ワールドカップのようなイベントではセキュリティ上の問題が発生します。会場から観客、選手やチーム関係者まですべてを物理的に警備するだけでなく、サイバーセキュリティ対策も同様に重要です。
2018年6月14日から7月15日までロシアで開催された第21回目のFIFAワールドカップは、世界人口のほぼ半数が観戦するという、史上最も注目されたスポーツイベントの1つとなりました。数字だけを見てもその注目度がうかがえます。視聴率も驚異的でしたが、このイベントを主催したロシアは推定約120億米ドル(2018年11月20日時点で約1兆3,546億円)を費やし、FIFAや他の関係組織へは数十億米ドル(約数千億円)の収益をもたらしました。規模に関して言えば、この2018 FIFAワールドカップは他のイベントの中でも比類ないスポーツイベントとなりました。
もちろん、これだけ大規模なイベントとなるとセキュリティの問題が発生します。会場や観客、選手やチーム関係者まですべてを警備する物理的なセキュリティの問題がまず挙げられます。加えて、Facebookで約240万回のインタラクション、Twitterで約2,800万回のツイートを発生させた「第51回スーパーボウル (Super Bowl LI )」の例が示すように、インターネット上でも人気を博す大規模スポーツイベントにおいては、 オンラインのセキュリティ対策も非常に重要です。
■スポーツイベントとサイバー犯罪
サイバー犯罪者が大規模なスポーツイベントから利益を得ようとすることは目新しいことではありません。そのようなスポーツイベントは収益を最大化しようとするサイバー犯罪者にとって格好の標的となっています。近年サイバー攻撃が確認されたスポーツイベントの代表的なものとして、オリンピックとワールドカップが挙げられます。言うまでもなく、これら2つは現代における最も重要なスポーツイベントです。
過去に発生したこれらのサイバー攻撃には、スパムメールやフィッシングなど、祭典に夢中になったユーザを欺くための実効性が証明されたツールや手法が利用されています。2018 FIFAワールドカップの開催中、トレンドマイクロは、ユーザにマルウェアをダウンロードさせることに成功したソーシャルエンジニアリングの手法をいくつか確認しました。これらの手法は単純であるにもかかわらず、人間の好奇心につけこみ、イベントに参加したいという数多くの人々を攻撃対象とすることで、たびたび成功が証明されています。
■ストリーミングアプリに偽装したAndroid端末向け不正アプリ
2018 FIFAワールドカップ開催中、公式チャンネルの情報にアクセスできない何百万人もの視聴者は、無料かつリアルタイムで試合を視聴できるストリーミングアプリやWebサイトへと向かいました。そのため、1つの試合観戦のために、1つのアプリに数千人がアクセスしたことは容易に想像がつきます。トレンドマイクロが確認した偽のストリーミングアプリ(「AndroidOS_DarDesh.HRX」として検出)の一つは、表向きは正規アプリとして広告されていましたが、実際はAndroid端末向け不正アプリでした。
このアプリは、リオネル・メッシやクリスティアーノ・ロナウドなど、人気のあるサッカー選手を紹介するWebサイトから配信されていました。
図1:正規アプリに偽装した不正アプリのダウンロードサイト
しかしながら、このアプリは、ユーザが予想もしなかったものを配信していました。Webページ上に表示される「DOWNLOAD NOW(今すぐダウンロード)」のリンクをクリックすると、不正アプリがAndroid端末上にダウンロードされインストールされます。
インストールされた不正アプリは、感染端末から以下のような情報を検索し抽出するなど、さまざまな不正活動を実行します。
・Android端末名
・位置情報
・送受信されたSMSメッセージ
・盗聴した通話音声データ
・外部ストレージ内のファイル(PDF、txt、doc、xls、xlsx、ppt、pptx)
■ワールドカップの「試合結果予測」文書に偽装したマルウェア
トレンドマイクロが検出し解析した別のマルウェアもファンの熱意を悪用していました。
このマルウェアは、2018 FIFAワールドカップからの試合結果を予測する文書(「W2KM_POWLOAD.ZYFG-A」として検出)に偽装していました。
図2:試合結果予測文書の一例
この試合結果予測文書を開くと、マクロ機能を有効にするようユーザを誘導するメッセージが表示されます。ユーザがマクロを有効にすることを選んだ場合、次に行われる試合の短い「試合結果予測」が表示されます。
しかし、文書に含まれたマクロコードは、ユーザが「試合結果予測」の内容を読んでいる間に実行され、結果としてコマンド&コントロール(C&C)サーバから他のスクリプトとマルウェアがダウンロードされます。ダウンロードされるスクリプトの内の1つは、さらに、マルウェアが隠された自己解凍形式の実行ファイルを含む画像ファイルをダウンロードします。
この実行ファイルは、以下を含む複数の機能を実行できます。
・スクリーンショットを取得
・キーロガーとしてキー入力を監視・記録
・特定のファイルを検索
また、自身にエンコードされた API キーを利用し、収集した情報をパブリッククラウドのストレージサービスにアップロードします。
■スポーツイベントにおけるその他の潜在的脅威
上述のようなソーシャルエンジニアリングを利用した脅威が蔓延しているとはいえ、スポーツイベントで視聴者や出場者が直面する脅威はそのようなものだけではありません。偽アプリや偽装Webサイトなどの一般的なマルウェアに関連した脅威とは別に、ユーザは、チケット詐欺や偽のグッズ販売など、マルウェアに関連しないオンライン詐欺の危険にもさらされています。
正規Webサイトでさえサイバー犯罪の攻撃対象になることがあり、ハッカーによるWebサイトの改ざんや「分散型サービス拒否(DDoS)攻撃」などのサービス妨害によって、金銭的損失や評判の低下を招くことがあります。
■スポーツイベントに便乗する脅威への対策
大規模なスポーツイベントは、たびたびサイバー犯罪者の攻撃対象となっており、この趨勢がすぐに衰えるという兆候はみられません。そのためイベントに関わる組織やユーザは、オンラインの脅威から身を守るための対策を講じる必要があります。日本でも2019年にはラグビーワールドカップ、2020年にはオリンピックの開催を控えており、重要な問題と言えます。
サイバー犯罪者が利用するさまざまなソーシャルエンジニアリングの手法を認識することは、サイバー攻撃を回避するための手助けとなります。非公式または非公認のサードパーティが管理するWebサイトにアクセスする場合、特にアプリケーションのダウンロードを伴う場合は常に注意する必要があります。文書をダウンロードしたり、Webサイトや電子メールのリンクをクリックしたりする際にも同じように注意が必要です。前述の実例のように、ダウンロードした文書がユーザにマクロ機能の有効化を要求する場合、そのファイルが不正なものだということがよくあります。
その一方で、スポーツイベントに関わる主催者や組織は、システムやインフラストラクチャを適切に設定し、安全に保護するために以下のような対策を実行してください。
・イベントの準備期間から閉幕までの脅威情報を収集することによって、予想される潜在的な脅威に備える
・適切なアクセス制御を実装することによって、情報の流れを管理しサーバやエンドポイントへの侵入を防ぐ
・システムやアプリケーションの脆弱性を確認して、イベント開催前に更新・修正されるべき点を判断する
・請負業者や支援組織に対してセキュリティコンプライアンス監査を実施し、攻撃を受ける可能性のある弱点を最小化する
・イベントに参加する全ての関係者、特に重要なシステムの担当者は、サイバーセキュリティの基礎を理解するための訓練を受ける
・主催者はサイバー攻撃発生時の対応および復旧方法を計画することで、最悪のシナリオの状況に備える
【更新情報】
| 2018/12/17 13:37 | 「図3」を削除しました。 |
参考記事:
- 「Sporting Event Threats: Lessons from the 2018 FIFA World Cup」
by Trend Micro
翻訳: 益見 和宏(Core Technology Marketing, TrendLabs)