米国インターネット検索大手「Yahoo」は、2016年9月22日(米国時間)、不正アクセスにより約 5億件のユーザ情報が流出したことを発表しました。影響を受けるアカウントは、「Yahoo Mail」、「Yahoo Finance」、「Yahoo Fantasy Sports」、および写真共有サイト「Flicker」となります。テクノロジー関連大手の同社は、最高情報セキュリティ責任者 Bob Lord氏により、この事件の概要および対応計画を同社の「Tumblr」にて迅速に公開しました。そして、この事件については捜査中であること、今後の管理保護計画、そしてセキュリティ上必要な対応について説明しています。また、今回のアカウント情報の流出は2014年後半に発生していたことも認めており、ユーザの氏名、Eメールアドレス、生年月日、パスワード、セキュリティーの質問と答えなどのアカウント情報が窃取されたと報告しています。一方 Lord氏は、現時点において、ユーザの決済カード情報または銀行口座情報などが窃取された証拠は認められておらず、これら情報を保有しているシステムは今回の情報流出の影響を受けていないと言及しています。
続きを読むコマンド&コントロール(C&C)のサーバに正規サービスを利用することは、検出を回避するためによく利用される手法です。ランサムウェアは、通常、収集した情報を自身のC&Cサーバへそのまま送信しますが、中にはそうでないファミリも存在します。例えば、暗号化型ランサムウェア「cuteRansomware(キュートランサムウェア)」は、ユーザの PC から収集した情報を送信するために、Google の文書・表計算・プレゼンテーション作成アプリケーション「Googleドキュメント」を利用します。
続きを読む2015年に発生した年金受給者に関する個人情報漏えい事故や、2016年に入って発生した旅行予約者に関する個人情報漏えい事故は、知名度の高い組織が標的型サイバー攻撃に遭ったことと、漏えいした可能性のある個人情報の量と種類も要因となり大きく報道を賑わせました。トレンドマイクロでは、日本国内の民間企業や官公庁自治体におけるセキュリティインシデントや対策の実態を把握する目的で、「法人組織におけるセキュリティ対策実態調査 2016年版」調査を実施しました。
調査の結果、国内の法人組織の実に 38.5%が「個人情報の漏えい」や「生産・操業停止」など、ビジネスに影響を及ぼす「深刻なセキュリティインシデント」を 2015年一年間に経験したと回答しました。「社員情報の漏えい(23.3%)」や「顧客情報の漏えい(19.4%)」に代表されるように、保有する個人情報が多くの法人組織で漏えいしていることが分かります(図1)。また近年急速な勢いで深刻な問題になっているランサムウェアによるものと考えられるデータ破壊など、実に様々な深刻な被害が発生していることが明らかになりました。
図1:深刻なセキュリティインシデント被害内訳
■ 標的型サイバー攻撃発生時に求められる意思決定の難しさ
100万件以上の個人情報が漏えいした2015年6月の日本年金機構の事件後も、企業を狙う標的型サイバー攻撃の被害は後を絶ちません。標的型サイバー攻撃の侵入方法は93%が標的型メールを発端としており、その内容は非常に巧妙で、標的型サイバー攻撃の脅威を完全に防ぐことは難しいのが現状です。そのため、企業は標的型サイバー攻撃の被害に遭った場合を想定した対策、インシデント対応の体制をあらかじめ整えておくことが不可欠になっています。
トレンドマイクロは、標的型サイバー攻撃キャンペーン「IXESHE(アイスシ)」を2012年から監視しています。2009年に活動を開始したこのキャンペーンは、東アジア圏の政府機関や企業、ドイツの企業を主に標的にしてきました。しかし、今回その手口を変えて、再び米国のユーザを標的にしているようです。
続きを読むバングラデシュや、ベトナム、エクアドルの銀行を襲ったサイバー銀行強盗事件について多くの報道がなされ論議を呼んでいます。これらの事件ではいずれも、世界中の金融機関で利用されている金融メッセージ通信サービス「国際銀行間通信協会(Society for Worldwide Interbank Financial Telecommunication、SWIFT)」のネットワークが狙われていました。SWIFT が提供するネットワークは、銀行、金融ブローカー、外国為替証拠金(FX)取引業者、投資会社など1万以上の金融機関に利用されています。これら一連のサイバー銀行強盗事件からは、「攻撃者がどのようにして侵入の足掛かりをつくり、取引行使や支払い指示の権限を得たのか」、「どのような不正プログラムを利用したのか」、そして「このような不正活動を検出するために必要なセキュリティ対策は何か」といった問いが提起されます。
続きを読む2015年4月、標的型サイバー攻撃キャンペーン「Pawn Storm作戦」が、情報窃取型不正プログラムを利用し独連邦議会の PC を攻撃したことが報道されました。Pawn Storm作戦によるドイツへの政治的攻撃が確認されたのはこの時が初めてでしたが、その1年後、この諜報活動を目的とした集団による攻撃が再び確認されました。
続きを読むオランダやルーマニアを拠点にしている小規模なサーバホスティング事業者が、2015年初頭以来、標的型攻撃や標的型サイバー攻撃の温床となっています。トレンドマイクロでは、2015年5月から現在まで、この小規模ホスティング事業者提供のサーバに端を発する深刻なサイバー攻撃を100件以上確認しています。攻撃キャンペーン「Pawn Storm作戦」でも、米国、欧州、アジア、中東各地の政府を標的とした少なくとも80件の攻撃で、同様のサーバが利用されています。このホスティング事業者は、正式には「仮想専用サーバ(VPS)」のホスティング事業者としてアラブ首長国連邦(UAE)のドバイで登記されています。しかしインターネット上の公開情報によると、この事業者のオーナーがUAEの法律など気に留めていないことは明らかです。実際、Pawn Storm作戦やその他の攻撃でも、この VPS事業者のサーバが利用され、認証情報窃取のフィッシング詐欺を介して UAEの政府系機関を標的にしています。パレスチナのガザに拠点を置くハッカー集団としても知られる「DustySky」の攻撃者も、コマンド&コントロール(C&C)サーバのホスティングや標的型メールの送信で、この VPS事業者のサーバを定期的に利用しています。
続きを読む