|
防衛装備庁の情報流出か 三菱電機へのサイバー攻撃で
三菱電機の社内ネットワークが大規模なサイバー攻撃を受けた問題で、防衛省は 10 日夜、流出した可能性のある情報の中に、防衛装備品に関する「機微な情報」が含まれていたと発表した。 三菱電機側から新たに報告を受け、判明したという。 問題が発覚した 1 月の段階では、同省は「機微情報の流出はなかったと(三菱電機から)報告を受けている」と説明。 三菱電機もこれまで「防衛・電力・鉄道などの社会インフラに関する機微な情報、機密性の高い技術情報や取引先に関わる重要な情報は流出していないことを確認した」としていたが、こうした説明が覆される可能性が出てきた。
同省によると、流出した恐れがあるのは、防衛装備庁が 2018 年 10 月に三菱電機側に貸し出した資料。 備品を試作するための研究開発の段階で要求する性能などの情報が含まれていた。 安全保障に直結するような防衛上の「秘密」には当たらないが、機微な情報に該当する「注意情報」だった。 防衛省は貸し出す時点で三菱電機に対し、保全を徹底するよう求め、誓約書も提出させていたという。
この情報は、装備品に関する研究や試作を入札する段階で複数企業に提供され、うち 1 社が三菱電機だった。 最終的に応札し、試作を行っているのは別の企業だという。 防衛省は「安全保障上の影響について調査中」としている。 三菱電機へのサイバー攻撃をめぐっては、昨年 6 月 28 日にシステムが不審な動きを検知したのをきっかけに、同社が社内調査に着手。 社内調査では、「BlackTech (ブラックテック)」や「Tick (ティック)」など複数の中国系ハッカー集団が攻撃に関与したと指摘していた。 (伊藤嘉孝、asahi = 2-10-20)
◇ ◇ ◇
防衛部門に中国系? からサイバー攻撃 NEC が発表
NEC は 31 日、防衛事業部門の社内サーバーの一部が、中国系サイバー攻撃集団とみられる第三者からの不正アクセスを受けたと発表した。 サーバーには約 2 万 7 千件のファイルが保存されていた。 「情報流出などの被害は確認されていない」としているが、流出が全くなかったとは言い切れない状況だという。 河野太郎防衛相は 31 日の閣議後会見で、NEC から流出したおそれがある資料について、報告を受けたとした上で「潜水艦ソナーに関する社内研究なども含まれていて、防衛省が指定した『秘密』を類推させるおそれを完全に排除できないものもある。 現在は類推されるおそれのある情報も防衛省が指定した秘密などと同様な扱いをすることになっている。」」と述べた。
梶山弘志経済産業相は閣議後会見で、「(NEC からは)現時点で防衛装備品の機密など機微な情報の流出がないことは確認済みとの報告を受けている」とし、「不正アクセスで企業情報が流出した可能性のある事例が続き、状況を重く受け止めている。 企業は(不正アクセスに関する)情報発信で改善すべき点がないかよく考えていただきたい。」と述べた。
NEC はウイルス検知システムを導入していたが、不正アクセスを防ぐことができなかったとして、「関係者の皆様には、多大なご迷惑とご心配をおかけし深くおわび申し上げます」と謝罪した。 発表によると、2016 年 12 月以降、関連会社のパソコンが第三者によるサイバー攻撃を受けた。 17 年 6 月には社内のパソコンから不正な通信が行われているのが確認されたため、ウイルスに感染したパソコンを隔離し、調査を開始。 18 年 7 月に外部サーバーとの暗号化通信を解読し、防衛事業部門の社内サーバーに保存された 2 万 7,445 件のファイルへの不正アクセスが確認された。
サーバーは防衛事業部門が他部門との情報共有のために利用し、防衛省に対する提案書や社内資料などが保存されていた。 同省が「秘密」や「保護すべき情報」に指定した情報は含まれていないという。 NEC は不正アクセスが確認された 18 年 7 月以降、防衛省に状況を説明した。 企業への不正アクセスを巡っては、三菱電機の社内ネットワークが大規模なサイバー攻撃を受け、採用応募者や従業員ら最大で 8,122 人分の個人情報や、官民の取引先の機密が流出した可能性があることが今月明らかになったばかり。 三菱電機では防衛関連、電力や鉄道といった重要な社会インフラ関連の情報が流出したおそれがある。 (asahi = 1-31-20)
◇ ◇ ◇
三菱電機、複数ハッカーが攻撃か ウイルスバスター欠陥悪用
三菱電機が受けた大規模なサイバー攻撃をめぐり、約 8 千人分の個人情報や取引先の機密の流出が疑われる問題で、関与が取りざたされていた中国系ハッカー集団「Tick (ティック)」に加え、別の中国系ハッカー集団の関与が社内調査で指摘されていることが複数の関係者への取材で分かった。
新たに判明したのは「BlackTech (ブラックテック)」と呼ばれる集団など。 複数のセキュリティー会社のリポートによると、ブラックテックは主に台湾や日本の製造業を標的にし、組織内の機密情報を盗み出すのが目的とされる。 比較的新しいハッカー集団で、情報が少なく実態は不明な点が多い。 朝日新聞の報道を受け、三菱電機は 20 日夕、不正アクセスによって採用応募者や従業員、グループ企業の退職者ら最大で 8,122 人分の個人情報と、官民の取引先の機密が流出した可能性があると発表した。 ブラックテックはこの不正アクセスに関与した可能性が高いとみられる。
複数の関係者によれば、三菱電機がブラックテックの攻撃を初めて観測したのは 2017 年後半。中国にある同社の関係会社を経由し、国内システムへ侵入した痕跡が見つかった。 その後しばらくは不正アクセスが確認されなかったが、昨年になって国内の本社や拠点にも広がったという。 昨年 6 月 28 日にシステムが不審な動きを検知したのをきっかけに、三菱電機は社内調査に着手。 社内のパソコンに導入されていたトレンドマイクロ社のウイルス対策ソフト「ウイルスバスター」の管理サーバーに潜んでいた、対策が施されていない欠陥が悪用されたことが判明した。 本社や拠点に対する不正アクセスの「踏み台」になっていたという。 (asahi = 1-22-20)
◇ ◇ ◇
三菱電機にサイバー攻撃 防衛などの情報流出か
大手総合電機メーカーの三菱電機が大規模なサイバー攻撃を受け、機密性の高い防衛関連、電力や鉄道といった重要な社会インフラ関連など官民の取引先に関する情報が広く流出した恐れがあることがわかった。 本社や主要拠点のパソコンやサーバーが多数の不正なアクセスを受けたことが社内調査で判明した。 同社は不正アクセスの手口などから、防衛関連の機密情報を主に狙う中国系のサイバー攻撃集団「Tick (ティック)」が関与した可能性があるとみている。
複数の関係者や社内調査によると、少なくとも国内外の 120 台超のパソコンや、40 台超のサーバーに不正に侵入された形跡が見つかった。 不正アクセスの被害は全社的な規模に及ぶ。 自社の情報に加え、防衛省、環境省、内閣府、原子力規制委員会、資源エネルギー庁など 10 を超える官公庁や政府機関、電力、通信、JR・私鉄、自動車の大手を中心に少なくとも数十社の国内外の民間企業に関する様々な情報が不正アクセスを受けた。 その一部が外部に流出した可能性がある。 取引先との共同開発や商談、製品の受注に関する情報や、社内の幹部が参加する会議の資料、研究所内で共有される情報などが含まれる。 防衛技術の性能や、重要な社会インフラに関する情報が流出した恐れもある。
昨年 6 月、国内の研究所のサーバーに不審なファイルが見つかり、これを機に全社的に社内調査を進めたところ、営業本部や電子システム事業本部など 14 ある本部・事業本部の大半や、本社の管理部門の一部で不正なアクセスが確認された。 不正アクセスは中国にある関係会社から始まり、日本国内の拠点に広がった。 乗っ取ったアカウントを使って社内ネットワークに侵入し、機密情報に触れる権限が広い中間管理職層のパソコンをターゲットに不正アクセスが続いた。 情報は送信用の端末に集約され、数回に分けて送信されたとみており、外部に流出した可能性が高い。
大規模サイバー攻撃の影響は?
防衛産業で国内大手の三菱重工業でも 2011 年、潜水艦やミサイル関連製品などの製造拠点がサイバー攻撃を受けたことが発覚している。 三菱電機は、サイバー攻撃の被害を防ぐシステムの提供など、サイバーセキュリティー事業を強化している。 今夏の東京五輪・パラリンピックを前に、サイバー攻撃対策の屋台骨を支える企業自らが大規模攻撃を受け、情報が流出したとすれば影響は大きい。
同社は情報流出の可能性がある取引先への説明を進めているとみられるが、不正アクセスを最初に覚知してから半年ほどにわたり、サイバー攻撃を受けたことを公表していない。 同社は「サイバー攻撃を受けることはあるが、個別の内容については、あったかどうかを含めてお答えできない。(広報)」としている。 (内藤尚志)
電力や交通機関もまひ? 深刻な事態
〈解説〉 三菱電機へのサイバー攻撃について、社内調査で名前が挙がったのは、以前から存在が知られる中国系ハッカー集団の一つだった。 こうした集団はいずれも高度な技術を駆使して機密情報を盗み出すことで知られている。 今回の被害は三菱電機にとどまらず、日本にとって二つの点で深刻な事態だ。
一つは、国の安全保障にかかわる防衛や、国がセキュリティー対策の最重要課題に掲げる重要インフラに関する情報が不正アクセスを受けたことだ。 先端技術が外部に流出した懸念に加え、盗んだ情報を悪用し、電力や交通機関がまひするような新たなサイバー攻撃につながる恐れがある。
もう一つは、国の基幹を支える企業で、長期間にわたり不正アクセスが全社的に広がっていた点だ。 昨年 6 月の発覚から半年以上がたっても三菱電機が公表していないのは、被害が広範囲に及んでいることも関係するとみられる。
三菱電機のセキュリティー対策がおろそかだったわけではない。 パソコンにウイルス対策ソフトを導入し、社内ネットワークで不審な通信を監視するなどの対策をとってきた。 だが対策ソフトはウイルスを検知せず、歯が立たなかった。 これは、同社を攻撃するためだけの特注ウイルスが使われた可能性が高いことを示唆している。 攻撃を防ぐのは困難を極める。
ハッカーは防衛や重要インフラを担う同社の性質を知った上で、狙ったとみるべきだ。 日本を支える多くの組織が日々、ハッカーに狙われており、今回の例は氷山の一角に過ぎない。 国は問題解決を被害企業だけに任せるのではなく、国を挙げて再発防止に取り組む姿勢が求められる。(編集委員・須藤龍也、asahi = 1-20-20)
ネットバンキング被害 4 倍に 「ワンタイムパス」破る
インターネットバンキングの口座から預金を不正送金する 2019 年の被害が前年比 4.4 倍の 20 億 3,200 万円(暫定値)に急増したことが 6 日、警察庁のまとめで分かった。 「ワンタイムパスワード」を破る手口が横行し、被害額は 4 年ぶりに増加した。 金融機関は不正送金を防ぐため、顔や指紋で本人確認する生体認証の普及を急いでいる。
ワンタイムパスワードはネットバンキング利用時に、ユーザーが元来設定している固定パスワードに加え、事前に登録した携帯電話などに毎回異なる使い捨てのパスワードが届く仕組み。 固定パスワードが漏洩した場合でも第三者の不正ログインを防ぐことができ、不正送金の被害防止に有効とされてきた。
19 年秋ごろから、ワンタイムパスワードが破られるケースが目立ち始めているという。 犯人側が SMS (ショートメッセージサービス)で、銀行の偽サイトに利用者を誘導して ID と固定パスワードを盗み取ったうえ、その情報を基に正規のネットバンキングにログイン。 銀行から利用者にワンタイムパスワードが送られるタイミングに合わせ、偽サイト上に新たな画面を表示し、ワンタイムパスワードも入力させる手口だ。
こうした情報を盗まれると、利用者は自身の口座から別の口座へ不正送金されてしまう。 捜査幹部は「ワンタイムパスワードを設定すれば安心という心理的な隙を突いた巧妙な手口だ」と話す。 不正送金被害は 19 年 9 月から急増し、10 月の被害は 397 件、被害額は 5 億 1,900 万円。 11 月はさらに増えて 578 件、7 億 8,700 万円となり、月間としての件数、被害額とも過去最悪だった。 19 年全体の被害件数は 1,813 件で、過去最多だった 14 年(1,876 件)に迫る水準だった。 (nikkei = 2-6-20)
Mac を襲うマルウェアが猛威 その特徴は「偽のアップデート」という単純な手法にあり
アップルの macOS を狙ったマルウェアの被害が急拡大している。 感染拡大の手法は実に単純で、不正なリンクをクリックさせて偽の「Adobe Flash」のアップデートを仕向けるという手法だ。 使い古された手のはずが、なぜ人々は簡単にだまされてしまうのか。 Mac はウイルスの影響を受けにくいというよくある "誤解" は、だいぶ解けつつある。 最近のアップル製品は、それなりの量のバグに悩まされているからだ。 こうした状況にもかかわらず、macOS に対する最大の脅威となっているマルウェア(10 台に1 台の Mac が感染しているという報告もある)が、比較的粗悪なものであるという事実は驚きに値する。
コンピューターセキュリティ大手のカスペルスキーが、2019 年に最も多くの macOS ユーザーが遭遇した「10 の脅威」の詳細をこのほど発表した。 その第 1 位となったのはトロイの木馬「Shlayer」である。 カスペルスキーが監視する Mac 全体の 1 割を攻撃し、検出された脅威全体の 3 分の 1 を占めているという。 Shlayer は 2018 年 2 月に最初に発見されて以来、圧倒的な猛威をふるっている。
それほどまん延しているなら、かなり高度なマルウェアなのだろうと考えるかもしれない。 それが違うのだ。 カスペルスキーは「技術的観点から見ると、Shlayer はかなり平凡なマルウェアである」と分析している。 実際のところ、不正なリンクをクリックさせて偽の「Adobe Flash」のアップデートを仕向けるという、かなり使い古された手を使う。 Shlayer のペイロード(悪意ある動作を実行するコード)も、ありふれたアドウェアという退屈なものだ。
その "優れた" 流通の仕組み
こうしたなか、Shlayerの "優れた" 点が明らかになった。 それはコードそのものというより、流通の仕組みにある。 Shlayer を使う攻撃者は、Web サイトの所有者や YouTuber、Wikipedia の編集者などに対して、訪問者が悪意あるダウンロードを受け入れるように仕向けることができたら、"取り分" を提供すると報告されている。 攻撃者に加担したウェブサイトのドメインは、偽の Flash のダウンロードを促すウインドウを表示したり、YouTube 動画の説明文や Wikipedia の脚注に短縮リンクや隠しリンクを表示したりすることで、これらをクリックさせてダウンロードを仕向けることもある。
カスペルスキーは、Shlayer を配布しているパートナーサイトを 1,000 以上も発見したという。 同社によると、そのうちの個人ひとりは Shlayer のダウンロードを仕向けるランディングページへの自動転送を設定したドメインを、700 も所有している。 「流通の仕組みをつくることは、あらゆるマルウェアの拡散において必要不可欠です。 その意味で、アフィリエイトネットワークが非常に効果的であることを Shlayer は示しています。」と、カスペルスキーの高度な脅威をリサーチする部門の責任者であるウラジーミル・クスコフは言う。
悪意ある Safari 機能拡張をインストール
Shlayer そのものはシンプルなマルウェアである。 これに対して、Shlayer を通してインストールされる多様なアドウェアは、少なくともそれなりに巧妙な仕掛けをいくつか組み込むことができる。 Shlayer 自体は流通のメカニズムにすぎないのだ。
カスペルスキーが見つけたアドウェア「Cimpli」の場合、Shlayer はまず別のプログラムになりすます。 この場合は「Any Search」というプログラムのふりをする。 そのバックグラウンドで Cimpli は、悪意ある Safari 機能拡張をインストールしようとする。 この際に偽の「インストール完了」通知ウインドウを生成し、インストールを警告する macOS のセキュリティ通知を隠す。 だまされたユーザーは、悪意ある機能拡張のインストールに許可を与えてしまうという仕組みだ。
この機能拡張がインストールされると、攻撃者はユーザーの検索クエリを傍受し、独自の広告とともに検索結果を表示できるようになる。 これはかなり迷惑だ。 しかし、1 億人以上が macOS を利用しており、カスペルスキーがモニタリングしている macOS の少なくとも 1 割が Shlayer の脅威に直面していることを考えると、毎年何百万人もの Mac ユーザーが問題に直面しているとみていい。
被害が止まらない「ふたつの理由」
実際にどれだけ多くの macOS が Shlayer に感染しているのかは、明らかではない。 雷雨では多くの家に雨が降り注ぐが、雨漏りする家はほんのひと握りだけなのだ。 しかし、Shlayer による攻撃の試行が成功した事例がほんの一部だったとしても、その攻撃を続けるだけの価値があるだけ成功を収めているのは明らかだろう。 「アップルは OS を新しくリリースするたびに、確実に安全性を向上させています」と、カスペルスキーのクスコフは言う。 「それでもほかのソフトウェアと同様に、リンクをクリックして Shlayer をダウンロードして実行するのは、ユーザー自身です。 OS レヴェルでこのような攻撃を防ぐのは困難なのです。」
Flash Player の脆弱性に関する数多くの警告と、その提供が今年になって完全に終了する事実を考えれば、ユーザーをだますために Flash を使うことは時代遅れのようにも思える。だが、実は効果的だ。 「こうした事実にもかかわらず、偽の Flash Player がこれほど成功している理由はふたつあると思います」と、2 年近く前に Shlayer を初めて発見した Intego のチーフセキュリティアナリストのジョシュア・ロングは言う。 「これまでの習慣、そして Flash の現状に対する認識不足です。」
習慣というのは、ユーザーが Flash の深刻な脆弱性に慣れっこになっていることから、問題を回避するために急いで更新する習慣が身についてしまっているということだ。 そしてふたつ目の現状の認識不足とは、「一般的な消費者は、いま Flash が使われているサイトがほとんどないことや、Flash のインストーラーが不要になったこと、そして Flash が今年廃止されることを知りません」と、ロングは語る。
重要なのは Flash をインストールしないこと
これは Mac ユーザーが特に影響を受けやすいという意味ではない。 「ユーザーをだまして Shlayer をインストールさせる手法は、Mac 以外のプラットフォームや OS のユーザーにもうまく機能します」と、カスペルスキーのクスコフは言う。 また、Shlayer やその他のマルウェアから身を守る方法も、同じように誰にでも当てはまる。 疑わしいリンクはクリックしない。 特に予期せずポップアップ表示されたウインドウはクリックしない。 そして 2020 年は Flash をインストールしない。特に海賊版コンテンツのストリーミングサイトからは、Flash をインストールしないようにしたい。 (Brian Barrett、Wired = 1-27-20)
北朝鮮が不正アクセスか MS 発表、日米韓が標的
米マイクロソフト (MS) は 30 日、北朝鮮と関係があるハッカー集団が不正アクセスで機密情報を盗んでいたと発表した。 米国や日本、韓国の政府職員や大学関係者、核拡散問題に取り組む個人が標的になったという。 MS は米裁判所に訴えを起こし、ハッカー集団が使っていた 50 のドメイン(インターネット上の住所)を管理する権限が認められた。
ハッカー集団は、MS などを装った偽メールを送って被害者のアカウント情報を盗み、電子メールや連絡先リスト、カレンダーに記入した予定を見ていた。 情報を盗むためにマルウエア(悪意のあるソフト)も使われていたという。 MS はこれまでに中国、ロシア、イランが関与したとみられる不正アクセスをめぐっても、今回と同様の訴えを起こしドメインを管理する権限を得たという。 (kyodo = 12-31-19)
衣料品通販サイトに不正アクセス - カード情報流出の可能性
衣料品など扱う通信販売サイト「FULLSPEC. WEB SITE」が不正アクセスを受け、クレジットカード情報が流出したたことがわかった。 同サイトを運営者によれば、システムの脆弱性を突く不正アクセスにより、クレジットカード決済を利用した顧客 62 人分の情報が流出した可能性があることが判明したもの。
2018 年 9 月 7 日から 2019 年 1 月 30 日にかけて同サイトを利用した顧客が対象で、クレジットカードの名義、番号、有効期限、セキュリティコードなどが含まれる。 1 月 30 日にクレジットカード会社から情報流出の可能性について指摘があり問題が発覚。 クレジットカードによる決済を停止し、外部調査会社による調査を進めていた。 調査は 6 月 30 日に完了。 11 月 1 日に警察へ届け、12 月 5 日に個人情報保護委員会への報告を行ったという。 顧客に対しては 12 月 19 日よりメールで報告と謝罪を行っている。 (Security NEXT = 12-23-19)
2 億 6,700 万人以上の Facebook ユーザーの電話番号や名前がオンラインで流出、詐欺に使用される危険性も
IT 関連のレビューや調査を行う Comparitech がセキュリティ研究者の Bob Diachenko 氏と協力して、2 億 6,700 万人以上の Facebook ユーザーの電話番号や名前が、誰でもアクセス可能なオンライン上のデータベースで公開されていることを発見しました。 記事作成時点ではすでにデータベースは削除されていますが、データはハッカーフォーラムにも流出しており、Comparitech はデータが SMS スパムやフィッシング詐欺に使われる危険性があると警鐘を鳴らしています。
Comparitech と Diachenko 氏はオンライン上のセキュリティで保護されていないデータベースを探し、データ流出などの問題を報告する活動を行っています。 2019 年 12 月 14 日、Diachenko 氏は大量の Facebook ユーザーデータが、Elasticsearch データベースとしてオンライン上で公開されていたことを発見しました。
今回発見されたデータベースには、合計で 2 億 6,714 万 436 件の Facebook ユーザーデータが保管されていたそうで、影響を受けたユーザーのほとんどはアメリカ在住の人物でした。 また、それぞれの記録には Facebook のアカウント ID、電話番号、フルネームが含まれていたとのこと。 Diachenko氏は今回のデータ流出は偶然によるものではなく、悪意のある人物が意図的に流出させた可能性が高いとみています。
Diachenko 氏によると、データベースが公開されてから最終的に削除されるまではおよそ 2 週間ほどであり、以下のようなタイムラインでデータ流出からデータベース削除までが進行したとのこと。 通常、オンライン上でデータベースが公開されて個人情報が流出しているのを発見した場合は、まずデータベースの所有者に通知する手順を踏むのが一般的です。 しかし Diachenko 氏は今回のデータ流出が明らかに悪意を持った犯罪組織によるものだと考えたため、直接 ISP へ連絡したと説明しています。
・ 2019年12月 4 日 : データベースが最初にインデックス化される。
・ 2019年12月12日 : データがダウンロード可能な状態でハッカーフォーラムに投稿される。
・ 2019年12月14日 : Diachenko 氏がデータベースを発見し、ISP (IP アドレス管理) へ悪用レポートを即座に送信。
・ 2019年12月19日 : データベースが削除される。
犯人が Facebook のアカウント ID および電話番号などを取得した方法は明らかではありませんが、2018 年に Facebook が開発者向け Facebook API から電話番号へのアクセスを制限する前に、サードパーティの開発者を装って Facebook API 経由で盗み出した可能性があります。 また、Diachenko 氏によると Facebook API から電話番号へのアクセスが制限された後も、犯罪者がより詳細な情報にアクセス可能なセキュリティホールが存在するかもしれないと指摘。
別の可能性として考えられるのは、Facebook上で公開されているプロフィールページから、ウェブスクレイピングを利用してデータが収集されたというもの。自動化された bot がウェブページからデータをコピーするスクレイピングは、Facebook を含むほとんどの SNS の利用規約に違反しているものの、実際にスクレイピングを防ぐのは難しいとのこと。 多くの人は Facebook のプロフィールを公開設定にしていますが、スクレイピングによる被害を抑えたい場合は、プロフィールの公開範囲を制限するなどの対策が必要です。
今回流出したデータベースに保存されていた電話番号や名前といった情報は、SMS を介したスパムやフィッシング詐欺などに使用される可能性があるとのことで、Facebook ユーザーは疑わしいテキストメッセージに注意を払う必要があると Comparitech は警鐘を鳴らしています。 送信者が名前を含む個人的な情報を知っていたとしても、流出した情報を基にさらに多くの個人情報を集めることが可能なため、安易に信頼するのは危険です。
なお、データベースにリンクされたウェルカムページとログインダッシュボードにベトナム語が含まれていたことから、今回の流出にかかわった犯人がベトナム人である可能性が高いと Diachenko 氏は指摘しています。 (Gigazine = 12-20-19)
象印のサイトに不正アクセス 最大 28 万人分の情報流出
象印マホービン(大阪市)は 5 日、自社サイトが不正アクセスを受け、最大 28 万人の個人情報が流出したと発表した。 顧客にクレジットカードの情報の入力を求める不審なメールが送られているといい、注意を呼びかけている。 第三者から不正アクセスを受けたのは、同社の部品・消耗品販売サイト「象印でショッピング」。 会員登録している顧客の名前、住所、注文内容、メールアドレスなどが流出していた。 象印は 4 日、同サイトのサービスを停止した。
4 日に複数の顧客から「象印のキャンペーンを装った不審なメールが届いている」と連絡があって発覚した。 すでにカード情報を入力してしまった人もいるという。 問い合わせは、同社の相談窓口 (0120・345・135) か、9 日から設置する専用ダイヤル (0120・120・450) へ。 (久保田侑暉、asahi = 12-5-19)
なりすましメールで自己増殖 「エモテット」感染広がり
「Emotet (エモテット)」と呼ばれるコンピューターウイルス感染の被害が世界で観測され、日本でも急速に広がっている。 電子メールを通じて感染する手口で猛威を振るい、歯止めのかからない状態だ。 どのような危険性があるのか。
複数のセキュリティー会社によると、世界的に感染の広がりが確認されたのは 9 月のことだ。 その後、米国や豪州の政府機関が注意を呼びかけた。 日本でも 10 月ごろに確認され始め、11 月に入って一気に被害の報告が増えたという。 エモテットの手口はこうだ。 まず、感染したパソコンに保存された連絡先のメールアドレスや、過去にやりとりした内容を盗み取る。 そして、これらの情報をもとに新たな相手になりすまし、メールを送り付ける。 そうした強力な「自己増殖機能」の存在がわかっているという。
被害は大学や民間企業など様々に及ぶ。 首都大学東京では 10 月 18 日午前、実在する出版社から教員のパソコンにエモテットに感染するメールが送り付けられた。 教員の論文が過去に掲載されたことがある雑誌の発行元だった。 この日午後、今度は教員になりすましたメールが大学内の別の人物に送り付けられ、感染が判明した。 調べたところ、教員のなりすましメールは組織の内外に少なくとも数十通送られていたという。
セキュリティー会社「ラック(東京)」の賀川亮さんによると、エモテットが盗み取った情報をもとにしてなりすましメールを送る手口は複数ある。 「なかには不審メールと見破るのが難しい手口もある。 感染拡大の猛威はしばらく続くのではないか。」と警戒を強めている。 ただ、エモテットを感染させる狙いについてはわかっていない。 感染するとパソコンは外部から遠隔操作される可能性や、別のウイルスへの感染を誘導される恐れがある。 賀川さんは「新たなサイバー攻撃に悪用できる環境づくりが狙いかもしれない」とみる。 (編集委員・須藤龍也、asahi = 11-27-19)
アップルペイで不正購入容疑、中国人逮捕 指示役存在か
米アップルの電子決済サービス「アップルペイ」を使い、他人のクレジットカード情報で不正に買い物したとして、警視庁は、東京都千代田区東神田 1 丁目、中国籍の会社員王●(= 王偏に月)聡容疑者 (29) を詐欺などの疑いで逮捕し、27 日発表した。 容疑を否認しているという。 このクレジット会社では 3 - 4 月、利用者を偽サイトに誘導し、情報を入力させてだまし取る「フィッシング詐欺」により、少なくとも約 60 人分のカード情報が流出したといい、警視庁は約 4,500 万円の被害を確認。 これまでに同様の不正な買い物の容疑で中国籍の男女 2 人も逮捕しており、指示役がいるとみてグループの解明を進めている。
サイバー犯罪対策課によると、王容疑者は 3 月 28 日深夜、東京都新宿区のコンビニで、茨城県の女性のカード情報を登録したアップルペイを使い、電子たばこ 100 個を 5 万円で購入したなどの疑いがある。 調べに「友達からカード情報を教えられ、頼まれただけ」と供述しているという。 (asahi = 11-27-19)
北朝鮮のハッカー集団が作成したマルウェアが原子力発電所のネットワークに侵入
世界中の金融機関や政府機関をターゲットにサイバー攻撃を行っている国際ハッカー集団のラザルスグループは、北朝鮮との関連が示唆されています。 そんなラザルスグループの作成したマルウェアが、インドのクダンクラム原子力発電所のネットワークに侵入したことが判明しました。
クダンクラム原子力発電所はインド南端のタミル・ナードゥ州にある原子力発電所で、2014 年 12 月から商業運転が開始されています。 インドの政府機関でかつてアナリストを務めていたセキュリティ専門家の Pukhraj Singh 氏は、2019 年 9 月 7 日にインドがサイバー攻撃を受けたことを Twitter で示唆しました。 さらに 2019 年 10 月 28 日に Singh 氏が「クダンクラム原子力発電所で、ドメイン制御レベルのアクセスがあった」と述べ、多くの Twitter ユーザーやインドの野党政治家らが、政府に説明を求めたとのこと。
この動きに対してクダンクラム原子力発電所の当局者は 2019 年 10 月 29 日、「原子力発電所の制御システムはスタンドアローンであり、外部のネットワークやインターネットに接続されていないため、サイバー攻撃を受けていない」と発表しました。 ところが、制御システムへの侵入を否定する一方で、それ以外の箇所に対するサイバー攻撃の有無には言及しませんでした。
そして制御システムへの侵入が否定された翌日の 10 月 30 日、インド原子力発電公社 (NPCIL) は「クダンクラム原子力発電所の管理ネットワーク上で、ラザルスグループによって作成されたマルウェアの侵入を発見した」と認めました。 この問題は「インドのコンピューター緊急対応チームによって 2019 年 9 月 4 日に報告されていた。」と、NPCIL の副所長である AK Nema 氏は述べています。 Nema 氏によると、問題についての専門家の調査は速やかに実施されたそうです。 感染したコンピューターは管理目的で使用されるものであり、重要な内部ネットワークからは隔離されているとのことで、問題のネットワークは継続的に監視が続けられている模様。
今回発見されたマルウェアは「DTrack」と名付けられているスパイツールであり、セキュリティ企業である Kaspersky のグローバル調査分析チームが、インドの金融機関や研究機関などで発見したマルウェアです。 DTrack はラザルスグループが使用する他のマルウェアとコードの共有が見られることから、ラザルスグループによって作成されたとみられています。
DTrack はスパイおよび監視ツールとして機能し、感染したシステムに関するデータの収集やキーストロークの記録、接続したネットワークのスキャン、感染したコンピューター上のアクティブなプロセスの監視などが可能だそうです。 なお、マルウェアの別バージョンである「ATMDtrack」は、インドの ATM に侵入して顧客のカードデータを窃取するために用いられていたとのこと。
記事作成時点で DTrack が直接クダンクラム原子力発電所の制御システムに攻撃をしたことは確認されていませんが、今回の攻撃は次のよりクリティカルな攻撃を見据えたものだったとの見方もあります。 2019 年 5 月に赤十字国際委員会が発表したサイバー攻撃に関するレポートでも、「信頼できるシステムへの先制攻撃はその後の攻撃を容易にする」と述べられており、比較的侵入しやすいネットワークに潜みつつ、ソフトウェアアップデートなどの機会に乗じて隔離された制御システムへの侵入を試みていた可能性も指摘されています。 (Gigazine = 10-31-19)
サイト改ざん、入力内容確認ページなどから不正サイトに誘導 - 着物レンタル会社
着物のリメイクやレンタルサービスを提供するオリフリにおいて、ウェブサイトの一部ページが改ざんされ、一時クレジットカード番号を詐取するフィッシングサイトへ誘導される状態だったことがわかった。 同サイトを運営するハリスによれば、9 月 7 日 19 時ごろから 17 日 12 時ごろにかけてパソコン向けのウェブサイトが改ざんされたもの。
支払い方法や届け時間の指定に関するページや、注文完了前に表示される入力内容の確認ページを閲覧すると、フィッシングサイトに誘導される状態だった。 誘導先のページでは、クレジットカード番号の入力が求められるという。 同社では、同月 18 8日にプログラムを改修。 日本国外の IP アドレスによるアクセスを制限した。 同社に被害報告は寄せられていないが、誘導先のフィッシングサイトへ誤ってクレジットカード番号を入力してしまった心当たりがある場合は、クレジットカード会社に連絡するよう呼びかけている。 (SecurityNEXT = 9-27-19)
ローソンが公式サイトとアプリを一時停止 サイバー攻撃受け
公式サイトと公式アプリを管理しているサーバに攻撃があり、アクセスを遮断したとしています。
ローソンの公式サイトと公式アプリが閲覧できない状態となっています。 同社は、サイバー攻撃を受けたためアクセスを遮断していると説明しています。 同社によると 9 月 24 日 20 時ごろに、公式サイトと公式アプリを管理しているサーバに不正な攻撃が行われていることが判明。 すぐにアクセスを遮断したため、サイトとアプリの閲覧ができなくなっているとしています。 現在公式サイトには閲覧ができなくなっていることを伝えるメッセージが掲載されています。 現在は攻撃元の解明と防御策の対応を行っていると同社。 再開のめどを問い合わせたところ、現時点(25 日 10 時 20 分)では不明との回答でした。 (ねとらぼ = 9-25-19)
「電力網に対するサイバー攻撃」がアメリカでも発生
北米電力信頼度協議会 (NERC) が、2019 年春に記録された電力網を用いたサイバー攻撃について「アメリカで起きた電力網に対する初のサイバー攻撃」であると報告しています。 2019 年 3 月 5 日にアメリカの電力網を用いて何者かが実行したサイバー攻撃は、電力管理センターに対して「低レベルの影響」を及ぼしたとのこと。 NERC は「アメリカ西部の電力管理センターおよびいくつかの小規模な発電所内で、停電が起きた」と説明しています。 サイバー攻撃により現場レベルで混乱は生じたものの、電力網自体に影響はなく、停電が起きることはなかったそうです。 しかし、このサイバー攻撃はアメリカの電力網に対して実行された最初の破壊的なサイバー攻撃であるとして大きな注目を集めました。
エネルギー関連のニュースを取り扱う E & E News は、「今回の電力網へのサイバー攻撃は、アメリカの電力会社が電力供給にとって重要な制御ネットワークのデジタル化を拡大することで、サイバー攻撃にさらされる危険性が高まっていることを示しています」と指摘。 実際に、NERC は報告書の中で、「インターネットに接続するデバイスはできるだけ少なくします」と、今後の対策について記しています。
電力網へのサイバー攻撃が行われる 2 カ月前、アメリカ合衆国国家情報長官のダン・コーツ氏は、2015 年と 2016 年にウクライナの電力会社に対して仕掛けられたサイバー攻撃のように、ロシアのハッカーは「少なくとも数時間」アメリカの電力を遮断することで 25 万人に影響を及ぼすことができると警告したばかりでした。 その後、アメリカでは電力網へのサイバー攻撃に備え、電力インフラの制御を手動に切り替える法案が可決されています。
ウクライナの電力網に対するサイバー攻撃では、「CrashOverRide」と呼ばれるマルウェアが使用されましたが、アメリカで検知されたサイバー攻撃は、より単純ではるかに危険性が低いものだそうです。 アメリカの電力網に対して実行されたサイバー攻撃は、非公開ユーティリティで使用されているファイアウォールのポータルサイトに対する攻撃の結果生じた副産物ではないかと推測されています。 このポータルサイトはカリフォルニア州・ユタ州・ワイオミング州の電力網の一部とつながっているそうですが、ハッカーはそうとは知らずにポータルサイトに攻撃を仕掛けた可能性があるというわけ。
攻撃では「ポータルサイトに認証されていない攻撃者」が、ファイアウォールを繰り返し再起動し、事実上の機能不全に陥れたとのこと。このファイアウォールは発電所と公益事業である電力管理センターの間を流れるデータを監視する役割を担っていたため、再起動する度に電力管理センターと発電所の接続が切断されてしまった模様。 企業向けのサイバーセキュリティ関連商品を取り扱っている Dragos の上級脆弱性アナリストであるリード・ワイトマン氏は、「これまでのところアメリカの電力網が攻撃の標的とされたという証拠は存在しません。 今回検知されたサイバー攻撃は恐らく、脆弱な端末や未熟なスクリプトを探し、インターネットをスキャンするボットの仕業です」と語っています。
自動ボットの仕業であり、被害も小規模であったとしても、今回のサイバー攻撃がアメリカ政府の注目を集めたことには変わりありません。 実際、複数の発電所と電力管理センターで 5 分程度の停電が発生しており、電力オペレーターたちは暗闇の中での復旧作業を強いられています。 これは全国規模の停電を引き起こすのに十分な時間ではないものの、通常運用に支障をきたしたことに間違いはありません。
bなお、NERC・アメリカ合衆国エネルギー省・ アメリカ連邦エネルギー規制委員会・西部電力調整委員会は、2019 年 3 月 5 日に発生したサイバー攻撃に関係する公共事業やその他の詳細について明らかにすることを拒否しており、その理由は電力網の信頼性を危険にさらす可能性があるためだそうです。 アメリカ政府の規則では、電力会社は主要な電力管理センターで 30 分以上継続して送電が停止しない限り、停電を報告する必要はありません。 そのため、今回のサイバー攻撃は政府の定めるところの「停電」には当てはまりませんでした。
最大の問題は、「ハッカーがファイアウォールのインターフェイス上の既知の欠陥をうまく利用できるという事実である」とワイトマン氏は語っており、関連する特定のバグを用いたエクスプロイトまで公開されていたと指摘しています。 (David Reed、Gigazine = 9-9-19)
|