振り込め詐欺といえば、被害に遭うのは高齢者が多い……そんなイメージがあるだろう。ところが、その考えは甘い。最近では、企業をターゲットにする犯罪者が現れているのだ。
取引先企業などになりすまして電子メールを送り、偽の銀行口座に多額の現金を振り込ませる「ビジネスメール詐欺」が増えている(IPA 独立行政法人 情報処理推進機構のニュースリリース)。
巧妙に細工したメールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる……という手口で、企業版「振り込め詐欺」ともいえる犯罪。世界的に被害が拡大しており、2月には国内でも逮捕者が出たとの報道があった。
企業を相手取ることから、金銭被害が多額になる傾向があるのはもちろん、手口の悪質さ・巧妙さにも注意したい。メールの盗み見による周到な準備や、メールアドレスを1文字だけ追加して誤認させるなどの手法が明らかになっている。
また、「請求者側と支払者側の両方になりすまし、取引に関わる2つの企業を同時に騙す」「メールの同報先(Ccなど)も偽物に差し替え、他の関係者にはメールが届かないよう細工する」「メールの引用部分にある、過去のメールのやりとりの部分について、都合の悪い部分を改変する」など、様々な手口を駆使しているのだ。
さらには、企業担当者から「口座名義に問題があり送金できない」旨を伝えると、1時間後に別の口座を連絡してきたり、送金がエラーになった際には30分で訂正のメールが送られてきたりと、攻撃者はかなり用意周到であることがうかがえる。
ビジネスメール詐欺の厄介なところは、技術的な対策による防止が難しい点だ。そのため、一人ひとりがこの犯罪における手口を理解し、「なにかがおかしい」と相手の目的を見抜くことが重要になる。
今回はMcAfee Blogから「サイバー犯罪者の次の標的:短期の標的」を紹介しよう。最近のサイバー犯罪者が何を狙っているのか知っておくことは、セキュリティー意識を高めることに繋がるはずだ。
サイバー犯罪者の次の標的:短期の標的
現在のサイバー犯罪者の標的を知るのは簡単です。サイバー犯罪者の攻撃は派手でインパクトがあり、暴れ牛の群れのように荒々しく乱暴だからです。難しいのは、未来の標的を特定することです。サイバー脅威がどこで発生するか分かれば、攻撃の一歩先を行くのに必要な準備ができます。
短期の標的
現在標的になっているのは大きな利益が見込めるEコマースです。つまり、オンラインショッピング、電子メールのランサムウェア、認証情報のフィッシング、年末商戦を隠れ蓑にしたマルウェアなどが利用されます。この時期、クリスマスプレゼントを探す攻撃者に対し、口外できない違法なアイテムを販売するダークマーケット業界では一番の稼ぎ時です。
マルウェアに感染した年末セールの電子メールやウェブサイトは、いまやどこにでも見当たります。いんちきな送り状や小売店からの緊急のメッセージが送られてきたら、偽物と思って間違いありません。怪しげなEコマースサイトや法外な取引を餌にした広告は、クレジットカードのアカウントや電子メールを収集したり、「役に立つ」という理由でソフトウェアをインストールさせることを目的としています。今の時期、フィッシングも増えます。ランサムウェアの新しい波は家族の写真や個人的なファイル、システム全体の使用を制限する脅迫攻撃です。個人情報の窃盗では、不正な買い物に利用するために新規クレジットカード申請での悪用が増えます。今後2か月ほどは、金銭を目的としたこれらの脅威がすべて増加するので、みなさんは警戒する必要があります。
企業が注意すべき攻撃
企業は常時存在するデータ侵害のリスクに加え、Eコマースでの詐欺の増加、ランサムウェア(重要なファイルのロック解除と引き換えに金銭を要求)に注意する必要があります。最も標的になりやすいのは医療、小売、金融ですが、リスクはすべての企業に存在します。ソーシャルメディアはマルウェアをダウンロードさせたり、マルウェアを含むサイトを訪問させるなど、より多くの被害を及ぼすための踏み台として悪用されます。Webトラフィックに大きく依存している大企業の中には、分散型サービス拒否攻撃(DDoS)の被害に遭う企業も出てくるでしょう。「金銭の支払いに応じなければ顧客に商品やサービスを提供できない」ことは、企業にとって大きな脅威です。現金の次はクレジットカードです。ATMに対する攻撃は今後ますます増えるでしょう。マシン密度と現在巧妙さを増している窃盗団との距離的な近さから、ヨーロッパがその温床になります。米国ではクレジットカードやデビットカードによる詐欺、店頭での詐欺などの被害が続きますが、窃盗団もICカードの普及に適応せざるをえなくなり、オンラインサイトへの移行がさらに進みます。
IoTデバイスへの攻撃
部隊を編成してDDoS攻撃を企むボットハーダー(ボットネットの運用者)にとって、IoT(Internet of Things)に接続されたホームデバイスをハッキングするのは簡単です。しかし、攻撃するだけでは利益はほとんどありません。そのため、ハッカーによっては「保護」の脅迫攻撃を仕掛けるでしょう。また、単純なデバイスを使用してソーシャルメディアアカウントを大量に作成し、「フォローする」や「いいね」をして料金を受け取るハッカーも出てきます。その証拠に、ソーシャルメディアではすでに自尊心を満たす「フォロワー」や「いいね」が売買されて利益を生んでいます。
少し先になりますが、IoTデバイスに対するランダム攻撃は減少します。その根拠となる変化は2つあります。1つは、IoTデバイスのメーカーも消費者も、現在の基本的な弱点であるデフォルトパスワードの使用を避けるようになることです。もう1つの変化は、プロのハッカー、つまり犯罪組織や犯罪国家が、より専門的なハッキング技術で市場を席巻するようになることです。このようなハッカーは協調性がありません。IoTデバイスを侵害したら、すぐにこの脆弱性を隠して、他のハッカーが利用できないようにするでしょう。そうすれば、被害者を独占できます。
これらのリソースから利益を得るために、ランサムウェア、DDoS攻撃、データ漏洩、詐欺を容易にするための大量のアカウント作成、さらにはトラフィックを難読化するための特別なルーティングのネットワーク作成などと組み合わせた創造的な攻撃も出現します。その結果、より多くのデバイスがより組織的な方法で悪用されることになり、IoT業界全体のセキュリティが大幅に強化されるまでこれらの攻撃は続けられます。
次回の記事では、サイバー犯罪者の長期的な標的を取り上げます。大きな報酬を得る機会は数多くあります。攻撃者は欲が深いので、大胆な動きがあるでしょう。
もっと詳しく知るには? サイバーセキュリティに関する詳細と最新情報については、私のTwitter(@Matt_Rosenquist)およびLinkedInをフォローしてください。
※本ページの内容は 2016年12月25日更新のMcAfee Blogの抄訳です。 原文: Next Targets for Cybercriminals: the Short Term (Part 1) 著者: Matthew Rosenquist
【関連記事
ランサムウェア関連情報 まとめ
第5回:今だから学ぶ! セキュリティの頻出用語 : マルウェアとは?
第16回:今だから学ぶ! セキュリティの頻出用語 : フィッシング とは?
第36回:今だから学ぶ! セキュリティの頻出用語 :DDoS攻撃とは?