番号などで直接本人に確認する、突然不審なウェブサイトに飛ばされても、まずは落ち着いて、そのままブラウザを閉じるといった対応を覚えておきましょう。

基本的には皆さんご自身が適切な食生活、睡眠、運動を心がけ、病気にならないようにしているのと同じで、PC やスマートフォンなどのデバイスを健康な状態に維持することが大切です。　個人でできる対策をいくつか紹介します。　ぜひ継続的に実施して、デバイスの健康管理に気を付けましょう。 (武井洋介、現代ビジネス = 7-29-19)

【パソコン版セキュリティチェックりスト】

• セキュリティパッチを適用しているか?　インターネットにアクセスするツール、ダウンロードや受信した際ファイル開封によく使われるアプリケーションのぜい弱性をあらかじめ塞いでおこう。
• Windows Update はこまめに実施しているか?
• Java、 Acrobat、 MS Office、ブラウザなどのアプリケーションは最新か?
• ウィルスチェックソフトを導入し、パターンは最新か?
• ファイアウォールは有効化しているか?
• MS Office のマクロ自動実行は停止しているか?
• Acrobat Reader の script の実行は禁止しているか?
• データはこまめにバックアップしているか?　ただし、ネットワークや PC に繋ぎっぱなしの場所にバックアップを置いていると、バックアップデータも改ざん、破壊されるので注意。
• ブラウザのグリーンバーを確認しているか?　ウェブサイトにアクセスするとアドレス部分が緑色になり、正規サイトであることを利用者が視覚的にわかる仕組み。　特に個人情報やクレジットカード情報を入力するページでは確認する。

【スマホ版セキュリティチェックリスト】

• OS は最新か?　特に日本では古い OS のスマホがまだ数多く利用されており危険。　アップデートが通知された場合は速やかに実施するようにしたい。
• 古くなり、メーカのサポートが切れた場合は買い替えを。
• Root 化、Jailbreak （脱獄）はしていないか?
• アプリ権限を確認しているか?　アプリストアのアプリは安全だと思い込み、ついすぐに「インストール」ボタンを押したくなるが、その前に要求してくる権限が必要以上でないか確認する（例 : ゲームソフトなのに通話履歴や電話帳へのアクセスを求める）。
• ブラウザのグリーンバーを確認しているか?　PC と同様にスマホのブラウザでも対応している。

フェイスブック、罰金 5,400 億円か　個人情報流出問題

米フェイスブック (FB) が個人情報の取り扱いを巡って米連邦取引委員会 (FTC) に支払う罰金は、約 50 億ドル（約 5,400 億円）に上る見通しになったと 12 日、米主要メディアが報じた。　FB は 4 月末の決算発表で罰金が「30 億 - 50 億ドル」に達する見通しだと公表しており、FTC との和解に向けた手続きが最終段階に入っているものとみられる。　米 IT 企業に対する罰金としては過去最大規模になりそうだ。

米ウォールストリート・ジャーナル紙によると、FTC は今週、50 億ドルの罰金で FB と和解する案を委員の賛成多数で可決した。　いまは米司法省の最終承認を待っている段階だという。　FB は 12 日の朝日新聞の取材に対して「コメントしない」と答えた。　FB は、同社の個人情報の取り扱いを指摘した FTC と 2012 年に和解した際、「利用者の同意なく、個人情報を（他の企業などと）共有しない」と約束した。　しかし昨春、16 年の米大統領選にからみ、英選挙コンサル会社に最大 8,700 万人分の個人情報が流出したことが発覚したことから、和解違反のおそれがあるとして FTC が調査に入っていた。 (サンフランシスコ = 尾形聡彦、asahi = 7-13-19)

前　報 (4-12-18)

中国、富士通や NTT データにも不正侵入　大規模サイバー攻撃

［ロンドン］ 中国政府とつながりのあるハッカー集団「APT10」が「クラウドホッパー作戦」と銘打ち、情報窃取目的で政府機関や企業に大規模なサイバー攻撃を仕掛けた問題で、これまでに日本企業を含む大手ハイテク企業 8 社がハッキング被害を受けていたことが、複数の関係筋の話で明らかになった。

ロイターは昨年 12 月時点で米ヒューレット・パッカード・エンタープライズと IBM のネットワークが不正に侵入されたと報じたが、今回、富士通や NTT データ、印タタ・コンサルタンシー・サービシズ、南アのディメンションデータ、米コンピュータ・サイエンス・コーポレーション (CSC)、DXC テクノロジーにも不正侵入があったほか、当該企業の顧客のうち十数社が被害に遭ったことなどが判明した。　富士通と NTT データはコメントを控えた。

米検察当局は昨年 12 月、クラウドホッパー作戦に絡み中国人 2 人を起訴。　この 2 人は中国国家安全省と関係があり、米海軍や航空宇宙局 (NASA)、航空・宇宙・衛星技術関連企業など、少なくとも 45 の政府機関や企業から知的財産のほか、企業や技術関連の秘密情報を盗んでいた疑いが持たれている。 (Reuters = 6-27-19)

世界の通信会社 10 社以上にサイバー攻撃、中国に関与の疑い

中国を拠点とする国家主導とみられるハッカーらが、数年間にわたって世界の通信プロバイダーを標的にサイバー攻撃を仕掛け、膨大な数のユーザーの通話データ記録や位置情報などを盗み出していたという。　この活動によって、世界中の少なくとも 10 社の通信事業者が影響を受けたと考えられている。　Cybereason のセキュリティ研究者らは、2018 年に顧客のネットワーク上の疑わしい動きについて調査を開始し、これを発見した。

「誰かが実際にネットワーク内に侵入し、複数のコンピューターに次々とアクセスして認証情報を盗み、数百 GB という常軌を逸しているとしか言えないほどの量のデータを抜き取っていた」と、Cybereason の主席セキュリティ研究者である Amit Serper 氏は米 ZDNet に対して述べた。

「Operation Soft Cell」と名付けられたこのハッキング活動は、同氏の調査対象だった IT インフラのあまりに広範囲にまで及んでいたため、Serper 氏は「事実上この企業の影の IT 部門」になっていたと表現した。　ハッカーらは、独自の VPN に加えて、管理者権限を持つ少なくとも 10 件の異なるアカウントまで設定しており、広範囲にわたるデータにアクセスしていただけでなく、ネットワークを停止させることもできる状態だったという。

影響を受けた標的は、欧州、アフリカ、中東、アジアで確認されており、ハッキング活動は少なくとも 2017 年、あるいはそれ以前から続けられていたとみられる。　しかし、世界中の通信プロバイダーのネットワークを掌握していたにもかかわらず、ハッカーらの狙いは、研究者らが高価値ターゲットと表現する、複数の特定の個人に関する情報にアクセスすることだけに集約されていたようだ。　Cybereason が最初に調査を開始して以降、約 20 人がターゲットだった可能性がある人物として特定されている。

標的となった情報は、通話相手、通話の日時と継続時間、テキスト送信の相手と日時に関連するメタデータだ。　1 日を通して接続する携帯端末の中継塔から、ユーザーの位置情報を割り出すことができるため、ハッカーらはメタデータを入手することによって、ユーザーを追跡することも可能だ。　Cybereason は、「Soft Cell の背後にいるのは国家の支援を受けたハッカーであり、そのグループは中国に関連している可能性が高い。　この活動にはおそらく、中国のハッカー集団 APT10 が関与している」とみている。 (Danny Palmer、ZDNet = 6-26-19)

NASA、サイバー攻撃で機密データ流出　侵入口は無許可接続の「Raspberry Pi」

米航空宇宙局 (NASA) のジェット推進研究所 (JPL) の研究データが昨年、サイバー攻撃により盗まれていたことが、米連邦政府の監察総監室 (OIG) が 6 月 18 日付で公開した報告書で明らかになった。

2018 年 4 月に JPL のネットワークに侵入した攻撃者が約 10 カ月の間ネットワーク内の多数の脆弱性を利用して行動範囲を広げ、火星科学研究探査機のデータを含む約 500MB の機密データを盗んだ。　深宇宙通信情報網 DSN （ディープスペースネットワーク）のデータにもアクセスした痕跡があるため、JPL のネットワークから DSN の宇宙飛行関連システムを切断したという。

攻撃者の侵入口は JPL のネットワークに無許可で接続していた Raspberry Pi 端末だった。　本来ならば最高情報責任者室 (OCIO) がネットワークに接続するすべての端末を管理しているはずだが、正常に機能していなかった。　管理者の 1 人は OIG に対し、新たに端末を接続する際はセキュリティデータベースに手動で登録することになっているが、更新機能がうまく動かないことがあり、そのまま登録を忘れることがあると語ったという。

OIG は NASA のセキュリティ体制の問題点を多数挙げている。　例えば IT システムにセキュリティ脆弱性が見つかっても、180 日以上放置していることがあった。　また、JPL はその性格上、外部パートナーにもネットワークへのアクセスを許可しているが、ネットワークを分離して機密データへのアクセス制限を適宜設定していない。　OIG は報告書で NASA に改善を求めた。　報告書の Conclusion には「JPL のネットワークにはまだ重大な脆弱性が残っており、機密情報がサイバー攻撃の危険にさらされている」とある。　調査はまだ継続中で、攻撃者が特定されているかどうかは不明だ。 (ITmedia = 6-23-19)

ネット取引、パスワードの罠　ドコモやユニクロに被害

「ユニクロ」や NTT ドコモなど大手企業の電子商取引 (EC) サイトが、相次いで乗っ取り被害に遭っている。　背景にあるのはパスワードの「罠」。　手軽に本人確認できる一方で、ネット上には数十億件も流出し、犯罪者が容易に入手できる。　ただし、多くの企業はシステム改修や顧客離れを懸念して、旧来の仕組みが温存されている。　このままでは、被害拡大を食い止められない。

氏名や住所ばかりか、購入商品や体形まで犯罪者に筒抜けに - -。　ユニクロを運営するファーストリテイリングは 5 月、ネット通販サイトが不正侵入され、約 46 万人の顧客情報が閲覧された可能性があると公表した。　犯罪者が ID とパスワードの組み合わせ（リスト）を複数用意し、手当たり次第に入力して不正にログインしたとみられる。　「リスト型攻撃」と呼ばれる手口だ。

リスト型攻撃は頻発している。　昨年、NTT ドコモの通販サイトが被害を受けた。　犯罪者が契約者を装い、米アップルの「iPhoneX （テン）」を約 1 千台（1 億 4 千万円相当）不正購入した。　受取場所としてコンビニエンスストアなどを指定し、契約者とは別人の何者かが持ち去った。　今後も同様の手口が続く可能性は高い。　ID に使われるメールアドレスとパスワードの組み合わせが、ネット上に大量に流出しているためだ。

■ 流出、世界で 27 億件

セキュリティー会社のソリトンシステムズによると、世界全体で少なくとも 27 億件、日本関連だけでも 2,000 万件が海外のファイル共有サイトで容易に入手できるという。　多くのネット利用者は複数サービスでパスワードを使い回しているため、1 つの組み合わせが判明すると、被害は芋づる式に拡大する。　このような状況では、犯罪者によるなりすましを防ぐのは困難だ。　顧客に安心してサイトを利用してもらうには、「脱・パスワード」の対策が欠かせない。

ただし、多くの EC 企業は抜本的な対策を打ち出せていない。　不正侵入された顧客のパスワードをリセットして再設定を促したり、パスワードを使い回さないよう呼びかけたりする程度だ。　理由は 2 つある。　まずはコスト。　顧客のスマホを使って本人確認し、セキュリティーを高める「2 段階認証」などを導入するには、システム改修が不可欠だ。　作業自体は 1 カ月程度で済むことが多い。　ただ、大規模サイトでは改修で不具合が起こらないかなどの調査に相応の期間を要するため、1,000 万円超のコストがかかると見られる。

■ 顧客離れ恐れる

もう 1 つは「顧客離れに対する懸念。（セキュリティー企業ラックの倉持浩明・最高技術責任者）」　セキュリティーを強化すると、一般的にサイトの使い勝手は悪くなる。　先行投資した結果、顧客が流出したら本末転倒だ。　「投資対効果は判断できない。（大手 EC サイトの幹部）」　競合が得をするのを恐れて合理的な判断ができなくなる、「囚人のジレンマ」に陥っているわけだ。

だが、不作為はもう許されない。　パスワードのみに依存しない仕組みが、相次ぎ登場しているからだ。　ヤフーは昨年、指紋などのスマホの生体認証機能でログインできるようにした。　文字のパスワードは不要で、仮にスマホが盗まれても悪用されにくい。　米マイクロソフトは今年 5 月、パソコン用 OS 「ウィンドウズ」の顔認証機能を国際規格の「FIDO （ファイド）」に対応させた。

指紋や顔を使わなくても 2 段階認証を活用すれば、なりすましのリスクを大きく減らせる。　NTT ドコモは昨年の被害発覚後、この仕組みの利用を改めて呼びかけた。　一筋縄ではいかないのは事実だが、企業がシステム投資を怠ることで被害を受けるのは、顧客である消費者だ。　パスワードだけに頼る仕組みを放置する企業は、遠からず立ち行かなくなる。

■ 定期変更、逆にリスク

パスワードの「罠」に直面するのは、EC 企業だけではない。　業務用の電子メールやオフィスソフトをクラウド経由で利用する企業も、注意が必要だ。　ログインする際のパスワードを犯罪者に盗まれると、業務システムに不正侵入され、機密情報を奪われかねない。　多くの企業は対策として、従業員に対して定期的なパスワード変更を求めている。　だがこの手法では、セキュリティーが向上しないことが明らかになってきた。　安易なパスワードの利用が増えることで、かえってリスクが高まるという。

米マイクロソフトは 4 月、「ウィンドウズ 10」の最新版で「定期的なパスワード無効化ポリシー」を廃止すると公表した。　同社のブログでは「パスワードの定期変更は古くさくて時代遅れ」とまで踏み込んだ。　国内では総務省が 18 年 3 月、パスワードの定期変更は不要とする見解を出した。　にもかかわらず、運用を見直した企業は少ない。　日本情報経済社会推進協会 (JIPDEC) と IT コンサルティング企業アイ・ティ・アール（東京・新宿）が 19 年 1 - 2 月に実施した調査によると、総務省の見解発表後も 54.5% の企業が定期変更を続けている。　対策を進めるには、パスワードに対する企業の意識変革が急務だ。 (島津忠承、北郷達郎、nikkei = 6-13-19)

ヤマダ電機 カード情報 3 万 7,000 件余流出か 不正利用のおそれも

家電量販店のヤマダ電機は、自社で運営する通販サイトに不正なアクセスがあり、最大で 3 万 7,000 件余りのクレジットカードの情報が流出した可能性があると発表しました。　発覚してから 1 か月以上たっての公表で、一部のカード情報は不正に利用されたおそれがあるということです。

不正なアクセスがあったのはヤマダ電機が運営する「ヤマダウェブコム」と「ヤマダモール」の 2 つの通販サイトで、最大で 3 万 7,832 件のクレジットカードの情報が流出した可能性があるということです。　流出のおそれがある情報はことし 3 月 18 日から 4 月 26 日までの間に 2 つのサイトに新規に登録したり、登録内容を変更したりしたカード番号や有効期限、それにセキュリティコードです。

このうち、一部のカード情報が不正に利用されたおそれがあるということで、現在、会社が被害の件数や被害額などを調べています。　今回、情報が流出した可能性が発覚したのは今から 1 か月以上前の先月 16 日で、カードの新規登録や登録内容の変更を停止したのは、その 10 日後でした。　公表が遅れたことについてヤマダ電機では、「正確な状況を把握しない段階で公表することはかえって混乱を招くことになると判断した」としています。 (NHK = 5-29-19)

トレンドマイクロにサイバー攻撃　ロシア系ハッカーか

ウイルス対策ソフト「ウイルスバスター」で知られるトレンドマイクロ（東京）は、同社のコンピューターシステムに何者かが不正に侵入したと明らかにした。　外部への情報流出は「現時点で確認されていない」と説明しているが、発覚のきっかけとなった米セキュリティー会社の調査では、対策ソフトのプログラムなど機密情報が盗まれた可能性を指摘している。

セキュリティー会社「アドバンスト・インテリジェンス」が今月公表した調査結果によると、米国に拠点がある情報セキュリティー企業 3 社がロシア系とみられるハッカー集団のサイバー攻撃を受け、機密情報が盗まれたとしている。　3 社のうち 1 社が米国に現地法人を持つトレンド社だった。　他の 2 社は判明していない。

ハッカー集団は「Fxmsp」を名乗り、各国政府や企業から盗み取った情報を販売する狙いで、これまでに 100 万ドル近い利益を得ているとア社は指摘。　Fxmsp が今年 3 月、闇のインターネット掲示板を介して接触してきた相手に、ロシア語で「大手ウイルス対策企業 3 社から盗み取った情報を独占的に提供する」と持ちかけ、不正侵入の手口と合わせて「30 万ドル以上で販売する」と提案したという。

トレンド社は朝日新聞の取材に、「不正アクセスがあった」と事実を認めた。　トレンド社の関係者によると、侵入された部署のネットワークを遮断したという。　ア社の調査では、3 社から盗み出されたデータは「ウイルス対策ソフトのプログラムコード」、「開発資料」、「（サイバー攻撃を検知するための） AI （人工知能）に使う学習データ」などを含むとしている。

これらのデータはセキュリティー企業の「秘中の秘」で、事実とすればウイルス対策ソフトを無力化するサイバー攻撃に悪用される恐れがある。　トレンド社はこうした指摘に対し、「現時点ではプログラムの流出などは確認されていない」としている。　米ネットメディアでは、他の被害企業として複数の社名が挙がっている。　このうち、米シマンテックは朝日新聞の取材に「弊社が影響を受けていないことをアドバンスト・インテリジェンス社も認めている」とコメントし、ハッキングの被害を否定した。 (編集委員・須藤龍也、荒ちひろ、asahi = 5-20-19)

キョードー東京、不具合でチケット販売サイトを停止

イベント企画大手のキョードー東京は 16 日、チケット販売サイトの不具合で同日午前 7 時ごろからサービスを停止していると明らかにした。　「名前などの他人の情報がサイトに出てくる」との問い合わせが寄せられているといい、個人情報が漏れたかどうかや不具合の原因を調べている。　同社によると、15 日午前 9 時ごろからサイトにつながりにくい状態が続いていたという。　約 55 万人の会員がいるという。 (asahi = 3-16-19)

8 千回ボタン連打、システムに欠陥　仮想通貨の詐取事件

仮想通貨「モナコイン」を顧客から預かるサービス「Monappy （モナッピー、営業停止中）」に昨年、サイバー攻撃を仕掛け、運営会社からモナコイン約 1,500 万円相当（当時のレート）を詐取したなどとして、警視庁は 14 日、宇都宮市の少年 (18) を電子計算機使用詐欺と組織的犯罪処罰法違反（犯罪収益の隠匿）の疑いで書類送検し、発表した。　容疑を認めているという。

仮想通貨をめぐっては、昨年 1 月に「コインチェック」で約 580 億円相当、同 9 月に「ザイフ」で約 70 億円相当（ともに当時）など、取扱業者からの不正流出が相次ぐ。　同庁によると、仮想通貨流出事件の摘発は全国で初めて。　サイバー犯罪対策課によると、少年は昨年 8 - 9 月、モナッピーの送金システムの欠陥を悪用して誤作動させ、運営会社が管理していたモナコイン約 9 万 7 千モナ（約 1,500 万円相当）を外部の口座に送金させて詐取。　大半を海外の仮想通貨交換所の匿名アカウントに移した疑いがある。

悪用されたのは「ギフトコード」というモナッピーの送金機能。　コードを入力すると自分あてに贈られた分のモナコインを受け取ることができるが、短時間に大量に操作すると誤作動で複数回送金されてしまうシステム上の欠陥があった。　欠陥の存在に気づいた少年は、スマートフォンやパソコンで計 8,254 回、手動で操作ボタンの連打を繰り返し、自らが取得していた 133 回分のコードで、642 回分の送金に成功。　オンライン上のモナッピーのウォレット（口座）からモナコイン全量を奪ったとされる。

「自分の残高が増えていくのが楽しくて、コインを全部取ってしまった」と供述しているという。　サイバー攻撃をしかける際、複数の匿名化ツールを利用して身元がわからないようにしていたとされ、ログの解析などから容疑が浮かんだという。 (荒ちひろ、稲垣千駿、asahi = 3-14-19)

宅ふぁいる便、廃止含め検討　情報流出、システムに欠陥

ファイル転送サービス「宅ふぁいる便」の会員の個人情報が流出した問題で、サービスを提供するオージス総研（大阪市）は 14 日、当面サービスを再開できないと発表した。　既存のシステムにセキュリティー上の欠陥があり、システムを再構築する必要があるためだ。　サービスの廃止も含めて事業の方向性を検討中だという。　流出したのは直近 2 年間の退会者を含む、会員 481 万 5,399 人分の個人情報だった。　生年月日やパスワード、メールアドレスなどがもれた。　流出経緯の詳細は、模倣の恐れがあるなどとして、明らかにしなかった。　同社は大阪ガスの完全子会社。 (asahi = 3-14-19)

IoT や仮想通貨狙う不審アクセス急増　前年の約 2 倍に

インターネットにつながる家電など「IoT 機器」や、仮想通貨のネットワークを狙ったとみられる不審なアクセスが、警察庁の観測で前年の約 2 倍に急増した。　同庁が 7 日発表した。　セキュリティーの欠陥を探ろうとするもので、接続されると不正プログラムに感染する危険がある。　同庁は「解読されにくい ID やパスワードを設定し、2 段階認証を活用してほしい」と注意を呼びかけている。

警察庁は 24 時間態勢で運用する検知ネットワークシステムで、サイバー空間の不審なアクセスを調べている。　システムのセンサー 1 カ所が検知する 1 日あたりの不審なアクセス件数を分析。　昨年は 2,752.8 件で、前年より 45% 増えた。　このうち、家庭や企業にある家電をネットでつなぎ生活を便利にする「IoT 機器」や、仮想通貨のネットワークへの不審なアクセスは 1,702.8 件に上り、前年より 875.9 件増えて約 2 倍となった。　一方、メール送受信やサイト閲覧などに使うネットワークへの不審なアクセスは 2016 年以降、ほぼ横ばいで推移しているという。 (小林太一、asahi = 3-7-19)

トヨタ豪州法人にサイバー攻撃　従業員がメール使えず

トヨタ自動車の豪州法人は 21 日、サイバー攻撃を受けたと発表した。　「現段階では、従業員や顧客の個人データにアクセスされたとは考えていない」としている。　20 日から従業員の電子メールが使えなくなっているという。　同社によると、攻撃を受けたのは 19 日とみられる。　現在、サイバーセキュリティーの専門家とともにシステムの復旧作業中で、「現段階では、どこからの攻撃かについて詳細な情報はない」としている。

地元メディアによると、従業員はメールが使えるようになるまで、直接のやりとりや電話、テキストメッセージなどで業務を続けるという。　トヨタは 2017 年 10 月にメルボルンの工場を閉鎖。　豪州法人は、現在は販売部門などに約 1,300 人の従業員がいる。　豪州では今月上旬、連邦議会もサイバー攻撃を受けた。 (シドニー = 小暮哲夫、asahi = 2-21-19)