7Pay、内定辞退率データ、AWS障害、それぞれに教訓を残した2019年
2019年のセキュリティインシデントとして記憶に残るものはなぜか夏に集中し、それぞれに教訓を残した。最もインパクトが大きかったのはセブン&アイ・ホールディングスのスマートフォン決済サービス「7Pay」だろう。サービス開始後に不正アクセスがあり、最終的にはサービス廃止に追い込まれた。スマホアプリにおける本人確認(二段階認証)の重要性を広く周知した。
就職情報サイト「リクナビ」での内定辞退率データ販売は個人情報保護のありかたについての問題提起へとつながった。8月下旬にはクラウドサービスAWSの東京リージョンに属するデータセンターでサーバーが過熱し、EC2やRDSでサービス障害が生じ、多くのサイトが影響を受けた。この規模の障害はそう滅多に起きないものの、自社サービスをクラウドで構築する場合の冗長構成について考えさせられた企業は少なくなかったはずだ。
海外では7月末にアメリカ金融大手Capital Oneにて、1億人以上の個人情報漏えいが生じた。当初は内部犯行が疑われたものの、実はWAFで設定ミスがあり、その隙を突かれたものだった。クラウドを使う場合に施すべきセキュリティ対策を見直す機会になった。
2019年のセキュリティ脅威としてパロアルトネットワークス、マカフィー、トレンドマイクロの3社が異口同音に挙げたのが「Emotet」。これはトロイの木馬型(バックドア型)マルウェアで、2014年から確認されていたものの、2019年後半から姿を変えて活発化しており注意が必要だ。
主にメールに添付されるOffice文書で届き、マクロ機能を有効化すると感染する。感染端末からメールアカウントやアドレス帳の情報を収集して自らを拡散したり、別のマルウェアをインストールしたりする。感染端末のメールボックスにある実際のやりとりを流用してマルウェアを配布するため、受信側はマルウェアと気づきにくく、感染が広がっている。こまめにアクセス先やペイロードの内容を変えるため、アンチウィルスソフトで捕捉しにくいという厄介な特徴がある。
まさかの二段階認証突破 パスコードが攻撃者に渡る手口
トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏は2019年を「常識を覆すサイバー犯罪(が登場した)」と評した。「これなら安心」と思える場面で隙を突く攻撃手法が登場したためだ。
2019年秋ごろから二要素認証をすり抜ける詐欺手口が出てきている。二段階認証は不正アクセスを防ぐための有効な方法と認知されている。サイトは正規のユーザーだけが知り得るワンタイムパスワードやコードをSMS、アプリ、専用端末などを通じて発行するのだが、このワンタイムパスワードを攻撃者が横取りする手法が出てきている。
やりかたはこうだ。攻撃者は最初にメールやSMSなどで「セキュリティ強化のため、こちらをクリックしてください」などと、フィッシング詐欺のメールを送りつける。ユーザーがリンクをクリックすると、本物に似たページが開き、IDやパスワードなどの入力が促される。ユーザーが入力すると、ログインに使う情報が攻撃者に渡る。ここまではこれまでと同じ。
ここからが新しい。攻撃者は偽サイトに「処理中」のような画面を出し、その裏で入手したログイン情報で正規のサイトにログインを試みる。正規のサイトはログインリクエストがあったため、二段階認証のワンタイムパスワードを発行する状態となる。攻撃者は偽サイトに「ワンタイムパスワードを入力してください」と入力を促す画面を表示させ、正規のユーザーはワンタイムパスワードを偽サイトに入力すると情報が攻撃者に渡ってしまい、攻撃者は正規のサイトにログインできてしまうという具合だ。
なお、ユーザーが通常とは異なる環境からアクセスした場合に警告を発するようなサイトなら、この手口が成功する確率は低くなる。岡本氏は「対策が施されてないサイトが狙われる」と警告する。
またSMS送信元を偽装するケースも出てきている。多くのスマートフォンにおいて、SMSは送信元ごとにスレッドがまとめられる。送信元の電話番号または事業者名が同じなら同じスレッドにSMSのメッセージが並ぶ。こうした仕組みを悪用し、攻撃者はSMS送信元をよくある事業者名に変えて送信する。そうすると、正規の事業者からのSMSに偽のSMSが混じるため、ユーザーは偽装に気づきにくくなる。
岡本氏は「手口を知り、だまされないように意識すること。安易にURLをクリックしないこと」とアドバイスした。過去に流出したログイン情報を使うアカウントリスト攻撃があることから、「複数のサイトでパスワードの使い回しをしないこと」とも付け加えた。
