2018年第3四半期の最新脅威動向を公表/トレンドマイクロ「人」をだますサイバー犯罪の脅威が増加
減らない法人でのランサムウエア被害事例

トレンドマイクロは、サイバー犯罪に関わる脅威情報を年間だけでなく四半期ごとにまとめています。先日、2018年7月~9月の最新動向として「2018年第3四半期セキュリティラウンドアップ」を公表。ウェビナー(オンライン上で行われるセミナー)も開催されました。特徴的な脅威動向も確認されており、その内容をレポートします。

法人向け詐欺と個人への脅迫が日本語化

まず、2018年上半期の脅威トレンドを概括すると、「ランサムウェアの大流行が落ち着く中で、仮想通貨を狙ったサイバー犯罪が活発化。さらに、クラウド時代の認証情報を狙ったフィッシング詐欺やIoT化を背景にルーターを対象とした深刻な攻撃が複数発生した」(トレンドマイクロのセキュリティエバンジェリスト・岡本勝之氏)とのこと。こうした状況下、2018年第3四半期の最新脅威動向としては、以下の点が挙げられています。


・「人」をだますサイバー犯罪
・ランサムウェアの攻撃
・ホームネットワークへの脅威

「ランサムウェアの攻撃」と「ホームネットワーク」への脅威はこれまでと同様といえますが、新たなものとして『「人」をだますサイバー犯罪』が指摘されました。法人にも関わる動向として、この「人」をだますサイバー犯罪とランサムウェアの攻撃について注目してみましょう。

「人」をだますサイバー犯罪の目的は、金銭の窃取です。主な手法はフィッシング詐欺ですが、その攻撃規模は国内では過去最大となっているとのこと。ビジネスでは、法人をだます手口として「ビジネスメール詐欺(BEC)」について、特に注意喚起しています。

以前、シャニムWEBでも取り上げました(「BECの国内浸透に注意喚起!」)が、BECはサイバー犯罪者が取引先や社内CEOになりすまし、主に経理部門や総務、財務の担当者を狙った詐欺手口により金銭をだまし取る手口のこと。代表的なものとしては、マルウエアやハッキングなどによりメールアカウントを盗み出して金銭に関するやり取りを監視し、絶妙なタイミングで「振込先が変更になった」といったなりすましメールで相手をだまして偽口座に金銭を振り込ませる手法が挙げられます。

これまでは主に海外との取引がある企業に対して英語ビジネスメールによる詐欺が主流でした。しかし、「2018年7月に標的企業のCEOをかたる日本語のビジネスメールを初確認した」(岡本氏)とのこと。さらに、8月にはブラジル(ポルトガル語)、9月にはギリシャ(ギリシャ語)で現地言語によるビジネスメール詐欺が確認されたといい、トレンドマイクロでは「世界的なサイバー犯罪グループの攻撃キャンペーンと推測」しています。

●初確認された日本語ビジネスメール詐欺のサンプルメール(トレンドマイクロの資料より引用)

ビジネスメール詐欺が日本語化されたとはいえ、日本語としてはまだまだこなれていない部分が多く、少し注意すればおかしいと気づくレベルのようです。しかし、今回の日本語ビジネスメール詐欺の確認について、岡本氏は「転換期を示す事例」と指摘。というのも、ビジネスメール詐欺は高度な標的型攻撃ともいえる手口で、サイバー犯罪者がターゲット企業の内情を徹底的に調べ上げて攻撃してくるからです。

今は日本語が不自然であっても自然な表現へ進化するようなことになれば、「受け取ったメールが詐欺であることをなかなか見抜けない」(岡本氏)といいます。セキュリティソフトなどの導入によりメールなどの盗み見を防ぐと共に、金銭のやり取りに関して社内における確認体制などを構築しておくことが欠かせないといえるでしょう。

加えて、ビジネスメール詐欺の今後の動向として、「CEOになりすましたシナリオが増加する可能性」を挙げています。下記資料のように、国内では「取引先のなりすまし」が多数を占めている状況ですが、取引先のなりすましでは数社の企業内情報を把握する必要があり攻撃に手間がかかります。これに対して、CEOのなりすましはターゲット企業のみの社内情報だけで済むため攻撃のハードルが低く、国内でも今後の増加が予想されているわけです。

●国内におけるビジネス詐欺メールのシナリオ別割合(トレンドマイクロの資料より引用)

一方、個人向けでも海外の手口が日本語化された攻撃が確認されました。日本語の性的脅迫(セクストーション)メールです。セクストーションメールとは、受信者がアダルトサイトへアクセスしている動画や受信者のヌード写真(いずれも虚偽)などをネタに仮想通貨などをだまし取る詐欺メールのこと。英語など複数言語で確認されていました。

2018年9月、日本語化されたセクストーションメールが確認されたとのこと。しかも12日間で約3万6000件のスパムが確認されています。やはり日本語は不自然ですし、日本人はこの手の脅迫に比較的だまされにくい傾向はありますが、注意しておくことに越したことはないでしょう。

この他、パスワード提示による巧妙な脅迫や偽装SMSによる不正サイトへの誘導といった受信者を信じ込ませる新たな手口が登場していると指摘しています。パスワード提示は現在使用しているパスワードや過去に使っていたパスワードを脅迫メール本文内に提示して脅迫内容を信じ込ませる手口。岡本氏は「我われが思っている以上に個人情報や認証情報が流出して出回っている」と警鐘を鳴らしており、パスワード管理の徹底などが欠かせません。

最近は、モバイル上のキャリア決済などでSMSを使う機会が増えているだけに、偽装SMSによる不正サイトへの誘導にも注意が必要でしょう。

減らない法人でのランサムウエア被害事例

これまで猛威を振るってきたランサムウェアについては、攻撃総数そのものは急減しています。四半期別の比較を見ても、この第3四半期は前年同期比で94.5%もの減少となっています。今後も、この傾向は変わらないと見られています。

●全世界におけるランサムウェアの攻撃総数の四半期別比較(トレンドマイクロの資料より引用)

とはいえ、ランサムウェアの被害がなくなったわけではありません。「サイバー犯罪者にとってランサムウェアが主要ツールであることに変わりはなく、新たに登場するファミリー数は月平均18種類以上」(岡本氏)とのこと。攻撃の手口として定着しており、常に脅威にさらされているといえそうです。

しかも、「法人を意識した検知を回避する機能を持つファミリーも継続して登場している」と指摘。例えば、外部から受け取った怪しいプログラムを安全に保護された領域で動作させることで不正操作などを防ぐサンドボックスに対して、同機能の検知回避機能を持つランサムウェアはサンドボックス内では活動を停止したスリープ状態となって検知をすり抜けることが可能となっています。

また、働き方改革などを背景にリモートデスクトップ環境のビジネス導入が増えていますが、ランサムウェアの新ファミリーにはリモートデスクトッププロトコルを狙った侵入手口が報告されています。

こうした背景から、ランサムウェアの攻撃総数は減っているものの、法人の被害事例は高止まりしています。下記の図は英語圏を中心とした法人の被害事例件数を示したものですが、被害が収束していないことが見て取れます。国内ではランサムウェアに関する報道は聞かれなくなりましたが、脅威がなくなったわけではありません。引き続き、注意しておくことが大事ではないでしょうか。(長谷川丈一)

●英語圏を中心とした主なランサムウェア被害事例件数の四半期別比較。2017年4~6月期は「WannaCry」の影響によるもの(トレンドマイクロの資料より引用)