RSA による 2011 年のサイバー犯罪の 傾向に関するレポート

RSA による 2011 年のサイバー犯罪の
傾向に関するレポート
サイバー犯罪の現状と 2011 年の動向
サイバー犯罪者が減少する気配はまったく見られません。事実、2010 年にはいくつ
かの新しい脅威が発見され、世界中でますます高度化する攻撃が見受けられます。
2011 年になり、サイバー犯罪は金融サービス業界の枠に留まらず、マルウェアのター
ゲットは消費者のデスクトップから企業の従業員へとシフトしつつあります。
RSA AFCC(オンライン不正対策指令センター)はサイバー犯罪の主な傾向のリスト
を作成し、2011 年中にこの傾向が変化していくと予測しています。RSA オンライン
不正対策指令センターは 181 か国での 35 万件を超えるオンライン攻撃の阻止、業界
初のフィッシング対策サービスおよびトロイの木馬対策サービスの開始などを実現し
ており、新しい脅威の検出やサイバー犯罪インテリジェンスにおける第一人者です。
このホワイト・ペーパーでは、過去 1 年間に当社が検知した内容に基づいて RSA が
サイバー犯罪の現在の状況を確認し、2011 年のサイバー犯罪者の行動を予測します。
サイバー犯罪の傾向 1。モバイル・マルウェアと携帯電話を
利用した詐欺。
「持ち運べる」汎用コンピュータとしてモバイル・デバイスが爆発的に増加し、サイバー
犯罪者による搾取の対象となりました。さらに、追加のセキュリティ・レイヤーとし
て SMS および電話機を介した OOB 認証 1 が使用されることによって、モバイル・チャ
ネルにおける脆弱性が増します。
モバイル・アプリケーションのダウンロードはアラーム発生レベルで増加しています。
2011 年のアプリケーションのダウンロード数は、250 億回にのぼると予想されてい
ます。2 アプリケーション開発者が可能な限り低コストかつ容易にモバイル・ユーザー
の要求を満たすための障害を取り除くことを業界が期待しているため、これらのアプ
リケーションやデバイスをターゲットとしたマルウェアの急増は必然的です。
現在、消費者によるモバイル・デバイスの利用が従来よりも増えています。消費者は、
アプリケーションのダウンロードだけではなく、電話機でのモバイル・バンキングお
よび支払い、メールのチェック、オンライン・アカウントへのアクセス、および個人
情報の保存なども行っています。
1
ホワイト・ペーパー
2
OOB: Out Of Band 認証 インターネットを介した取引において、インターネット以外のチャネルを利用して認
証することで、中間者攻撃などを防ぐ高度な認証方式
International Data Corporation(IDC)による 2010 年 12 月の「Predictions 2011: Welcome to the New Mainstream」
ただし、モバイル・マルウェアのリスクを考慮すべきなのは消費者と銀行だけではありま
せん。IT のコンシューマライゼーションは、消費者向けテクノロジーのエンタープライズ
への橋渡しをしました。組織が従業員にモバイル・デバイスを支給したり、従業員が個
人のデバイスを使用したりして、仕事に関連する作業を行う際に、マルウェアに対して潜
在的に企業ネットワークに侵入するための経路を示してしまうことになります。
モバイル・マルウェアの脅威だけではなく、サイバー犯罪者は概してモバイル・デバ
イスのその他の侵害にも関与しています。たとえば、多くの銀行がセキュリティを強
化するための手段として電話機または SMS によるアウト・オブ・バンド認証を使用
して、高リスクのトランザクションを検証しています。アウト・オブ・バンド方式は
2010 年に「Man-in-the-Browser」と呼ばれるトロイの木馬の脅威が急速に高まった
ために、広く使用されるようになりました。
このようなセキュリティの追加レイヤーを迂回するために、サイバー犯罪者はこれに対処
するためのツールをすでに開発しています。たとえば、サイバー犯罪者はテレフォニー・
サービス拒否攻撃(
「電話の洪水」
)などの不正をアンダーグラウンドで行う他の犯罪者
から、サービスを 25 ドル 3 で利用できます。この攻撃を受けると消費者のモバイル・デ
バイスで、銀行からの取引を確認するための電話または SMS テキスト・メッセージを利
用できなくなります。SMS 転送サービスもアンダーグラウンドでの不正の主流になって
おり、これにより、銀行からテキストとしてユーザーの携帯電話に送信されるワンタイム・
パスコードが傍受され、サイバー犯罪者の電話機に直接転送できてしまいます。
サイバー犯罪者が携帯電話を侵害するために使用するもう 1 つの方法は、スミッシング
または SMS フィッシングです。スミッシングでは、
個人情報の漏洩のためにテキスト・メッ
セージが個人の携帯電話に送信されます。スミッシングは、信用組合、地方銀行、大規
模な都市銀行を含めてあらゆる金融機関にとって増大しつつある問題です。サイバー犯
罪者はこのような金融機関で何らかの形の金融口座を持っていると思われるモバイル・
ユーザーに幅広く SMS スパムを配布できるため、スミッシングは特に大規模な都市銀行
に大きな被害をもたらします。また、
従来のデスクトップやラップトップの PC と比較して、
モバイル・デバイスを介してインターネットにアクセスするユーザーの方が多く、世界規
模で連携しているため、スミッシングはうってつけの不正ツールです。
スミッシングはフィッシングと比較して、より簡単で魅力的になってきました。消費
者は携帯電話でスパムを受信することになれておらず、通信が正当なものであると信
じやすいため、標準的なフィッシング攻撃と比較すると、スミッシングの方が成功率
も高くなっています。事実、最近の調査でモバイル・ユーザーがフィッシング・サイ
トに個人情報を入力する確率はデスクトップ・ユーザーの 3 倍であると証明されてい
ます。4 さらに、現在ではフィッシング・メールの大半はスパム・フィルタによって阻
止されているため、目的のターゲットに到達するのはまれですが、
「スパム」テキスト・
メッセージを回避するための強固なメカニズムはありません。
図 1。他の犯罪者がスミッシング活
動を利用できるように、自分のサー
ビスを宣伝しているサイバー犯罪者。
3
RSA FraudAction Research Lab
4
Trusteerによる2011年1月4日の「Mobile Users Three Times More Vulnerable to Phishing Attack」
2 ページ
現在、アンダーグラウンドでの不正に利用できるサービスは多数あり、サイバー犯罪
者が簡単に低コストでスミッシング攻撃を行うために利用されています。このような
サービスにより、大量のテキスト・メッセージが 1 台のコンピュータから何千もの携
帯電話に瞬時に送信できてしまいます。図 1 に、「SMS 爆弾」サービスを提供してい
るサイバー犯罪者によって投稿された広告を示します。この犯罪者はカスタム・テキ
スト・メッセージをモバイル・ユーザーに送信するために 1000 通単位で固定料金を
請求しています。また、サイバー犯罪者は、テキスト・メッセージが正当なエンティ
ティで発行されたメール・アドレスから送信されているように送信者 ID を装うため
のソフトウェアを購入することもできます。
高度で持続的な脅威の概
念が、企業の間で牽引力
を得ています。従来は政
府機関および公的機関に
対する組織的な攻撃を記
述するために使用されて
きた用語が、民間企業に
とっての問題となりつつ
あります。
RSA は、2011 年にモバイル・デバイスをターゲットとしたマルウェアの急増を予想
しています。さらに、銀行やその他の組織が、業務を行うために、または Web 脆弱
性に対処するためのセキュリティの追加レイヤーとしてモバイル・チャネルを利用す
ることを計画しているため、このような障害を克服するように設計されたアンダーグ
ラウンドの不正における新しいサービスや向上したサービスが出現することも予想さ
れます。
サイバー犯罪の傾向 2。エンタープライズでのマルウェア
マルウェアによって、世界中の組織や政府機関における問題が増加しつつあります。
これまで消費者と金融機関に固有の問題であると認識されていた問題が、急激に企業
でも問題となってきました。社員の移動を含む多数の要因によって、ソーシャル・ネッ
トワーキング・サイトやユーザー・ベースの IT の利用が増加してきたためです。そ
の結果、企業ネットワークはますますマルウェア、トロイの木馬、高度で持続的な脅
威(APT: Advanced Persistent Threat)、データが漏洩したり、機密データが危険に
さらされたりする可能性を引き出すその他の攻撃の標的となってきています。
APT の概念が、企業の間で牽引力を獲得しています。従来は政府機関および公的機
関に対する組織的な攻撃を説明するのに使用されてきた用語が、民間企業にとっての
問題となりつつあります。APT の問題は特に、世界最大規模の組織に影響を与えた
オペレーション・オーロラや GhostNet などの組織的な攻撃後に懸念されます。
APT 攻撃は通常、従業員を介して行われます。APT の第 2 段階は「ネットワークへの
侵入は攻撃者がターゲット企業内の特定のユーザーをターゲットとして従業員のマシン
に影響を及ぼすことを意図するスピアー・フィッシング・メールで始まり、攻撃者に侵
入の足がかりを与える」と定義されています。全従業員の約半数がスピアー・フィッ
シングの策略にはまるという調査結果からわかるように、これは深刻な問題です 5。
企業でのマルウェアの増加を助長する別の要因として、IT のコンシューマライゼー
ションと、コンピュータを個人的な用途と業務上の用途の両方に使用することが挙げ
られます。これによって、企業が発行したエンドポイントでトロイの木馬に感染する
突破口が開き、サイバー犯罪者が VPN 認証情報などの追加データを収集し、Web メー
ル・アカウントや CRM リソースなどの企業アプリケーションにアクセスするための
機会を提供してしまいます。その結果、組織はデータ消失リスクの増大に直面するこ
とになります。
RSA が 2010 年 4 月に行った調査により、世界最大規模の組織においてマルウェアや
データ消失の潜在的なリスクが膨大な範囲に及ぶことが判明しました。トロイの木馬
の感染ポイント、更新ポイント、ドロップ・ポイントを遮断しようとする当社の取り
組みから導き出された、マルウェアによって収集された膨大な量のデータに関する
RSA の詳細情報に基づき、当社はマルウェアが企業に及ぼすリスクを数値化しようと
試みました。
データの分析結果に基づき、業務目的に使用される企業のマシンの多数がマルウェア
に感染している事実が明らかになりました。RSA によって、Fortune 500 社の 88 パー
セントでドメインに関連するボットネット活動が行われ、60 パーセントでマルウェ
アによってメール・アドレスが漏洩していることが判明しました。
企業に対するリスクは、ソーシャル・ネットワーキング・サイトでの継続するディベー
トによってさらに複雑になっています。多くの企業が従業員にこのようなサイトへの
アクセスを許可するかどうかや、マーケティングやプロモーションの目的でこうした
5
Wombat Security Technologies
3 ページ
サイトをどのように利用するかについての適切なバランスを判断するための模索を続
けています。Facebook ユーザーの 5 人に 1 人以上のコンピュータにアクティブなマ
ルウェアまたはウイルスが潜んでいることを示す調査結果 6 により、そのコンピュー
タが個人用か、業務用かという疑問が生じます。
RSA は、2011 年には組織内の従業員をターゲットとする APT のような攻撃を介し
て企業ネットワークに侵入するマルウェアが増加すると予測しています。消費者向け
テクノロジーが企業に導入され、組織でのソーシャル・ネットワーキングの利用が高
まるにつれて、マルウェアも蔓延していくことが予想されます。
ト ロ イ の 木 馬「Zeus」 は
オンライン・バンキング詐
欺の世界における「業界標
準の」マルウェアとして広
く認識されており、世界中
のバンキング詐欺の約
90 パーセントはこれが原
因となっていると予測され
ます。闇市場では手軽に入
手 できるようになったた
め、Zeus はもはや市販品と
言えるほどであり、多数の
マルウェアの作者が独自の
高度なバージョンのトロイ
の木馬を開発しています。
サイバー犯罪の傾向 3。トロイの木馬の戦争:闇市場における
マルウェアの開発者の競争により、新しい機能が生まれ、
開発サイクルが短縮される
トロイの木馬「Zeus」はオンライン・バンキング詐欺の世界における「業界標準の」
マルウェアとして広く認識されており、世界中のバンキング詐欺の約 90 パーセント
はこれが原因となっていると予測されます。闇市場では手軽に入手できるようになっ
たため、Zeus はもはや市販品と言えるほどであり、多数のマルウェアの作者が独自
の高度なバージョンのトロイの木馬を開発しています。
最近行われた、トロイの木馬「Zeus」と SpyEye トロイの木馬の作者によるこの 2 つ
のトロイの木馬の統合についての発表により、アンダーグラウンドのサイバー犯罪者
の間で波乱が生じました。統合の発表は、2010 年 9 月末にトロイの木馬「Zeus」の
攻撃によって多数の逮捕者が出たことで明るみに出ました。新しいハイブリッド型の
トロイの木馬はまだ公開されておらず、アンダーグラウンドのサイバー犯罪者に販売
されていないため、現時点ではまだ Zeus が市販されているマルウェアの主流です。
しかし、SpyEye の作者である Harderman(通称 Gribodemon)によれば、Zeus は「中
途半端」であり、従来の Zeus リリースを更新するよりも、新しいハイブリッド型の
トロイの木馬を完成させる方に力を注ぐ傾向があるとのことです。
Zeus の作者である Slavik は Harderman にトロイの木馬「Zeus」の完全なコードを
供与し、代わりに Harderman は Zeus が新しいスーパー・トロイの木馬の基盤とな
る こ と を 発 表 し ま し た。 さ ら に、Harderman は ト ロ イ の 木 馬 の 機 能 を 拡 張 し、
SpyEye の各モジュールを統合されたトロイの木馬の個別のプラグインとして販売す
ることも発表しています。
Harderman は新しいトロイの木馬に ring-0、またはカーネル・モード、ルートキッ
ト(現在は Sinowal のみ)を実装し、感染した各コンピュータのデスクトップ GUI
へのアクセスを可能にするためのリモート・デスクトップ・アクセスを追加する計画
もすでに発表しています。さらに、トロイの木馬「Zeus」の HTML 感染が SpyEye
よりも優れていると認めた上で、Harderman は新しいハイブリッド型のトロイの木
馬に実装できるように研究することを発表しています。Harderman が計画を実現す
るとすれば、それによって 2011 年にアンダーグラウンドで販売される市販のマルウェ
アが進化することを意味します。
SpyEye トロイの木馬
2010 年、SpyEye トロイの木馬は洗練されたプラグインや機能とともに出現しました。
2010 年を通して、SpyEye は急速に継続して更新され、わずか 6 か月の間にメジャー・
アップデートが数回リリースされました。
最初のアップデート(2010 年 1 月末にリリース)では、構成ツールおよびビルダが
公開されました。これらはいずれも Zeus から着想を得たものです。また、最初の自
動大量登録モジュールも提供されました。これによって、支払いカード・データの登
録が要求される電子財布サービスへの複数の不正登録が可能になります。このモ
ジュールは SpyEye によるクレジット・カードのログを検索し、カードの請求住所に
基づいてカードと同じ国または米国のボットを組み合わせます。その後、新しい電子
財布アカウントを登録します。IP アドレスと地域が一致した場所から電子財布サービ
スにアクセスすると、トランザクションに高リスクのフラグが設定される可能性が低
くなります。HTML 感染は、これらのアップデートの直後に発生しました。
6
PrevX
4 ページ
2010 年 2 月に host-ban オプションが追加されました。このオプションでは、ユーザー
が事前定義済みの URL、たとえばトロイの木馬がお金を盗んだばかりの銀行の URL
にアクセスするのを防止したり、口座の新しい残高を確認できないようにしたりでき
ます。SpyEye の 3 番目のリリースは有名な「Kill Zeus」機能によって拡張されました。
この機能によって、ユーザーのシステムにインストールされた古いバージョンのトロ
イの木馬「Zeus」が無効になります。最後の 4 番目の SpyEye リリースは、マルウェ
アのコピーや再販を防止するためのプライバシー対策ロック、残高グラバー機能およ
び Firefox HTML インジェクションのサポートによって機能強化されました。
トロイの木馬「Zeus」
後から考えると、統合の発表直前に SpyEye と Zeus の競争が加速したと思われます。
Zeus 2.0 は 2010 年 4 月に発表され、Zeus 2.1 はそのわずか 4 か月後の 8 月に発表
されました。
Zeus 2.0 は、トロイの木馬と Windows および Firefox ブラウザの最新バージョンと
の間に「互換性」を確保し、トロイの木馬の複数のインスタンスを感染した同じマシン
上で動作できるようにしたほか、FTP グラバーやその他の新機能を追加しました。
Zeus 2.0 で最も重要な変更点の 1 つは、トロイの木馬でファイル名やディレクトリ
名に使用される命名規則です。
Zeus 2.1 には画期的なデジタル署名メカニズムが組み込まれました。これは、正当な
ソフトウェアに対抗してマルウェアに使用されたこのテクノロジーの最初のインスタン
スです。現在、トロイの木馬によってダウンロードされる各ファイルおよびアップデー
トへのデジタル署名が検証され、最新バージョンでもほとんどの文字列がエンコードさ
れた形式で維持されています。これらの方法論は明らかに法的機関やセキュリティ研究
者によるリバースエンジニアリングの努力を阻止し、同じボットネットでのサイバー犯
罪者の競争における縄張り争いの可能性を低減するために実装されました。
世界中で Stuxnet による
新しいタイプの脅威、す
なわち物理的なインフラ
ストラクチャをターゲッ
トとするマルウェアによ
る脅威が勃発するであろ
うということには疑う余
地がありません。このマ
ルウェアは、最終的な目
的が金銭を盗むことであ
る他の形式のマルウェア
とはまったく異なります。
また、Zeus 2.1 には以前のバージョンのトロイの木馬では疑問符で記録されていた
データを多数の言語で記録する機能や、各マシンの正確な都道府県、都市、郵便番号
の記録を維持する機能も追加されました。後者の機能により、被害を受けた口座と支
払いカードとのプロキシマッチング機能が拡張されます。
2010 年を通して行われた新しいトロイの木馬のアップグレード、プラグイン、機能
に関するおびただしい数のリリースは、2011 年の市販のマルウェア・キットでも継
続されると予想されます。RSA は 2010 年を通して多数のミュール管理ツールを追跡
した結果、「Man-in-the-Browser」と呼ばれるトロイの木馬での自動化された転送の
管理のためのミュール管理アプリケーションは 2011 年も量と質の両面で向上し続け
ると予測されます。進化のはしごの新しい段が増えるに従い、セキュリティ対策はよ
り高度で堅牢になり、マルウェアの作者側の知識も既存の検出メカニズムを回避する
ために、より高度になります。その結果、開発サイクルが短縮され、クライムウェア
の新しいバージョンのリリースが加速することが予測されます。
また、Zeus と SpyEye の統合が完成して発売されるまでは、マルウェアの 1 人の作
者が市販のマルウェア・キットの市場を独占するでしょう。現在の真空状態が、現在
は Harderman およびトロイの木馬「Zeus」の「認定」リセラーのみが得ている利益
の分配を求める新しいマルウェアの作者によって埋められることは大いにあり得ま
す。これは、2011 年にアンダーグラウンドで新しいマルウェア・キットが販売され
る可能性があることを意味します。
5 ページ
サイバー犯罪の傾向 4。高度に専門化された攻撃を行うために
設計され、非公開で開発されるトロイの木馬が急増し続ける
「重要なインフラストラクチャへのサイバー攻撃」と聞いて最初に頭に浮かぶ言葉は、
おそらく Stuxnet でしょう。これは重要なインフラストラクチャで動作するシステム
をターゲットとして設計された、USB を介して拡散されるよう特化したトロイの木馬
です。Stuxnet は、物理的なインフラストラクチャの攻撃を目的として考案された最
初の独自のマルウェアです。世界中で Stuxnet による新しいタイプの競争、すなわち
物理的なインフラストラクチャをターゲットとするマルウェアによる戦争が勃発する
であろうということには疑う余地がありません。このマルウェアは、金銭を盗むこと
を目標として単に経済的なサプライ・チェーンに侵入する他の形式のマルウェア、ト
ロイの木馬、アドウェア、ワームとはまったく異なります。
Stuxnet の開発に国家機関レベルの膨大なリソースが必要であるというのが専門家た
ちの共通の認識です。調査員によれば、非公開で開発されて運用される「Banker タ
イプのトロイの木馬」には、Stuxnet トロイの木馬の作者に必要とされるのと同等の
レベルの幅広い分野の専門知識、時間、人員が必要とされることはなく、一般的に
Banker タイプのトロイの木馬に必要とされるのは 2 ~ 3 つ以上の分野の専門家によ
る小規模なチームです。MITB 攻撃を行うような最も高度なトロイの木馬は通常、ルー
トキットの専門家、オペレーティング・システムの専門家、Web の専門家が必要です。
2010 年には、特定のターゲット(ほとんどの場合は金融機関の Web サイト)を攻撃
するために非公開で開発されて運用されるトロイの木馬が急増しました。
Lamp トロイの木馬は
25 以上の米国の金融機
関からの財務情報の
収集に加えて、特に産業
スパイも意図しています。
たとえば、Qakbot トロイの木馬は、2010 年を通して猛威をふるい、より一般的な個人
の銀行口座をターゲットとしたトロイの木馬とは異なり、ビジネス・アカウントやコー
ポレート・アカウントのみをターゲットとした最初のトロイの木馬として RSA によっ
て認識されました。Qakbot はイギリスの国民健康保険のコンピュータ・ネットワーク
が感染した際に有名になり、メディアの注目を集めました。このトロイの木馬は、たと
えば、組織内の小規模な部署やチームによって使用される LAN(ローカル・エリア・ネッ
トワーク)内の共有ディレクトリで自身をレプリケートする機能などの幅広い高度な動
作を行います。これによって、ユーザーが企業のオンライン銀行口座にアクセスするた
めのより多くの社内コンピュータが Qakbot の影響を受けることになります。
Syscron(別名 Carberp)は、ターゲットを特化させた非公開の別の種類のトロイの木
馬で、主に次の 2 つの型があります。1 つは、ヨーロッパに本店がある少数の銀行とロ
シアの Web メール・サービス・プロバイダのみをターゲットとし、非常に広範囲にわたっ
て蔓延します。もう 1 つの型は、約 25 行の銀行(そのほとんどが米国に本店がある)
とヨーロッパに本店がある少数の銀行をターゲットとし、蔓延する範囲は小規模です。
Nimkey トロイの木馬(別名 Chilkat)も 2010 年にリリースされました。最も有名な
のは、約 2,000 万ユーロに相当する 160 万の EUA(EU の排出量の割り当て)の損
失に関与した感染です。EUA は 27 か国の連合内で CO2 排出量の取引に使用され、
Nimkey の URL トリガー・リストを調べると、このトロイの木馬が EUA 通商プラッ
トフォームのほぼすべての参加国(および金融機関)をターゲットとしていることが
明らかとなりました。
Brazilian Banker の 1 つの型である Bancos は、南米の 8 つの銀行と南米の 2 つの Web
メール・サービスを対象とするようコード化されました。このトロイの木馬には「慎
重な」インストーラが組み込まれており、最初にユーザーの閲覧の履歴を参照してユー
ザーが実際にターゲットとしている銀行の顧客であるかどうかを確認します。コン
ピュータがこのトロイの木馬を認識しない場合、このトロイの木馬の実行可能ファイ
ルは圧縮されたままインストールされず、ウイルス対策プログラムで検出できない潜
伏状態のままです。
一 部 の 研 究 者 に よ れ ば、Lamp ト ロ イ の 木 馬 は 中 国 で 開 発 さ れ た 可 能 性 が あ り、
Microsoft Office スイートの「ドキュメント・グラバー」が組み込まれています。こ
れは Microsoft Office スイートのドキュメントを収集することのみを目的として設計
された特定のコマンドです。この機能は、財務情報や銀行関連の情報を収集すること
に特化した非公開のトロイの木馬の中で異質です。これは、Lamp が Word 文書、
Excel スプレッドシート、および PowerPoint プレゼンテーションを収集することを
意味します。Lamp は、25 以上の米国の金融機関からの財務情報の収集に加えて、特
に産業スパイも意図している唯一のトロイの木馬の例です。
6 ページ
2009 年に最初にリリースされ、2010 年に広く蔓延したその他の非公開で開発された
高度なトロイの木馬として、Mimicker、Silon、および Bugat が挙げられます。RSA は
2011 年には閉鎖的な犯罪組織で作成された特殊なトロイの木馬が増加すると予測し
ています。非公開で開発されて運用されるトロイの木馬はオペレータが配布チャネル
を慎重に選択するため、Web 上であまり「ノイズ」を発生させないという利点があり
ます。小規模の配布のために、このようなトロイの木馬はウイルス対策プロバイダに
よって追跡されて調査される可能性が低く、より長い期間にわたって認識されずにい
ることが可能です。したがって、2011 年には非公開で開発されたトロイの木馬が増
加することが予想されます。
サイバー犯罪の傾向 5。フィッシング攻撃の進化と
ターゲットとなる組織
フィッシング攻撃はサイバー犯罪者の武器における最も古いツールの 1 つであり、そ
の寿命により進化の継続が妨げられることはありませんでした。2009 年に、チャッ
トを介した最初のフィッシング攻撃が発見されました。2010 年には、複数のエンティ
ティを同時にターゲットとする攻撃や、消費者の携帯電話にアウト・オブ・バンド認
証の一部として送信されるトランザクション確認コードを傍受する攻撃など、その他
のタイプのフィッシング攻撃が出現しました。
2010 年には、複数のソーシャル・エンジニアリング方式を使用して複数のエンティ
ティの顧客を同時にターゲットとするフィッシング攻撃が数多く行われました。この
ような攻撃の一部は、米国、イギリス、オーストラリア、南アフリカ、インドなどの
収税機関からの重要な通知を装って配布されました。このような攻撃では銀行のロゴ
のリストがユーザーに提示され、口座にログインして税金の還付を受けるために銀行
のロゴをクリックするように指示されました。ユーザーは口座にログインする代わり
に、フィッシング・サイトにログインすることになり、オンライン・バンキングの認
証情報が収集されました。
図 2: この調査後に、ユーザーは口
座に報酬が振り込まれるように、オ
フライン・バンキングの認証情報を
入力するように求められました。
複数のエンティティをターゲットとする別のフィッシング詐欺では、オンライン・ユーザー
が、顧客満足度調査を装ったメールによってオンライン・バンクの認証情報を入力する
ように誘導されました。このフィッシング攻撃では、調査に参加すると、金銭的な報酬が
得られると告げられました。この調査後に、ユーザーは口座に報酬が振り込まれるように、
オンライン・バンクの認証情報を入力するように求められました(図 2 を参照)
。
オンライン・バンクの取引をリアルタイムで確認するために、世界中の多数の銀行が
SMS テキスト・メッセージによって顧客の携帯電話に送信されるワンタイム・パスワー
ドを導入しています。2010 年、RSA は、サイバー犯罪者がユーザーにオンライン・
バンキングの認証情報を入力するように要求するフィッシング攻撃を使用して、この
7 ページ
セキュリティ対策を回避しようとする試みを発見しました。次に、ユーザーに「しば
らくお待ちください」というメッセージが表示される「遅延ページ」が提示され、携
帯電話に送信されたワンタイム・パスワードを入力するように指示するページに誘導
されます。
フィッシングを行うには、最小限のセットアップ料金と多少の技術的な知識が必要で
す。サイバー犯罪者は 2011 年、1 回に複数の組織をターゲットとする攻撃やワンタ
イム・パスワードの傍受などの機能が組み込まれたフィッシング・キットの開発を引
き続き行うだろうと予測されます。
まとめ
サイバー犯罪は現在のあらゆる組織にとって身近に存在する脅威です。長年にわたっ
て主に消費者や金融サービス業界を対象としてきたサイバー犯罪が、2010 年には確
実に企業にシフトしました。サイバー犯罪者はより大きな利益を産む高度なテクノロ
ジーの開発に毎日励んでいます。彼らはより良い情報を引き出すために方法を変え、
さまざまなターゲットを攻撃しています。ある組織では、開発に 4 か月を費やした対
応策を打ち破るためにサイバー犯罪者が要した時間はわずか 4 時間でした 7。
サイバー犯罪の脅威に対するリスクの管理は、決して容易ではありません。防御にお
いて最も重要な対策の 1 つとして、インテリジェンスと潜在的なリスクの認識が挙げ
られます。業界や政府機関は競合他社やパートナーとの情報の共有を採用するために
大きな一歩を踏み出しましたが、最も重要なのは一般公開です。2010 年には、世界
規模で大規模な検挙が数多く行われ、このことが法執行機関の国際的な連携の向上に
直接的に貢献しました。2011 年になっても、引き続きこのような努力がサイバー犯
罪との戦いにおいて不可欠となるでしょう。
7
http://www.thinq.co.uk/2010/10/25/how-bank-hackers-beat-barclays/#
RSA について
RSA は、セキュリティ / リスク / コンプライアンス・ソリューションを提供する
主要プロバイダとして、世界の主要組織が抱える複雑かつ重大なセキュリティ関
連の課題を解決することにより、これらの組織の成功を支援しています。こうし
た課題には、組織のリスクの管理、モバイル・アクセス / コラボレーションの安
全確保、コンプライアンスの実証、仮想 / クラウド環境のセキュリティ確保が挙
げられます。
身元の確認、データ喪失の防止、暗号化とトークン化、不正対策、SIEM におけ
るビジネス・クリティカルな管理と業界をリードする eGRC 機能およびコンサル
ティング・サービスを組み合わせることにより、RSA は、数百万に及ぶユーザー
の身元、ユーザーが実行したトランザクション、生成されたデータに対し信頼性
と視認性を提供します。
RSA、RSA ロゴ、EMC2、EMC、および where information lives は、米国およびその他の国における EMC Corporation
の登録商標または商標です。 他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標また
は登録商標です。©2011 EMC Corporation. 不許可複製
japan.rsa.com
cyberc wp 0111