昨今の法人組織を取り巻くサイバー攻撃の脅威は深刻な状況となっており、情報漏えいなどの重大な被害につながる恐れがある標的型サイバー攻撃の手口は巧妙化を続けています。トレンドマイクロが公開した「国内標的型サイバー攻撃分析レポート 2018 年版」では、2017 年にトレンドマイクロがネットワーク監視を行った法人組織のうち、「4 組織に 1 組織」で端末を遠隔操作するためのツールである Remote Access Tool(RAT)の活動が確認され、すでに標的型サイバー攻撃に侵入されてしまっていたことが分かっています。この傾向は標的型サイバー攻撃の事例が顕著だった2015年から変動することなく継続しており、表面化していないものの標的型サイバー攻撃は国内の法人組織にとって依然深刻な脅威となっています。
図:ネットワーク監視対象組織における標的型サイバー攻撃の検出割合(2017年、n=100)
金融サービスは、技術の面で変化を続けています。ATM の革新的な進歩 や仮想通貨の普及はその一例です。仮想通貨「Bitcoin(ビットコイン、BTC)」を扱う ATM は、それら 2 つの変化が交差したものだと言えるでしょう。
ビットコイン ATM は、一見すると通常の ATM のようですが、いくつかの重要な面で通常の ATM とは異なります。もっとも大きな違いは、銀行口座と連携していないという点です。代わりに、ビットコイン ATM は、仮想通貨を売買する取引所と連携しており、購入したビットコインは、顧客のウォレットに保管されます。つまり、ビットコイン ATM は、現金自動預け払い機という意味での ATM というよりは、ユーザが仮想通貨取引所と通信するためのキオスク端末のようなものです。
続きを読むトレンドマイクロは、「タイポスクワッティング(Typosquatting)」と呼ばれる古い手法を利用し、意図していない Web サイトにユーザを誘導する新しい攻撃を確認しました。タイポスクワッティングは、人気のある Web サイトに類似したドメインを利用し、タイプミスによって攻撃者が管理するドメインにアクセスしたユーザを不正な Web サイトに誘導する手法です。この手法は、2000 年代前半からしばしば利用されているため、多くのユーザは既に注意を払っているかもしれません。しかし、新たな攻撃が確認されているという事実は、タイポスクワッティングが、古い手法であるにもかかわらず依然として有効であることを示しています。
今回確認された攻撃は、脅威が検出されたと警告する Web サイトにMac ユーザを誘導し、「Potentially Unwanted Application(迷惑アプリ、PUA)」をダウンロードさせるというものでした。
図 1:迷惑アプリをインストールさせる流れ
2017 年末に登場し 2018 年を通じて継続して確認されている、有名企業を偽装するショートメッセージ(SMS)による Android 向け不正アプリの拡散ですが、この 7 月にはさらに攻撃規模を拡大していることがわかりました。この攻撃に関しては本ブログでも数回にわたり(1 月 15 日の記事、2 月 2 日の記事、6 月 26 日の記事)取り上げていますが、この 7 月には不正アプリ本体から自身を拡散させるための偽装 SMS を送信するなど、大きな活動内容の変化が見られました。この変化の影響は大きく、国内から多くのモバイル利用者が不正アプリをインストールさせる偽サイトへ誘導されていたことがわかりました。トレンドマイクロのクラウド型次世代セキュリティ技術基盤である「Smart Protection Network(SPN)」の統計から、この攻撃の偽装 SMS 経由で誘導される不正サイトに対し、国内モバイル端末からアクセスした利用者数を確認したところ、4~6 月の 3 カ月間を合わせても 1,600 件程度だったのに対して、7 月の 1 カ月間だけで 8,000 件を超えており、この 7 月に急激な攻撃の拡大が起こっていたことがわかります。
図:宅配物の不在通知を偽装した SMS メッセージの例
