SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

パロアルトネットワークス、マカフィー、トレンドマイクロの2019年セキュリティ総括と2020年予測

 年末年始にかけてパロアルトネットワークス、マカフィー、トレンドマイクロはそれぞれ記者説明会を開催し、2019年のサイバー攻撃の動向を振り返り、2020年の予測を発表した。警戒すべき脅威について見渡してみよう。

7Pay、内定辞退率データ、AWS障害、それぞれに教訓を残した2019年

 2019年のセキュリティインシデントとして記憶に残るものはなぜか夏に集中し、それぞれに教訓を残した。最もインパクトが大きかったのはセブン&アイ・ホールディングスのスマートフォン決済サービス「7Pay」だろう。サービス開始後に不正アクセスがあり、最終的にはサービス廃止に追い込まれた。スマホアプリにおける本人確認(二段階認証)の重要性を広く周知した。

 就職情報サイト「リクナビ」での内定辞退率データ販売は個人情報保護のありかたについての問題提起へとつながった。8月下旬にはクラウドサービスAWSの東京リージョンに属するデータセンターでサーバーが過熱し、EC2やRDSでサービス障害が生じ、多くのサイトが影響を受けた。この規模の障害はそう滅多に起きないものの、自社サービスをクラウドで構築する場合の冗長構成について考えさせられた企業は少なくなかったはずだ。

 海外では7月末にアメリカ金融大手Capital Oneにて、1億人以上の個人情報漏えいが生じた。当初は内部犯行が疑われたものの、実はWAFで設定ミスがあり、その隙を突かれたものだった。クラウドを使う場合に施すべきセキュリティ対策を見直す機会になった。

 2019年のセキュリティ脅威としてパロアルトネットワークス、マカフィー、トレンドマイクロの3社が異口同音に挙げたのが「Emotet」。これはトロイの木馬型(バックドア型)マルウェアで、2014年から確認されていたものの、2019年後半から姿を変えて活発化しており注意が必要だ。

 主にメールに添付されるOffice文書で届き、マクロ機能を有効化すると感染する。感染端末からメールアカウントやアドレス帳の情報を収集して自らを拡散したり、別のマルウェアをインストールしたりする。感染端末のメールボックスにある実際のやりとりを流用してマルウェアを配布するため、受信側はマルウェアと気づきにくく、感染が広がっている。こまめにアクセス先やペイロードの内容を変えるため、アンチウィルスソフトで捕捉しにくいという厄介な特徴がある。

まさかの二段階認証突破 パスコードが攻撃者に渡る手口

 トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏は2019年を「常識を覆すサイバー犯罪(が登場した)」と評した。「これなら安心」と思える場面で隙を突く攻撃手法が登場したためだ。

トレンドマイクロ セキュリティエバンジェリスト 岡本 勝之氏
トレンドマイクロ セキュリティエバンジェリスト 岡本 勝之氏

 2019年秋ごろから二要素認証をすり抜ける詐欺手口が出てきている。二段階認証は不正アクセスを防ぐための有効な方法と認知されている。サイトは正規のユーザーだけが知り得るワンタイムパスワードやコードをSMS、アプリ、専用端末などを通じて発行するのだが、このワンタイムパスワードを攻撃者が横取りする手法が出てきている。

 やりかたはこうだ。攻撃者は最初にメールやSMSなどで「セキュリティ強化のため、こちらをクリックしてください」などと、フィッシング詐欺のメールを送りつける。ユーザーがリンクをクリックすると、本物に似たページが開き、IDやパスワードなどの入力が促される。ユーザーが入力すると、ログインに使う情報が攻撃者に渡る。ここまではこれまでと同じ。

 ここからが新しい。攻撃者は偽サイトに「処理中」のような画面を出し、その裏で入手したログイン情報で正規のサイトにログインを試みる。正規のサイトはログインリクエストがあったため、二段階認証のワンタイムパスワードを発行する状態となる。攻撃者は偽サイトに「ワンタイムパスワードを入力してください」と入力を促す画面を表示させ、正規のユーザーはワンタイムパスワードを偽サイトに入力すると情報が攻撃者に渡ってしまい、攻撃者は正規のサイトにログインできてしまうという具合だ。

 なお、ユーザーが通常とは異なる環境からアクセスした場合に警告を発するようなサイトなら、この手口が成功する確率は低くなる。岡本氏は「対策が施されてないサイトが狙われる」と警告する。

 またSMS送信元を偽装するケースも出てきている。多くのスマートフォンにおいて、SMSは送信元ごとにスレッドがまとめられる。送信元の電話番号または事業者名が同じなら同じスレッドにSMSのメッセージが並ぶ。こうした仕組みを悪用し、攻撃者はSMS送信元をよくある事業者名に変えて送信する。そうすると、正規の事業者からのSMSに偽のSMSが混じるため、ユーザーは偽装に気づきにくくなる。

 岡本氏は「手口を知り、だまされないように意識すること。安易にURLをクリックしないこと」とアドバイスした。過去に流出したログイン情報を使うアカウントリスト攻撃があることから、「複数のサイトでパスワードの使い回しをしないこと」とも付け加えた。

次のページ
コンテナ環境を狙ったワームが普及 IaaSでは脆弱性管理を怠らずに

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/12680 2020/01/14 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング