インターネット上にいったん公開されたデジタルデータを消去することは困難です。特に、個人利用者や法人組織から漏えいした情報は、暴露されたり、サイバー犯罪者間で取引されたりして広まり、抹消することは困難です。結果的に、新たなサイバー犯罪に何度も「再利用」される可能性があります。2015年に「Ashley Madison(アシュレイ・マディソン) 」から漏えいしたとされる情報は、サイバー犯罪における漏えい情報再利用の例となってしまいました。
Ashley Madison は、既婚者向けの出会い系サイトです。2015年、サイトの運営会社「Avid Life Media」が「Impact Team」として知られるハッカー集団によってハッキングされました。Impact TeamはAvid Life Media に対し、Ashley Madisonともう一つの類似Webサイトを閉鎖しなければ、同サイトから収集した個人情報を暴露すると脅しました。Avid Life Mediaはこの要求に応じず、Impact Teamは数百万の会員の個人情報をダークWeb上で公開するに至りました。
図:確認された脅迫メールの例
事件は他のサイバー犯罪者にとって便乗する絶好の機会となり、情報が暴露された後間もなく脅迫メールが送信され始めました。漏えいした会員情報は2017年にも別の脅迫メールによる攻撃で利用され、さらに事件発生から数年経過している現在でも、まだ脅迫に使用されています。
そして、今回確認された新しいセクストーション(性的脅迫)の攻撃で、漏えいの被害に遭った会員が再び標的とされている、とメールセキュリティ企業「Vade Secure 」は報告しています。
脅迫メールには、受信者のAshley Madison会員プロフィール全部と、その他「恥ずかしい」活動の証拠を暴露する、と書かれています。他の最近のセクストーションの事例と同様に、攻撃者はビットコインによる支払を要求します。要求額の1,000米ドル(約11万円)は、メール本文ではなく、パスワード保護された添付のPDFファイルに明示されていました。これは、通常メールフィルタは添付ファイルの中身をスキャンできないため、検出を回避する目的であることがメール本文からも推測できます。また、添付ファイルには、支払い手続きのためのURLへのQRコードが含まれていました。
攻撃者は、支払いの猶予期間としてメール送信後6日を与えており、それが過ぎれば情報を暴露する、と脅しをかけていました。
■データ漏えいとその余波
今回のセクストーションについて、実際には攻撃者は漏えいした会員情報を持っておらず、単に漏えい事件を利用したソーシャルエンジニアリングによる攻撃である可能性も考えられます。それでも脅迫の効果が薄れることはないでしょう。攻撃者の手に漏えい情報があると思い込んでいれば、メール受信者にとっての恐怖と苦痛は同じであり、依然要求に屈する可能性があります。
一方、攻撃者がAshley Madison から漏えいした情報を保有しているという可能性を排除することはできません。サイバー犯罪者が、5年も前に発生したデータ漏えいによる被害者をいまだに脅迫対象にしているという事実は、不安にさせられることではあっても、意外なことではありません。ユーザの個人情報がインターネット上に暴露されれば、誰がその情報にアクセスするかをユーザ自身でコントロールすることはほぼ不可能です。脅迫メールは、受信したユーザだけでなく、ユーザに関係する人々にも影響を与える可能性があります。漏えいした情報が、ユーザが勤務する会社を侵害するために利用される可能性もあり得ます。
暴露された個人情報は、脅迫メールだけでなく、アカウントリスト攻撃やクレデンシャルスタッフィング(Credential Stuffing)などと呼ばれる他の攻撃にも利用される可能性があります。クレデンシャルスタッフィングとは、漏えいしたユーザ名とパスワードを利用し、さまざまなオンラインサービスに不正アクセスするためにボットを利用して大量に不正ログインを試行する攻撃です。
このように、いったん外部に漏えいした情報は、何度もサイバー犯罪者に利用される可能性があります。特に、多くの利用者の個人情報を預かるWebサービスが侵害を受けた場合、多くの利用者が影響を受けることになります。自サービスの利用者を保護するためにも、Webサービスの運営者が負うべきセキュリティ上の責任は、一層重くなっていくことは間違いありません。
■被害に遭わないためには
特定のWebサービスや法人組織からのデータ漏えいとその余波によって提起される問題は、インターネット上に存在する個人情報の機密性に関する問題です。Webサービスの運営企業は、データ漏えいによる被害を防ぐために、安全な保管場所にデータを保存することと、システム全体の各層のすべてのコンポーネントを保護することを推奨します。
また個人利用者においては、漏えいした情報が実際に攻撃で利用されている場合、要求に応じることはおろか脅迫メールに返信することさえないように注意してください。かえって状況を悪化させる可能性があります。
■トレンドマイクロの対策
詐欺メール対策:
トレンドマイクロ製品では本記事で取り上げた詐欺メールなどの不正なメールを「E-mailレピュテーション(ERS)」技術でブロックします。特に個人向けセキュリティ対策製品「ウイルスバスタークラウド」では詐欺メールの危険性を判定する「詐欺メール対策」機能により、メールオープン時に詐欺メールの警告を行います。
クラウドメールを使用する企業や組織においては、「Trend Micro™Cloud App Security™」の利用をお勧めします。これにより巧妙に細工されたもっともらしいフィッシング攻撃も検出対応されます。さらに、ドキュメントエクスプロイトの検出技術と挙動分析により、メッセージ本文と添付ファイルからも不審なコンテンツを検出します。挙動分析にはDeep Discovery で培われたサンドボックス技術を用いており、分析時に得られたインテリジェンスを他のセキュリティレイヤと共有します。
サーバ防御:
統合型サーバセキュリティソリューション「Trend Micro Deep Security™」は、Webサービスを構築するためのサーバなどを防護します。特に未修正の脆弱性に対する攻撃は、仮想パッチ機能により防御可能です。また、変更監視機能やセキュリティログ監視機能で予期しないシステム変更を警告することにより、サーバ上で行われる不審な活動を早期に可視化することが可能です。
参考記事:
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)