2017年国内サイバー犯罪動向/トレンドマイクロ深刻な影響与えた「3つの欠陥」
法人脅威はWannaCryやBECなど

大手セキュリティベンダーのトレンドマイクロが、国内を中心に観測されたサイバー攻撃や同社の統計データをベースに分析した「2017年国内サイバー犯罪動向」を公表しました。

サイバー犯罪を読み解く3つの欠陥

都内で開催されたセミナーでは、同社セキュリティエバンジェリストの岡本勝之氏が登壇。「全体の傾向としてセキュリティ上の欠陥が企業に深刻な影響をもたらした」といい、具体的なポイントとして「システム」「人」「プロセス」の3つを挙げました。

「システムの脆弱性に加えて、リスクの認識不足などの人的ミスや、業務・システム運用のスキといったプロセスの脆弱性が要因となり、多くの企業で被害が確認された」(岡本氏)と指摘。2017年に法人向けで目立ったサイバー犯罪動向を、この3つのセキュリティ上の欠陥から読み解きました。

●トレンドマイクロが指摘する3つの脆弱性

2017年の主要トピック

2017年の国内サイバー犯罪動向で、法人向け脅威として挙げられたトピックは、ランサムウエア「WannaCry(ワナクライ)」「公開サーバーからの情報漏えい」「ビジネスメール詐欺(BEC)」の3つでした。

国内検出台数1万6100台

最も大きな話題となったものといえば、2017年5月に猛威を振るったランサムウエアの「WannaCry(ワナクライ)」でしょう。新聞などでも報道されたことで認知度は高まりましたが、以降も攻撃は継続されており、国内では2017年11月末までに1万6100台でWannaCryが検出されています。

●ランサムウエア「WannaCry(ワナクライ)」の検出台数

WannaCryの感染拡大に利用された脆弱性は、SMB(Windowsでファイルやプリンターを共有するためのプロトコル)でした。同プロトコルにはバージョンがあり、問題となっているのは「SMB1.0(SMBv1)」です。

その開発元であるマイクロソフトは2016年9月に使用停止を推奨していると共に、2017年3月には脆弱性を解消する修正プログラムも公開しています。それにも関わらず、2017年5月に大流行し、以降も攻撃にさらされているPCが多いという事実は、「リスク認識や更新プログラムの適用などの対策が迅速に行われていない」(岡本氏)ことを意味しています。

しかも、トレンドマイクロの調査によれば、WannaCry の標的となる可能性が高いSMBv1(使用ポート445)がネットワーク上に露出した端末やサーバーは、WannaCryが登場した2017年5月の2万9289台(国内)から、同年12月には5万1649台(同前)と増えており、危険性に十分な注意が向けられていない状況です。

●WannaCryをめぐる出来事
●3つの観点から分析したWannaCry対策の課題

国内法人から350万件以上の情報漏えい

2017年1月~11月に公表された国内法人組織の公開サーバーからの情報漏えいは52事例となり、のべ350万件以上の情報が流出したとのこと。これは、前年(2016年1月~12月)の37事例と比べ、約1.4倍に増加しました。

同社の分析では、Webアプリケーションなどのシステムの脆弱性に起因する事例が、公表事例の約56%を占めるとのこと。不明・未公表が約42%あることから、実際には脆弱性を原因とする情報漏えい事例はもっと多いだろうとしています。

一部の事例では、漏えい被害の前に脆弱性に気づいていながら、組織内で責任の所在や対応者が明確でなかったり、システム改修の予算確保に時間を要したりといったプロセス的要因で迅速に修正プログラム(パッチ)を適用できずに被害にあった事例も報告されているとのこと。的確なパッチマネジメントを行う上でプロセスの重要性を指摘しました。

●2017年、公開サーバーからの情報漏えいの原因

国内にも浸透しはじめたBEC

以前、トレンドレポートでも取り上げた「ビジネスメール詐欺(BEC)」が世界的に拡大しています。2017年には、国内でも複数の被害事例が報告されました。昨年12月に大手航空会社がBECにより、約3億8000万円をだましとられた事件は記憶に新しいのではないでしょうか。

BECは、フィッシングメールやマルウエアにより業務メールを盗み見することで情報を得て、なりすましメールで偽の送金指示を送り金銭を搾取する犯罪です。特に、BECの1つである「CEO詐欺(経営者になりすまして社員などへの偽の送金指示による金銭搾取)」が増加傾向にあるとのこと。全世界では昨年(2017年1月~11月)8600件以上が確認されています。

●トレンドマイクロ調査によるCEO詐欺メール確認数(2017年1月~11月)

同社によると、国内法人へのCEO詐欺メールは11件とのこと。しかし、「今後は国内法人が本格的に狙われる可能性もあり注意が必要」と警鐘を鳴らしています。

悪意の第三者にメールが盗み見されないようにシステム的な脆弱性を手当するのはもちろんですが、「BECは組織内の経理や業務の担当者といった一般従業員が狙われることが多い」(岡本氏)ことから、従業員への教育や注意喚起が重要となりそうです。

●国内で公表・報道されたBECの被害例(2016年~2017年)

ここ数年、サイバー犯罪は金銭搾取を目的に人の心理を突いた手口が増加しています。システム対策だけでなく、従業員へのセキュリティ教育、組織体制や業務プロセスの見直しなど、システム/人/プロセスの三位一体となった対応が、これまで以上に求められるのではないでしょうか。(長谷川丈一)