このレポートには、犯罪者による金銭などの経済的な利得を目的とした攻撃、消費者を標的とした攻撃に関するデータと、RSA Fraud & Risk Intelligenceチームによる分析が掲載されている。
1. 2018年第1四半期の犯罪の攻撃傾向
フィッシング攻撃は、従来の金融機関の利用者を狙ったオンライン犯罪の手段として確立されただけでなく、「本物」につながるリンク、メッセージ、アカウント、個人、サイトを巧妙に模倣することで、私たちの警戒心(セキュリティ意識)を薄めることにも成功した。
一方、世界に蔓延した銀行顧客を狙うマルウェア=トロイの木馬からは、多種多様な亜種が生まれ、サイバー犯罪の自動化にもつながっている。これらの不正なプログラムは、私たちの目に付かないよう密やかに仕事をこなすため、検知された時には手遅れということもしばしば起きている。
●犯罪攻撃のタイプ別発生状況
サイバー攻撃はタイプ毎に異なるレベルのリソース調達力や技術的競争優位性を要求する。そのため、こうした統計情報を経時的に観測、把握することで、犯罪者の攻撃方法の嗜好性を垣間見ることができ、ひいては攻撃に対するより効率的な対応につながる。
2018年第1四半期、フィッシング攻撃は観測されたサイバー攻撃のほぼ半数を占めた。フィッシング攻撃は、オンライン犯罪攻撃手法の中でも最も古いタイプに含まれるものであるにもかかわらず、今なお最も幅広く使われている。その理由は、電子メールのように単純なローテク攻撃手法の組み合わせで、必要なリソースも少ないなど、技術的な参入障壁が低いためかもしれない。
一方、トロイの木馬は、第1四半期に観測された攻撃のうち4分の1を占めている。そこには、サイバー地下市場でサービス型マルウェアキットの提供が増えていることが影響している可能性がある。
2018年第1四半期、RSAは8,000を越える不正なモバイルアプリケーションを検知した。これは、観測された攻撃全体の6%に相当する。モバイルチャネルにおける犯罪行為が蔓延している様子は、後のセクションでも紹介する。
●フィッシング:攻撃対象となった国と攻撃がホストされた国
・フィッシング攻撃の対象となった国々
頻繁にインターネット犯罪の標的となっている国は、技術の普及水準や地政学的状況や関係性の違いという視点で見たときに、世界で最も進んだ国であることが多くなる。また、これらの国々は、基本的に犯罪者が高い優先順位を継続的に置いている地域でる。犯罪者がこれらの国々に高い優先順位を置く理由としては、自身がこれらの地域で多くの成功体験を持っている、などの理由が考えられる。継続的にこのリストを注視していくことで、フィッシング犯罪者がそれぞれの場所で得た成功、それに応じた重要な変化や意図などに気づくことができる。
・フィッシング攻撃がホストされた国々
フィッシング攻撃に関与したインターネット接続サービスが運用されていた、つまり、ホストされていた場所を地理的に観察すると、いくつかの特筆すべき例外を除き、多くがフィッシング攻撃の標的にもなっていることがわかる。特筆すべき例外というのは、例えばロシア連邦や中国は攻撃対象となるより、攻撃をホストした国としてリストに登場することの方が圧倒的に多くなっているという点だ。
このリストに掲載されるということは、必ずしも、国家として犯罪を推奨しているとか、支援しているということを示しているわけではない。しかし、重要な機関や法的枠組みに十分なサイバーセキュリティ意識が浸透していない国なのではないかという、先入観を与えかねない。
2. 消費者を狙った犯罪の傾向
RSA Fraud & Risk Intelligenceチームは、消費者を狙った犯罪に関するデータを分析し、主要な組織にセキュリティとリスク管理の意思決定に関する情報を提供すると同時に、消費者を狙った金融関連のサイバー犯罪攻撃を認知、防止、削減することで、公益に貢献もしている。
ここで紹介する内容は、現在の消費者を取り巻く犯罪的環境の枠組みを包括的に捉え、金融とeコマースの両エリアを横断的にフォーカスして、オンライン犯罪にかかわる幅広い指標を追跡することで、オンライン犯罪に関する傾向の特定を目指している。
●チャネル別に見る犯罪的取引の発生状況
・取引方法
消費者が金融システムとやり取りする方法は、消費者や一般社会における技術への適合状況を表している。また、利用者の振る舞いにおける全体的な変化も示唆している。そのために、他の不正に基づく要素も踏まえて、ウェブブラウザー、モバイルブラウザー、モバイルアプリケーションという3つの手段を、テクノロジーの不正利用の状況を把握するためのベースラインとして選んでいる。
2018年第1四半期、RSAが観測したモバイルブラウザーとモバイルアプリケーションを使った取引は全体の55%を占めた。取引の全体の数字は、前四半期比で変化はなかったが、前年同期比ではモバイルアプリケーションの利用が6ポイント増加したこともあって、モバイルの比率が9ポイント(モバイルブラウザーとモバイルアプリケーションを合わせた数字)増加している。
・不正取引の方法
同様に、サイバー犯罪者が金融システムとやり取りする方法も、技術的視点でのセキュリティ状態を物語っており、攻撃者の戦術、技術、流儀などの変遷を示唆している。他の犯罪に関する要素を踏まえても、ウェブブラウザー、モバイルアプリケーションやモバイルブラウザーを使った不正な取引の発生状況は、不正な目的のためにこうした技術を使うことの有効性の指標として使えると、RSAは考えている。
第1四半期、モバイルアプリケーションとモバイルブラウザーの取引は、不正な取引全体の65%を占めた。これは、前四半期から2ポイントの減少を意味する。前年同期との比較では、モバイルチャネルを用いた不正な取引は4ポイント増加している。
●取引単価に見る犯罪的取引の状況(出典:RSA Fraud & Risk Intelligence Service, 2018年1月~3月)
犯罪者は盗んだクレジットカード情報を使って転売・換金のしやすい高額な商品を購入するため、不正な取引の1件あたりの平均値は、おおむね正規の取引よりも高額になる傾向がある。それでもなお、正規の取引と不正な取引の間の消費水準の違いから得られる洞察がある。
第1四半期に確認された正規取引の単価と不正取引の単価の間で最も大きな違いが生じていたのはEU(英国を含まない欧州)で、不正な取引1件あたりの平均は、正規の取引より152%高い439米ドルだった。南北アメリカでは、取引単価の違いは144%とEUに比べて小さかったものの、不正取引の平均単価は508米ドルとEUを上回っている。
●デバイスエイジとアカウントエイジ(出典:RSA Fraud & Risk Intelligence Service, 2018年1月~3月) 分析
「デバイスエイジ」とは、デバイス(ノートPCやスマートフォンなど)が本人によって利用されたと、RSA Fraud Platformが判断した期間の長さになる。信頼できるデバイスは、デバイスエイジが30日以上のもの。逆に新しいデバイスとは、デバイスエイジが1日未満のもの。
同様に「アカウントエイジ」とは、そのアカウントが本人によって利用されたと、RSA Fraud Platformが判断した期間の長さだ。信頼できるアカウントは、アカウントエイジが90日以上のもの。逆に新しいアカウントとは、アカウントエイジが1日未満のものになる。
ちなみに、ログインや取引時に正しいユーザーを排除してしまうと、顧客との間でトラブルが生じる。こうした偽陽性を最小化する上で、正確なデバイス識別は大変重要なポイントとなる。
・eコマース
第1位四半期、eコマースにおける不正な取引の81.6%(62.1%+19.5%)が新規のデバイスだった。つまり、それまでユーザーが使ったことのないデバイスによって行われたものになる。また、本人が作成したことが確認されて一定の期間が経過しているアカウントを使って行われた不正な取引の62%が、新規デバイスを使って行われていた。
つまり、この値は、犯罪者が複数の店舗に対して同一のアカウント情報を使って取引を企図するアカウント乗っ取りやクレデンシャルスタッフ(窃取したログイン情報の一覧を様々なサイトで自動的に入力してログインできるかどうか調べる攻撃)といった攻撃の発生状況に関する指標になるということだ。
・オンラインバンキング:ログイン
正規の取引の中で、新しいデバイスから新しいログイン情報を使って行われたケースは0.4%だけであったのに対し、同じ組み合わせで行われた不正な取引は第1四半期に観測された不正な取引全体の32%を占めている。このパターンは、犯罪者が、ログイン情報を活用して、現金化に必要なミュール(窃取した情報で不正購入した物品や不正送金の送り先)アカウントの作成を企図していると考えられる。
・オンラインバンキング:支払い
ログインにおける不正と同様に、新しいアカウント、新しいデバイスの組み合わせは、正しい取引においては全体のわずか0.4%だったのに対し、不正な取引においては全体の22%を占めた。こちらも、潜在的なマネーミュール行動である可能性を示していると言える。不正取引の中で最も比率が高かったのは、新しい端末から信頼できるログイン情報を使って行われたもので、銀行利用者を狙ったマルウェアに感染した端末から中間者攻撃型のアカウント乗っ取りが行われた結果である可能性が高いと考えられる。
●RSAが取り戻した漏えいクレジットカード情報(出典:RSA Fraud & Risk Intelligence Service, 2018年1月~3月)
・分析
2018年第1四半期、RSAは310万枚を越えるクレジットカード情報を信頼に足る地下市場のオンライン闇店舗で確認し、再発行手続きにつなげることで回復に貢献した。多くのクレジットカード情報販売店が同じデータベースを共有しているため、監視の際には注意しないと同じデータを重複して扱っていることに気づかない恐れがある。
例えば、リカバー済みのクレジットカード情報を何度も検知するなどがそれにあたる。RSAでは、監視対象を適切に管理することで、こうした事態を回避している。従って、ここで紹介している値は「のべ」の数字ではなく、ユニーク件数となっている。
3. 特集:犯罪サブレディットを閉じたReddit
Reddit(英語圏のウェブサイト)は、犯罪者たちが連絡を取ったり犯罪の舞台として利用したりする、数あるソーシャルメディアプラットフォーム(SMP)の1つだ。犯罪者たちは、Redditを主に、連絡先の交換、自らのサービスの宣伝、ダークウェブ犯罪フォーラムの信頼できる情報源として利用している。近ごろ、Redditのソーシャルニュースとメディアのアグリゲーションサイトは、大量の犯罪に関するサブレディット(Redditのセクション)を閉鎖した。
Redditで犯罪に関係するセクションが閉鎖されるのはこれが初めてではないが、最近行われた閉鎖措置は、最も有名なセクションが対象となったことで、量的な面からとても大きなできごとになった。つまり、この閉鎖とそれに伴うポリシーの変更は、参加者、つまり犯罪者たちの間に強い反応を誘発した。愛用のプラットフォームが失われてしまうことを受けて、代替策やバックアップ方法などに関する情報が犯罪者たちの間で飛び交った。
閉鎖された犯罪に関するディスカッションに参加していた連中を含め、犯罪者たちは、こうしたポリシーの変更やセクションの閉鎖が行われるのではないかと長らく危機感を示してきた。準備段階において、その時点で機能停止してしまっていたサブレディットからデータや削除されたコンテンツをバックアップさせろ、削除コンテンツをダウンロードできるリンクを提供しろ、などと主張する輩も現れた。
・まとめ
Redditは、もっぱら犯罪にフォーカスしたコンテンツが掲載されたサブレディットを閉鎖することで、そのプラットフォーム上で行われるサイバー犯罪活動の防止について態度を鮮明にしたと言える。この閉鎖措置の実施以来、犯罪者たちはみずからの違法行為についてあまりとやかく言わないであろう代替プラットフォームへの適合を迅速に進めているように見受けられる。
クレジットカードストア、犯罪マーケットプレイス、地下フォーラムなどの運営などにブロックチェーンのような新しいインフラを活用して、自らの犯罪活動の幅を拡げようとする犯罪者たちも現れている。RSAは、ソーシャルメディア、ブロックチェーン、はてはIoTデバイスでさえも、犯罪に利用されかねないと危惧している。RSAは、こうした犯罪のトレンドを引き続き注視し、随時報告していく。
4. 日本でホストされたフィッシングサイト(月次推移)
日本でホストされたフィッシングサイト数は、2018年に入って大きく減少した。増加傾向に転じた3月の数字も前年同期比で20%、すなわち80%減となっている。
フィッシング対策協議会によると、国内で報告されたフィッシング攻撃件数は、2018年に入って一段と増加している。昨年の累計9,812件も極めて高水準だったが、今年はまだ半年にも満たない5月末の段階で8,220件と昨年の累計に迫る勢いとなっている。個別の攻撃では、引き続き金融機関やApple、Amazon、LINEを騙ったものが大半を占めている。
