トレンドマイクロでは、2017 年 1 月~11 月に発生したサイバー脅威の事例を分析し、個人利用者では1)金銭を狙う「不正プログラム」の拡散、2)「ネット詐欺」、3)「仮想通貨を狙う攻撃」 を、法人利用者では1)「ランサムウェア」と「WannaCry」、2)「公開サーバへの攻撃」による情報漏えい、3)「ビジネスメール詐欺(BEC)」 を「三大脅威」として選定いたしました。そして、「セキュリティ上の欠陥」が特に企業に深刻な影響を与えた年であったものと総括しています。本ブログではこの 2017 年の脅威動向速報を連載形式でお伝えしています。第1回、第 2 回では特に法人での脅威について「セキュリティ上の欠陥」の観点から解説いたしましたが、第 3 回の今回は、個人利用者における三大脅威について解説します。
図:2017 年国内の個人と法人における三大脅威
■金銭目的の「オンライン銀行詐欺ツール」と「ランサムウェア」
2017 年、金銭目的の不正プログラムである「オンライン銀行詐欺ツール(バンキングトロジャン)」と「ランサムウェア」の拡散は急減し、既に大きな脅威ではなくなってしまったかのように思われているかもしれません。背景としては、2017 年に入りマルウェアスパムを拡散させるスパムボットネットワークが不活発化し、拡散が急減したことが原因と言えます。しかし、マルウェアスパムの拡散は 2017 年第 2 四半期(4~6 月)以降再び活発化の傾向を示しており、トレンドマイクロのクラウド型次世代セキュリティ技術基盤である「Smart Protection Network(SPN)」による 2017 年 9 月までの検出台数推移を見ても、2016 年後半が例外的状況であっただけで全体的には高止まりの状況にあるものと言えます。つまり、バンキングトロジャンやランサムウェアのように、金銭目的の攻撃として定着した攻撃は増減を繰り返しながらも執拗に行われるため、継続した注意が必要です。
図:国内ネットバンキングを狙うバンキングトロジャンの日本国内での検出台数推移(トレンドマイクロSPNによる)
図:ランサムウェアの日本国内での検出台数推移(トレンドマイクロSPNによる)
■利用者を騙す「ネット詐欺」の多様化
「ネット詐欺」も既に常套手段化したサイバー犯罪と言えます。特に「ネット詐欺」の代表的存在である「フィッシング詐欺」について、SPN の統計からフィッシングサイトへ誘導された利用者数の推移を見てみると、増減を繰り返しながら攻撃が継続している様子が見て取れます。数か月のサイクルで減少傾向にあったとしても、それはいつか増加に転じるものであり、脅威自体への注意を怠ってよいということではないものと言えます。
図:日本国内からフィッシングサイトに誘導された利用者数推移(トレンドマイクロ SPN による)
フィッシング詐欺において現在最も多く狙われているのは Google アカウント、Apple ID、Amazon アカウント、マイクロソフトアカウントのような、現在ではネットの使用に欠かせなくなりつつあるマルチサービスのアカウントです。特に Google アカウント、Apple ID はスマートフォン利用時に必須となっています。スマートフォンの使用状況と連動した個人情報の集積場所となっており、サイバー犯罪者にとって最も欲しい情報となっていることは間違いありません。
これらのフィッシング詐欺も含め、2017 年に確認されたネット詐欺の攻撃においては、人を騙す手段として、特徴的な手法が継続して確認されました。特にマルチサービスアカウントの詐取において、アカウントの無効や侵害を理由にフィッシングサイトへ誘導する手口が見られています。自身のアカウントが侵害を受けたのでは?と利用者を不安にさせて誘導する巧妙な手口と言えます。
図:マイクロソフトアカウントを狙うフィッシングサイト例。Office のプロダクトキーの確認を理由に情報の入力へ誘導
図:Apple ID を狙うフィッシングサイト例。アカウントのロック解除を理由に情報の入力へ誘導
このような利用者の不安を煽る手口として、以前から継続して確認されている「サポート詐欺」や「フェイクアラート詐欺」のように、機器の不調やウイルス感染を理由にするものも 2017 年には活発に確認されました。
図:サポート詐欺サイトの表示例
「Zeus ウイルス」の検出を理由に「サポートへの問い合わせ電話」を促し、最終的に「サポート契約」の名目により金銭を詐取する
図:モバイル向け「フェイクアラート」サイトの表示例。
ウイルス検出を理由に特定のアプリのダウンロードを促す
このようなネット詐欺台頭の背景として、Web 経由の攻撃における脆弱性攻撃の弱体化が挙げられます。Windows10 の標準ブラウザが Edge になるなど、脆弱性攻撃の対象として中心的に狙われていた Internet Explorer の使用が減少傾向にあるため、脆弱性攻撃の成功率も落ちているものと考えられています。この状況に対し、サイバー犯罪者が「人を騙す」という手法に注力した結果、2017 年には特徴的な詐欺手法が台頭してきたものと言えます。
■「仮想通貨」を狙うサイバー犯罪者の活動が顕在化
これまでサイバー犯罪者の狙いは「金銭」と「情報」に集約されていましたが、2017 年には加えて「仮想通貨」を狙う動きが顕在化しました。特に2017 年後半から侵入環境で仮想通貨の発掘(マイニング)を行う「コインマイナー」の拡散が顕著になっています。6 月までは一か月間で 500 件を超えなかった検出台数が、9 月だけで 6000 件を超える急増となりました。これらの検出のほとんどは個人利用者となっています。
図:2017 年国内における「コインマイナー」の検出台数推移(トレンドマイクロ SPN による)
これらのコインマイナーの拡散は主に Web 経由で行われていることが確認されており、攻撃者が悪意をもってコインマイナーの拡散を行っていることは確かと言えます。このようなコインマイナーの台頭の背景として、2017 年に入ってからの仮想通貨相場の急騰に加え、ビットコインに比べて発掘効率のよい「アルトコイン」の存在が挙げられます。
また、より直接的に仮想通貨を狙う活動も顕在化しています。バンキングトロジャンである「URSNIF(別名:DreamBot)」は 6 月以降、日本で利用されている仮想通貨取引所サイトの認証情報を詐取対象に追加していたことが明らかになりました。同様にネット詐欺でも仮想通貨取引所サイトを狙うフィッシングサイトは11月に確認されています。海外ではビットコインウォレットの情報窃取の活動を行うランサムウェアの活動も確認されており、今後は仮想通貨の利用普及と共に、利用者の所持する仮想通貨をより直接的に狙う不正プログラムの台頭することが懸念されます。
■まとめ:
広く一般のインターネット利用者を狙うサイバー犯罪者の目的はこれまでの「金銭」、「情報」に加え、「仮想通貨」にも拡大しています。中でもサイバー犯罪者にとって「成功」した手法である「ランサムウェア」、「バンキングトロジャン」、「ネット詐欺」の攻撃は常套化し、増減を繰り返しながらも継続しています。このような継続の中で、特に2017年には人を騙す攻撃手法が多かったものと言えます。このような被害に遭わないためにも、流布している攻撃手法を知り騙されないこと、騙されてしまった場合にもカバーできる総合セキュリティ対策製品の使用が重要です。