中国ハッカー、ウイグル族をスパイ Facebook発表

https://www.nikkei.com/article/DGXZQOGN250S50V20C21A3000000/

『【シリコンバレー=奥平和行】米フェイスブックは24日、中国のハッカー集団による在外ウイグル族の監視や追跡を目的としたスパイ活動を検知し、偽アカウントの削除などの対策を講じたと発表した。SNS(交流サイト)の不正利用への批判が広がるなか、バイデン米政権が重視する人権問題への対応を強める。

「アース・エンプーサ」「イービル・アイ」などの名前で知られる中国のハッカー集団が同社のSNSを利用したスパイ活動…

この記事は会員限定です。登録すると続きをお読みいただけます。

残り403文字

すべての記事が読み放題
有料会員が初回1カ月無料

有料会員に登録する
https://www.nikkei.com/r123/?ak=https%3A%2F%2Fwww.nikkei.com%2Farticle%2FDGXZQOGM010QT001022021000000&n_cid=DSPRM1AR07

無料会員に登録する
https://www.nikkei.com/r123/?ak=https%3A%2F%2Fwww.nikkei.com%2Farticle%2FDGXZQOGM010QT001022021000000&n_cid=DSPRM1AR07#free

ログインする
https://www.nikkei.com/login

「アース・エンプーサ」「イービル・アイ」などの名前で知られる中国のハッカー集団が同社のSNSを利用したスパイ活動に従事していた。トルコやカザフスタン、米国などに住むウイグル族を対象としていた。

偽アカウントを使い、新疆ウイグル自治区に関係する人権活動家やジャーナリストを偽ニュースサイトなどに誘導していた。偽サイトでマルウエア(悪意のあるソフト)をダウンロードさせたりし、情報端末を通じて所有者の行動を監視・追跡していたもようだ。

実在のアプリ配信サービスをまねた偽サービスを通じ、マルウエアを組み込んだスマートフォンのアプリをダウンロードさせる手法もとっていた。フェイスブックでセキュリティー政策責任者を務めるマイク・ドビリアンスキー氏は「一連の活動には十分な資金力がある強力な組織の形跡がある」としている。

フェイスブックはスパイ活動を封じるために偽アカウントを削除した。また、マルウエアのダウンロードにつながるウェブサイトをSNSで共有できなくしたほか、攻撃対象になった恐れがある利用者に注意喚起したと説明している。

【関連記事】

音声SNSのクラブハウス、中国で利用規制か
TikTokは危険なのか 変わるデータと国家の関係
[FT]Zoom社員起訴が示す警鐘

多様な観点からニュースを考える
※掲載される投稿は投稿者個人の見解であり、日本経済新聞社の見解ではありません。

竹内薫のアバター
竹内薫
サイエンスライター
コメントメニュー

分析・考察 正直、国家レベルで支援されている可能性のある黒ハッカー集団から身を守るのは、至難の業ですよね。昔のスパイ合戦はリアルでしたが、いまは完全に主戦場がネットになりました。私も中国系のアプリは怖いので、なるべく使わないようにしています。

2021年3月25日 12:42いいね
3

土屋大洋のアバター
土屋大洋
慶應義塾大学 総合政策学部学部長
コメントメニュー

ひとこと解説 よくある手法とはいえ、露骨とも言えます。怪しいリンクをクリックしないと言っても、手の込んだものは怪しく見えないこともあります。まして広く情報を共有したいと思っている人たちはネットワークの拡大に積極的ですから、知らない人からのフレンド要請にも応じるでしょう。フェイスブックが対応してくれるのは良いことだとは思いますが、表現の自由との兼ね合いで過剰な取り締まりもできません。SNSは完全に自由で開かれたメディアとは言えませんが、アメリカ的価値観の下では、できるだけ自由で開かれている必要があるでしょう。中国はそれに乗じていると言えます。

2021年3月25日 12:23いいね
2

LINEでの行政サービスを停止 総務省 政府、各省庁で利用状況を調査

https://www.nikkei.com/article/DGXZQODE18DVS0Y1A310C2000000/

『武田良太総務相は19日の閣議後の記者会見で、総務省が対話アプリ「LINE」を通じて提供している行政サービスの運用を停止する考えを示した。国内利用者の個人情報が中国でアクセスできる状態になっていた問題を受けた措置だ。

【関連記事】
LINE、個人データ管理不備で謝罪 中国委託先で閲覧可能
LINE、情報保護に穴 ルール整備不可欠
LINEの情報管理、安保上の懸念も 国際分業に潜むリスク

停止の対象となるのは意見募集や問い合わせの対応など。LINEのような外部サービスで業務上の情報を扱わないよう、職員に注意喚起した。

全国の自治体がLINEをどう活用しているか調査に乗り出したことも明らかにした。自治体では粗大ゴミの収集や保育所入所などの申請に活用しているケースがある。26日までに報告を求め、セキュリティー面での対応を検討する。

菅義偉首相は19日午前の参院予算委員会で、LINEに関して各省庁で職員の利用状況の調査を始めたと表明した。民間アプリを使って機密情報を扱わないルールがあると紹介し「改めて確認している。引き続きセキュリティー確保に努めたい」と強調した。

自民党の山田宏氏はフェイスブックなど民間メッセージアプリの多くが外国製だと指摘し、国産アプリの開発支援を政府に求めた。梶山弘志経済産業相は「経済安全保障のひとつだと認識している」と述べた。

加藤勝信官房長官は19日の閣議後の記者会見で「内閣官房で現在、利用状況について改めて確認している。個人情報などの管理上の懸念が払拭されるまでは利用停止などの対応を予定している」と述べた。

【関連記事】
国内サーバーに32回アクセス LINEの中国関連会社

すべての記事が読み放題
有料会員が初回1カ月無料

有料会員に登録する
https://www.nikkei.com/r123/?ak=https%3A%2F%2Fwww.nikkei.com%2Farticle%2FDGXZQOGM010QT001022021000000&n_cid=DSPRM1AR07

無料会員に登録する
https://www.nikkei.com/r123/?ak=https%3A%2F%2Fwww.nikkei.com%2Farticle%2FDGXZQOGM010QT001022021000000&n_cid=DSPRM1AR07#free

ログインする
https://www.nikkei.com/login

LINE、個人データ管理に不備 中国委託先で閲覧可能に

https://www.nikkei.com/article/DGXZQODZ1709O0X10C21A3000000/

『LINEがシステム開発を委託している中国の関連会社で、国内利用者の氏名など個人情報に現地の技術者がアクセスできる状態になっていたことが17日、分かった。データの取り扱いなどを定めたプライバシーポリシーでも、海外からのアクセスについて十分な説明をしていなかった。LINEは政府の個人情報保護委員会に報告した。既に関連会社で閲覧ができないように対応済みとしており、近く調査のための第三者委員会を立ち上げる。

上海の関連会社の従業員4人が2018年8月から、国内にサーバーがある利用者データにアクセスできる状態だった。データには利用者の名前、電話番号、IDなどのほか、一部暗号化していなかった「トーク」の内容も含まれていたとみられる。LINEはこの関連会社について「業務に必要な範囲でアクセス権限をつけて管理していた。不適切なアクセスは把握していない」としている。

LINEは国内で8600万人が利用する。一部自治体で住民票や給付金などの申請窓口になっているほか、新型コロナウイルスワクチンの予約システムも提供するなどインフラとしての性格を強めている。同社や親会社のZホールディングスが、一連の経緯について17日に発表する。

すべての記事が読み放題
有料会員が初回1カ月無料

有料会員に登録する
https://www.nikkei.com/r123/?ak=https%3A%2F%2Fwww.nikkei.com%2Farticle%2FDGXZQOGM010QT001022021000000&n_cid=DSPRM1AR07

無料会員に登録する
https://www.nikkei.com/r123/?ak=https%3A%2F%2Fwww.nikkei.com%2Farticle%2FDGXZQOGM010QT001022021000000&n_cid=DSPRM1AR07#free

ログインする
https://www.nikkei.com/login

仮想通貨「NEM」不正交換容疑で約30人摘発 200億円分

https://www.nikkei.com/article/DGXZQODG21AIF0R20C21A1000000

 ※ デジタル・データは、これがあるからな…。

 ※ CBDC(中央銀行発行デジタル通貨)も、こういうことからは逃れられない…。

 ※ しかも、大規模停電、大規模ネットワーク障害に脆弱…、ときてるからな…。

 ※ 「正規の資産との交換に応じたヤツ」なんて、世界中に散らばっているから、現国家単位の警察力では、対応できるはずも無い…。

『暗号資産(仮想通貨)交換事業者「コインチェック」から2018年1月、約580億円相当の暗号資産「NEM(ネム)」が流出した事件で、警視庁がこれまでにNEMの不正な交換に応じたとみられる約30人を組織犯罪処罰法違反(犯罪収益収受)容疑で逮捕や書類送検したことが捜査関係者への取材で分かった。不正交換の摘発総額は約200億円分に上るという。

一方、流出に関与した首謀者らの摘発には至っていない。

事件では…

この記事は会員限定です。登録すると続きをお読みいただけます。

残り296文字

初割ですべての記事が読み放題
今なら2カ月無料!

初割で申し込む
https://www.nikkei.com/promotion/?ak=https%3A%2F%2Fwww.nikkei.com%2Farticle%2FDGXZQOGN04AVW004012021000000&n_cid=DSPRM1AR08

無料登録する
https://www.nikkei.com/r123/?ak=https%3A%2F%2Fwww.nikkei.com%2Farticle%2FDGXZQOGN16C7X016122020000000&n_cid=DSPRM1AR08#free

ログインする
https://www.nikkei.com/login

事件では、何者かがサイバー攻撃で同社のシステムに侵入し、NEMを外部に送金。その後、匿名性の高い闇サイト群「ダークウェブ」上で約580億円相当を相場より15%安いレートでほかの暗号資産との交換を持ちかけた。

【関連記事】
ダークウェブに捜査のメス 海外との連携に課題
流出「NEM」を不正交換容疑 警視庁、男2人逮捕

関係者によると、捜査当局は流出したNEMを追跡し、通常のインターネット上の暗号資産取引所で交換された際に、そこに登録された利用者の身元を特定するなどして捜査を進め、これまでに約30人を摘発したという。

暗号資産は利用者の氏名など個人情報を登録した取引所を介さなければ、所有者や受け取り手を特定するのが難しい。通常の通貨と比べ匿名性が高く、マネーロンダリング(資金洗浄)に悪用されるケースも多い。

この記事の英文をNikkei Asiaで読む https://asia.nikkei.com/Spotlight/Cryptocurrencies/Japan-police-target-about-30-people-linked-to-huge-cryptocurrency-heist?n_cid=DSBNNAR
Nikkei Asia

多様な観点からニュースを考える
※掲載される投稿は投稿者個人の見解であり、日本経済新聞社の見解ではありません。

山本由里のアバター
山本由里
日本経済新聞社 マネー編集センター マネー・エディター
コメントメニュー
別の視点マネーロンダリングの温床になりがちな暗号資産(仮想通貨)を巡る不透明性は変わっていませんが昨年は価格が大きく上昇。久々に利益をあげた人、新しく取引を始めた人も多いのではないでしょうか? 仮想通貨で20万円超の所得があれば会社員でも確定申告が必要です。含み益ではなく売買した場合ですが、要注意なのは日本円にして口座に戻した場合でなく、仮想通貨間の交換(例えばNEMからビットコイン)でも所得発生となります。確定申告期間は2月16日~3月15日。忘れないようにしましょう。
2021年1月22日 8:05いいね
9

Emotet(エモテット)の話し(その2)

※ Emotet(エモテット)の話し、途中になっていたな…。

※ コロナ騒ぎで、それどころじゃなくなったな…。あの時、画像も大分キャプチャしたはずだったが、もはやどこに行ったのか、見つけられなかった…。

※ それで、新たに検索かけて、別記事からキャプチャした…。

流行マルウェア「EMOTET」の内部構造を紐解く
2018.12.25
コンサルティングサービス事業本部
サイバーインテリジェンスグループ
吉川 孝志、菅原 圭
https://www.mbsd.jp/blog/20181225_2.html

吉川孝志の他のブログ記事を読む
https://www.mbsd.jp/blog/yoshikawa_index.html

菅原 圭の他のブログ記事を読む
https://www.mbsd.jp/blog/sugawara_index.html

東証でシステム障害、9時から全銘柄の売買停止

https://www.nikkei.com/article/DGXMZO64458110R01C20A0I00000/

※ やられたな…。

※ どこぞから、攻撃されたんだろう…。どうせ、標的メール経由の人的エラーが発端の可能性が、高いと思う…。

『東京証券取引所は1日、株価など相場情報の配信に障害が発生していると発表した。午前9時の取引開始から全ての銘柄で売買を停止する。復旧のめどはたっておらず、現在原因を調査している。

【関連記事】
名証も売買停止、システム障害で 再開未定
東証、障害で相対取引の売買も停止 大取の先物は通常稼働

大阪取引所の先物取引は通常通り取引されている。

名古屋証券取引所も同日、上場株式すべての売買を一時停止していると発表した。再開は未定。東京証券取引所の売買システムで相場情報の配信に障害が発生し、名証も同じシステムを使っているため。売買の注文自体を受け付けていないという。復旧については現在のところ未定。』

ドコモ口座パニック拡大、他人事ではない「本当に怖い落とし穴」

ドコモ口座パニック拡大、他人事ではない「本当に怖い落とし穴」
鈴木貴博:百年コンサルティング代表

ライフ・社会 今週もナナメに考えた 鈴木貴博
https://diamond.jp/articles/-/249070 

 ※ 以下の解説の通りだろう…。

 大概のケースにおいて、「標的メール」が端緒になる場合が殆んどだと思う…。

 生きてるメアドがある限り、標的メールは送られてくる…。そして、現代社会、ネット前提の社会において、「生きてるメアド」は、必ずや「流出」する…。アマゾンや楽天市場のようなECや、ネットバンキングを利用しない人は、まずいない…。ネット環境構築している人なら、まず利用する…。このジジイのオレにしても、そうだ…。しかも、最近ではソフトも、殆んどDL版を使うようになった…。「お試し版」とかで、「お試し」してから購入したいからな…。そうすると、生きてるメアドは、必ずや「流出」する…。そうすると、「標的メール」が1日に4個くらい送信されて来るようになる…。
 そういう時代だ…。そういう中を、掻い潜って行かないとならない世の中に、なっているんだ…。

 何回も言ったが、この世の中、「コンクリート・ジャングル」だ…。情報弱者では、喰われてエサになるだけだ…。情報強者にならない限り、エサにされるだけの話しだ…。

 自分の身は、自分で守る他はない…。あなたを庇護してくれる優しい人は、どこにもいないんだ…。

※ オレのところに送信されて来ている「標的メール」の一例だ…。昨日は、7個送られて来たな…。

※ 幸い今使っているメーリングソフト(シェアウェア)は、優秀だ…。ほぼ完璧に(上記では、一部標的メールじゃないのも、混じっているようだ…)標的メールを仕分けてくれている…。それでも、100%は信用せずに、注意深く吟味しているよ…。そういう世の中だ…。

『ドコモ口座不正引き出しが
今までのサイバー犯罪と違う点
「ドコモ口座」不正引き出し事件のパニックが、静かに広がりつつあります。後述するように、事件の経済被害自体は銀行やドコモから見れば少額で、そのこともあって、被害者を全面的に保護し、被害を補償する方向で対応が進みつつあります。

 一方で、今回のドコモ口座事件には、これまでのサイバー金融犯罪と比較して大きく違う点があります。それは、基本的に被害者がドコモと無関係の消費者だったことです。

 これまで不正利用というと、被害者は心当たりがあるケースばかりでした。たとえばクレジットカード被害に遭う場合、自分が持っているクレジットカードを誰かが不正に使うという被害だったので、明細書を見て使った覚えがない請求があったらそれに気づき、調査をかけてもらうことができました。

 昨年はセブン-イレブンが導入したセブンペイで、今回とよく似た不正利用被害が起きました。ただ、この事件における被害者はあくまでセブンペイの口座を自分で開いた人で、その後犯人グループから勝手にパスワードの変更をかけられ、口座を乗っ取られたというケースでした。なので、被害者は被害に遭う「心当たり」があったわけです。

 一方で今回のドコモ口座事件が怖いのは、被害者の大半がドコモユーザーではなかった点です。

 あるとき銀行通帳に記帳してみたら、ドコモ口座という身に覚えのないサービスから数度にわたって合計30万円が引き落とされている。慌ててドコモに問い合わせると、「そのドコモ口座はあなたの口座ではないので、情報を開示できない」と門前払いを食らわされる。事件が大きな社会問題になるまで、こんなことが起きていたのです。

 突然、通帳から大金がドコモに支払われて消えてしまう。訴えて口座を止めようにも対応してくれない――。銀行ユーザーから見れば対策のしようがありません。いったい何が起きているのか、パニックになるのは当然です。

1つユーザーが安心できることは、9月4日にドコモの丸山副社長に報告が上がって大問題になったことで、現在はドコモも責任を認め、過去に遡って全額補償を表明していることです。昨年5月にりそな銀行で最初の事件が起きた際には、もみ消されたといいます。その点では、これから先、万一被害に遭っても心配はいらないと思います。

 一方で心配なのは、9月15日の高市早苗総務大臣の記者会見において、総務省管轄のゆうちょ銀行にヒアリングをした結果、ドコモ口座以外にもペイペイなど5社で、即時振替サービスに関連した被害が起きていたことが公表されたことです。

 ドコモ口座と違って被害は一桁小さいとはいえ、ペイペイでは今年1月以降、17件141万円の被害が報告されました。ドコモ口座の上限が30万円なのと比較して、ペイペイの場合は上限が低いため、被害額は平均8万円と小規模ではありますが、被害者にとって甚大な損失であることには変わりありません。

銀行ユーザーに
とっての「2つの不安」
 そうした状況下、一般の銀行ユーザーにとって心配なことは、以下の2点です。

(1)なぜこのような被害に遭うのか。
(2)このような被害がこれからドコモ以外で起きたときも、補償してもらえるのか。

 先に述べてしまうと、この事件の最大の問題点と思われるのは、必ずしも銀行口座に元通りにお金が戻るとは限らないだろう、ということです。

 これから先も、おそらく違う形で似たようなサイバー犯罪が起きることは、まず間違いありません。組織的な犯罪集団は常にイノベーションを図っていて、警察どころか銀行やドコモなどの決済サービス事業者を常に出し抜く努力(?)を重ねています。彼らがセキュリティの穴を発見するたびに、何らかの不正事件がこれからも必ず起きます。

 そして、今回の事件でも実はそうなのですが、ユーザーに対して犯罪が実行される条件としては、大半のケースにおいて、銀行やサービス事業者のセキュリティが甘いだけでなく、自分でも何らかのミスをしなければ、犯人グループはお金を盗むことができません(細かく言うと違うのですが、大半の場合についてはその通りのはずです)。

 ここがポイントで、今回の事件も犯人グループがドコモ口座を開設してお金を吸い上げるために用いたログイン情報の大半は、被害者のミスで盗まれたと警察は見ています。

他人事ではない教訓
「なぜこんな目に遭うのか」
 さて、今回の事件において「なぜこのような被害に遭うのか?」について、解説したいと思います。

 今回のドコモ口座事件では、第三者が自分の銀行口座のインターネットバンキングのログイン情報を不正に入手して、本人に成りすまして勝手にドコモ口座を開設し、銀行口座からドコモ口座に上限である30万円をチャージして使ってしまうという手口で、犯罪が行われました。

 その際に狙われたのは、ウェブ口座振替というサービスでの確認強度が弱い銀行でした。具体的に言えば、口座番号、ログインパスワード、キャッシュカードの暗証番号4ケタ、この3つの情報さえあればドコモ口座に資金を移動できる仕組みになっている銀行が狙われたことになります。

 逆に確認強度が強い銀行の場合、たとえば本人しか持っていないワンタイムパスワードを発生させるトークンという機器を提供して本人認証を行っていたり、口座開設時に登録した携帯電話宛にSMSでメッセージを送り本人確認をしたりといった、二段認証をしなければならないようになっています。このような強度の強い銀行は、今回狙われなかったし、今後も狙われることは少ないと一旦は考えられます(今後、犯罪グループも技術が向上していくので、慢心はよくないとは思いますが)。

 では、犯人グループはどうやってユーザーの口座番号、ログインパスワード、キャッシュカードの暗証番号を盗んだのでしょうか。警察の話では、今回の事件の大半のケースでは、フィッシング詐欺が用いられたと見ているようです。

ご存じでない、ないしはお気づきでない方もいるかもしれませんが、プライベートでこんなメールが届くことはありませんか。

「あなたの○○アカウントは一時的に停止しました」

 この「○○」は、アマゾンでも楽天でもLINEでも銀行でも、何でもいいのですが、とにかくあなたの何らかの口座に不正なアクセスと見られる動きがあったので、一時的にアカウントを停止しているという、一見親切なメールです。しかしこのメール、送り付けるのは大半の場合、犯罪グループです。

 メールの中で「アカウント停止の解除はこちらから」と書かれてあるリンクをクリックすると、そこが不正の入り口で、銀行の場合なら、本物の銀行のホームページそっくりの画面が表示されます。

 そして、本人確認に必要な情報だとして口座番号、ログインパスワード、キャッシュカードの暗証番号を順番に入力していくと、「本人確認が完了しました。口座の停止を解除しました」といった、ユーザーを安心させるメッセージが表示されます。しかしそのときにはすでに、銀行口座の口座番号、ログインパスワード、キャッシュカードの暗証番号は、犯罪グループに盗まれているわけです。

 ちなみに、このような罠を仕掛けなくても、リバースブルートフォースという手口のように、手当たり次第にログインIDと暗証番号を試す攻撃もあります。フィッシング詐欺に引っかかった経験がなくても、暗証番号やパスワードに簡単なものを設定している人は、このような攻撃に対して脆弱だと言えます。

第二段認証の壁がない
「緩い銀行」が狙われた
 さて、口座情報を盗んだ犯人にとって難しいのは、ここからです。大半の場合、個人の銀行口座にインターネットバンキングでログインしても、普通はお金を送金できない。第二段認証の壁があるからです。しかしときどき、そういった壁を越える必要のない新サービスが登場します。ドコモ口座もその1つで、上限30万円までなら低いセキュリティで資金を移動できる銀行が何行もありました。だから、その銀行の預金者が狙われたわけです。

ドコモ口座事件の被害者がある意味でラッキーだったのは、事件が大きな社会問題になった一方で、被害額が9月15日時点で143件、2676万円というレベルにとどまっている点です。被害者にとっては平均17万円と大きな被害でも、ドコモのような大企業にとっては役員決裁で補償できるくらいの少ない金額です。だから、補償が決まるのもスムースだったわけです。

さらに高額な不正事件が起きたら
誰も被害を補填してくれなくなる?
 しかし、もし将来別の事件が起きて、被害件数14万件、被害額267億円などと高額になったら、話は変わってきます。ドコモのミスや銀行のミスに加えて、被害者のミスも重ならないと事件は起きないため、関係者間で「被害額をどう分担するか」という話し合いが持たれるでしょう。

 その場合、「そもそもパスワードを盗まれたユーザーの責任が一番重い」などと、大企業や銀行が主張することだってあるかもしれません。それが裁判で争わなければいけない事態にまで発展すれば、弁護士を雇うお金もない被害者が一方的に不利になります。そんなケースも、これからは出てくるかもしれないのです。

 今回の事件で私が一番気になったのは、銀行の当事者意識が低かったことです。事件に関係した銀行幹部は、ドコモの会見に出席すらしません。背景を推察するに、私たちが銀行のサービスを利用する際には、銀行側からの確認事項に対して全て「同意」しているため、その後どのような事件が起きても、法的には自分たちに何の責任もないということが、わかっているからでしょう。

 しかし、だからこそこうした事件は、銀行にとっても危険なのです。消費者が「ITが進化すればするほど、銀行にお金を預けておくと危なくなるんだ」と気づき始めるからです。ドコモ口座事件は、ユーザーがそんなことを肝に銘じる最初の事件だったかもしれません。

(百年コンサルティング代表 鈴木貴博)』

本人確認の手続き突破 SBI証券の顧客資金流出

本人確認の手続き突破 SBI証券の顧客資金流出
身分証偽造し口座開設 金融庁、ネット証券などに点検要請
https://www.nikkei.com/article/DGKKZO63982230X10C20A9EE9000/

『複数の電子決済サービスで銀行の預金が流出している問題で、不正の実態が明らかになってきた。SBI証券では不正なアクセスで9864万円が流出した。犯罪者が他のネットサービスで使ったパスワードを盗み取り、同姓同名の偽口座を作ってお金を引き出していた。犯罪の手口は高度になっている。本人確認が破られる深刻な事態で安全対策は待ったなしだ。

金融庁は17日、日本証券業協会と金融先物取引業協会を通じ、オンライン取引サービスを手掛ける金融機関に対してシステムの管理体制を自主点検するよう要請した。点検の結果やセキュリティー上の問題点を1カ月以内に報告させる。既にSBI証券には報告徴求命令を出した。

SBIでは第三者が不正に入手した顧客のログインIDとパスワードで取引ができるようになっていた。その上でゆうちょ銀と三菱UFJ銀で、証券口座の名義人と同姓同名の偽口座が作られ、資金が流出した。免許証やパスポートなどが偽造され、本人確認が突破された可能性がある。

SBIでは出金操作をするまでに複数のパスワードを入力する必要があるが、同じパスワードを流用していた顧客が狙われた。ログイン情報は他のネットサービスで流出したものとみている。

NTTドコモの「ドコモ口座」では、口座番号や4ケタの暗証番号など限られた情報で本人確認をしていた地方銀行で被害が出た。情報が盗まれた場合は簡単に現金が引き出せる状態だった。

SBIと銀行は双方で一定の安全対策を講じていた。それでも銀行口座の開設時と証券取引の際の確認が犯罪者に突破された点で深刻だ。

SBIは特定の端末からのアクセスだけを許可する端末認証や、普段と異なる環境からのログインを検知して遮断する仕組みを導入する方針だ。出金先の銀行口座を登録する際の本人確認も強化する。

大手行の幹部は「完璧な本人確認なんてこの先絶対に出てこない」と漏らす。セキュリティーが高いとされる顔認証による本人確認であっても、元となる身分証明書が偽造された場合は破られる可能性が高まるからだ。

ドコモ口座では、口座接続時にスマートフォンのショートメッセージサービス(SMS)によるワンタイムパスワードなどで複数段階の認証をとっていた三井住友銀行などでは被害が確認されていない。

ワンタイムパスワードのログイン時などへの導入はネット証券でも課題となる。手間が増えるため、「顧客の利便性に大きく関わるので悩ましい」といった声がある。不正被害が広がれば電子決済の普及に水を差しかねない。利用者が安心して電子決済を利用できる対策が一段と必要になっている。』

ドコモ口座事件、真の原因は「認識の甘さ」ではない

本田雅一の時事想々:
ドコモ口座事件、真の原因は「認識の甘さ」ではない 露呈した「銀行との風通しの悪さ」
2020年09月14日 18時00分 公開
https://www.itmedia.co.jp/business/articles/2009/14/news127.html

『いくらなんでもそれはないだろう。

 情報化社会の昨今、そのように感じる問題が起きることなど、1年を通してもそうそうあるものではない。

 ところが、あろうことか日本はもちろん、グローバルにみても最大手クラスの通信企業であるNTTドコモが、「お前、それはないだろう」と思わずツッコミを入れたくなる対応を取るとは、情けないを通り越して笑い話のようにさえ思えてくる。

 被害総額約2542万円(9月14日午前0時時点)と、果たしてどこまで被害が拡大するのか見えていない「ドコモ口座」の不正出金の問題についてだ。

photo
ドコモ口座を使用した不正出金が相次ぎ、被害総額は約2542万円に拡大(9月14日午前0時時点)
 口座と名付けられているがサービスの本質は、いわゆるスマートフォン決済サービス。送金やショッピング支払いなどに使えるものだ。金利などは一切付与されないものの、自身の銀行口座からチャージできる。

 サービスそのものは、よくある決済サービスの亜種。いくつかの特徴はあっても特別なものじゃない。何より“ドコモさま”の提供なんだから信頼できると思っていたら、実にグダグダだ。

 何しろ被害者がドコモ口座対応の銀行口座を持っているだけで、ドコモユーザーではなくとも、加害者が捨てメールアカウントを使って自由に、いくつでも口座を作り、不正出金を行える可能性があったというのだからタチが悪い。

 ここまでグダグダだと、いったいなぜこんなことになったのか、グダグダになった理由が見つかるかどうかさえ怪しいほどだ。

せっかく責任ある行動と判断ができるというのに
 既報の通り、山ほどツッコミを入れたくなることがたくさんある一方で、ドコモはしっかりと責任ある行動も示している。サービスのセキュリティ設計がずさんなことは批判対象だが、まずは褒めるべきところは褒めておきたい。

 ドコモの丸山誠治副社長は9月11日の記者会見で、認識の甘さについて反省を口にしつつも「1日の取引が約1万3000件もある」ことを理由に、ドコモ口座のサービスを停止しないと話した。

photo
ドコモが9月11日に開いた記者会見の様子=編集部撮影
 自分たちのケツは自分で拭く。不正出金は、銀行と連携しながら全額補償する。それよりも一度、始めたサービス事業だ。信頼できるものに改良をしていく上で、しっかりサービスを止めずに解決策を見いだしていきたいということなのだろう。

 世間での“ウケ”を狙うなら、不正出金の補償はもちろん、すぐにサービスを止めて問題解決を図る方が印象がいい。

 まだ明らかになっていない潜在的な被害、あるいは被害に遭う可能性がある、まだ出金されていない口座もあるかもしれない。犯罪者にこれ以上の送金を重ねさせるな、という意見もあるだろう。

 しかし、最もグダグダだった新規口座登録を止め、ドコモの携帯電話契約情報との照合、「eKYC」やSMSを用いた本人確認などを行うというから、一般的なネットでの取引に求められる信頼性は確保できるはず、というわけだ。

photo
「eKYC」導入などの対策を強化=ドコモの資料より
 不正出金が確認された銀行は11行(14日午前0時時点)。取引を継続して行える15行に関しては、ドコモと銀行の双方でネットでの口座の扱いが十分だと判断したのだろう。ここまで問題が拡大した上で、なおも大丈夫というのだからドコモ口座を止める必要はない。それさえも問題ならば、ドコモ口座がなくとも危険ということなのだから、止める意味はない。

 とかく世間体を意識して「まずは止めて謝るところから」という、全く論理的ではないダメージコントロールを選ばなかったところは、きちんと自分たちの頭で考えて対策をしていることが伝わってきて、むしろ好感を持ったほどだ。

 サービスだけではなく、問題発覚後の対応もグダグダだった「7pay」の事件のときとは大違いで、ここは褒めるべきだろう。いや、もちろん、システムそのものは褒められたものじゃないのだが。

それ、誰が判断したの?
 さて、ドコモ自身は「認識の甘さ」と言っているが、筆者としてはこの問題の根っこにあるのは認識の甘さではなく、責任の所在が曖昧なことではないかと感じている。「ドコモが悪い」「いや簡単にハックされる銀行の仕組みが悪い」「その両方だ」といろいろな意見があるが、そもそも「あっちにも、こっちにも問題があった」にもかかわらず、相互に問題意識を共有できていないことに、筆者は絶望感を覚える。

ごく基本的な部分だが、日本の銀行キャッシュカードは、たった4桁の暗証番号で現金を引き出せる。この全銀フォーマットの仕様も、とっくの昔に見直されていて然るべきだ。各メディアがいくつもの指摘をしているので、ここであらためて紹介するまでもないが、現代のネットワークサービス、それも顧客の財産を扱う仕組みとしては脆弱(ぜいじゃく)すぎる。

 それでも辛うじて社会問題にならなかったのは、対人にしろ、対機械にしろ、キャッシュカードを用いた現金引き出しに物理的な手続きが必要だったからだ。こんなことは誰もが分かっているはずなのに、従来の仕組みを使い回してしまった。

 今回の不正引き出しの全貌が明らかになっているわけではないが、不正送金が明らかになっているケースでは、こうした銀行からの現金引き出しにかかわる基本的な部分での脆さが問題だったとみられる。

photo
ドコモ口座のWebサイトより
 NHK NEWS WEBでは、ドコモ口座問題について「暗証番号を定期的に変えましょう」と注意喚起する記事を掲載していたが、全くもって無意味(14日時点では記事内容が修正されている)。暗証番号がバレたのなら変更は必要だが、ネットを通じての不正送金があったのなら、システム側の問題であり頻繁に変えたからと行って問題解決にはならない。

 暗証番号を変えて「もう大丈夫」と思って安心してる人たちに、正しい情報を伝えた上で謝ってほしいぐらいだ。

 ところで、銀行口座にネットからアクセス可能になるのだから慎重になるべき、なんてことは今さら指摘するまでもないことなのに、なぜ「そのまんまなの?」という、大きなクエスチョンマークがここで出てくる。

 物理的なキャッシュカードと比べ、はるかに便利になっているのに、個人認証の仕組みはスマホ時代非対応どころか、インターネットが発明される以前からのそのままなのだから「これで大丈夫って誰が判断したの?」という話になってくる。

当たり前のことを当たり前にできない理由
photo
9月14日夕方時点で、チャージ(入金)を停止している銀行の一覧=ドコモのWebサイトより
 さて、ドコモが問題発覚を受けて精査した結果、その対策としてドコモ口座が対応していた35行のうち13行は不正出金が容易には起きないと判断し、送金サービスを継続するというのだから、前述したように差し引き22行以外は大丈夫だとドコモと各銀行は判断したのだろう。

 ずさんな本人確認に脆弱な出金の仕組み。「両者ともに悪いね」というだけでは済まないのは、ドコモが昨年5月、既にりそな銀行、埼玉りそな銀行で同様の問題が起きていたことを、他の銀行に周知徹底していなかったことが、最終的に今回の問題へとつながっているからだ。

 当時の犯行グループと今回の犯行グループが同一なのかどうかは分からない(期間が空いていることを考えれば別と考える方が良さそうだが)。

 しかしこの時、ドコモは問題の発生を把握し、その原因についてもある程度は知っていたはず。少なくとも、電子メールの到達をもって本人確認されるという、いまでは信じられないような仕組みが問題だったことを、提携銀行各社とはいわないまでも、セキュリティ対策の甘い提携銀行に連絡していれば、今回の問題は起きなかったのではないだろうか。

 もちろん、金融機関のIT化はどこの業界よりも真っ先に行われてきたわけで、規模の大小による意識の違いこそあれ、「お前、それはないだろう」的な状態をさらしてきた銀行側にも問題はある。

 しかし主体的に利便性を提供し、なるべく簡易的な手続きで使って欲しいドコモ側に利用者を速やかに増やし、決済サービス分野での生き残り、ライバルとの競争に勝ちたいという意識がなかったとは思わない。

 そんな邪推も「邪推じゃないかもね?」と筆者が思ってしまうのは、ドコモと金融機関の風通しの悪さが理由だ。

 今回、不正送金があった11行は、ドコモ口座との連携にCNS(地銀ネットワークサービス)を利用。そこに脆弱性があったのでは? という推測があるが、11日の記者会見でドコモの丸山副社長は「金融機関側の仕組みなので把握していない」と答えた。

 実はここに問題の根っこがある。

誰もが見えるはずの景色が見えていない
 ドコモ口座と連携し、銀行口座から入金するための仕組み、手続きの手順は銀行側に依存している。

 「ドコモ口座というプリペイドサービスにお金を入れたいのだけど?」という時、どのような手法でお金を送金可能とするかの判断は銀行側にある。ドコモは、所定の手続きに従って情報を送り、その結果、入金されたから取引を承認しただけなのだから、本来は責任がない。

 と、そんなふうに考えているかどうかは分からないが、この金融機関との距離感が、誰もが見えるはずの景色を見えなくしていた、あるいは「見ようとしなかった」(面倒くさいし、速やかに利便性の高い、簡便なサービスにしたいから)のではないか。

 繰り返すが、ドコモ口座の本人確認のずさんさは責められて当然。本当にもう勘弁してくださいよ、と言いたくなるような”ポカ”であり、罪深い。

 だが最も残念なのは、これほど明確な“穴”を見過ごし、しかも一度は発覚していたのに風通し悪く、見通せる景色を共有できなかったことだ。まさに木を見て森を見ず。大企業にありがちな、見えにくいものは見ない方が面倒が少ない──そんな前時代的な問題が透けて見えるならば、大きな問題はまだまだ隠れていることになる。

 ドコモが巨大企業であることは言うまでもないが、メガバンクとは比較にならないとはいえ、地方銀行も大きな組織に違いない。まさか2020年にもなって「今さら大企業病かよ!」とあきれることになるとは。ドコモでさえ、この調子ならば日本全国、至るところに構造不良が隠れていても不思議じゃない。』

Emotetの猛威再び…。

Emotetの猛威再び、攻撃メールを見破るポイントは差出人や署名にあり
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04576/

※ ともかく、「無闇に、安易にクリックするな!」これに尽きる…。

※ 「添付ファイルは、まず開くな!」

※ 「一拍、呼吸を置いて、よく考えよう。」

『2019年秋に大きな被害をもたらしたマルウエア「Emotet(エモテット)」が再び猛威を振るい始めた。セキュリティー組織やセキュリティーベンダーは相次いで注意を呼びかけている。Emotetは「進化」を続け、今では差出人の詐称や添付ファイルの暗号化などの危険な仕掛けを幾つも備えている。

関連記事:Emotetが「感染爆発」の兆し、トレンドマイクロかたる悪質な引っかけの手口
 最新のEmotetによるサイバー攻撃の特徴は何か、どうすれば被害を防げるのか――。トレンドマイクロは2020年9月9日、サイバー攻撃の脅威動向「2020年上半期セキュリティラウンドアップ」について説明会を開いた。そこからEmotetの最新動向が分かった。

バックドアへの「アクセス権」が売られる
 「企業ネットワークへのアクセス権を販売する動きが見られる」。同社の岡本勝之セキュリティエバンジェリストは2020年上半期のサイバー犯罪の動向をこう説明する。攻撃者は何らかの方法で企業ネットワークに侵入してバックドアを構築し、そのバックドアを使う「権利」を販売したりレンタルしたりしているという。

 「既に英国企業のネットワークにアクセスする権利が販売された事例がある」(岡本セキュリティエバンジェリスト)。同社はバックドアの販売/レンタルを「アクセス・アズ・ア・サービス(AaaS)」と名付けた。

ネットワークへのアクセス権を販売する書き込み例
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 岡本セキュリティエバンジェリストは「AaaSとEmotetは関係がある」と話す。攻撃者は、不特定多数に向けて同じ文面のなりすましメールを送り、マルウエアに感染させたりフィッシングサイトに誘導したりする「ばらまき型メール」でEmotetを拡散させている。メール受信者が誤って添付ファイルを実行するなどでEmotetに感染するとパソコンに保存されたメール内容やメールアドレスを盗まれ、その情報はネット上の指令サーバー(C&Cサーバー)に送られる。

 最近のEmotetを使った攻撃では、情報を盗むだけでなく他のマルウエアやトロイの木馬ウイルスに感染させて企業のネットワークにバックドアを構築するケースがある。「他の犯罪者が侵入するという危険性がある」と岡本セキュリティエバンジェリストは警鐘を鳴らす。Emotetの感染を検知できなければ、Emotetを仕掛けた攻撃者だけでなくAaaSでアクセス権を購入した別の攻撃者にも不正アクセスを許してしまうというわけだ。

 トレンドマイクロの調査によれば、Emotetを使った攻撃はたびたび活動を休止する傾向がある。2019年10月から攻撃が活発になったEmotetは2020年になっても猛威を振るった。2020年も新型コロナウイルスの感染拡大に便乗した攻撃が増えると思われたが、実際は2月上旬から7月中旬にかけてC&Cサーバーが休止したという。

日本におけるEmotetの検出数の推移
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 しかし2020年8月に活動を再開。「日本国内では8月からEmotetの検出数が急増している」(岡本セキュリティエバンジェリスト)と注意を促す。

差出人に「さん」がつく
 攻撃者はEmotetに感染したメール受信者から不正にアドレス帳やメールアドレス、メールの内容などを盗み取る。盗んだ情報を基に別の感染者から攻撃メールを送信する際、メールの文面などをそのままコピーするため、サイバー攻撃を受けていると見抜くのがかなり難しい。「トレンドマイクロのアンケートをそのまま利用したメールもあった」(同)という。人の隙につけいる悪知恵にたけている。

 ただし盗んだアドレス帳の表記をそのまま使うため、差出人や署名がおかしな攻撃メールが散見されるという。例えば同社が観測した攻撃メールでは差出人や署名が「営業部 大久保さん」となっていた。明らかにおかしい。

 これはEmotetに感染した人がアドレス帳に「営業部 大久保さん」と登録し、それを盗んだ攻撃者がそのまま流用したためと思われる。機械的に攻撃メールを作成するため、そこまで気が回らなかったのであろう。岡本セキュリティエバンジェリストは「差出人や署名に違和感を覚えるメールを受け取ったらEmotet攻撃と疑ったほうがよい」とする。

差出人や署名がおかしなメールの例
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 防ぐ手立てについて岡本セキュリティエバンジェリストは「マクロを有効にしないこと」と強調する。Emotetは攻撃メールに添付されたMicrosoft Officeファイルを開き、マクロを実行してしまうと感染するからだ。マクロを実行しなければ感染はしない。情報システム部門やセキュリティー部門は従業員に安易に添付ファイルを開かないことやマクロを有効にしないことを改めて周知徹底したい。』

米大統領選、中ロが大規模サイバー攻撃 Microsoftが警告

https://www.nikkei.com/article/DGXMZO63717130R10C20A9000000/

『【シリコンバレー=佐藤浩実】11月の米大統領選が迫るなか、ロシアなど外国勢力によるサイバー攻撃の懸念が強まっている。米マイクロソフトが10日に公表した報告書によると、ロシアのハッカー集団は過去2週間で政党や支援団体など28の組織に攻撃を試みた。中国やイランからの攻撃も続いており、同社は多要素認証などでの防御を呼びかけている。

国家の関与が疑われるサイバー攻撃の動向を調べた。ロシアのハッカー集団「ストロンチウム」は2019年9月~20年6月にかけて200以上の組織を攻撃。8月18日~9月3日の2週間では28組織に属する6912アカウントのハッキングを試みた。「攻撃はいずれも成功していない」(マイクロソフト)という。

【関連記事】
米、大統領選干渉でウクライナ議員に制裁 ロシアの手先

ストロンチウムは選挙関係者のアカウント情報を得るため、考えられるパスワードを総当たりで試す「ブルートフォース攻撃」と、複数のアカウントに対して同時に1つのパスワードを試す「パスワードスプレー攻撃」をしかけた。16年の大統領選では特定の標的から情報を奪う「スピアフィッシング」が主流だったが、攻撃はより大規模化している。

中国のハッカー集団「ジルコニウム」も大統領選に関わる情報を手に入れようと攻撃を続けている。3~9月に検知した攻撃は数千件に上り、150件近い情報漏洩が発生した。失敗に終わったものの、民主党のバイデン前副大統領の関係者を対象にした攻撃もあったという。イランの「フォスフォラス」は5~6月にかけてトランプ大統領の選挙活動に関わるスタッフのアカウントへの侵入を試みた。

選挙のような国家の動向を左右する大型イベントでは、サイバー攻撃が活発化しやすい。マイクロソフトはパスワードと生体認証などを組み合わせる「多要素認証」を徹底するなどして、攻撃を回避するよう呼びかけている。同社はセキュリティー関連の事業を手掛けており、サイバー攻撃についても不定期で報告書を出している。』

ドコモ口座 安全後回し 「本人確認不十分」

https://www.nikkei.com/article/DGXMZO63705460Q0A910C2EA2000/

『NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが見つかった問題で、同社は10日、情報管理体制の不備を認め謝罪した。新規のサービス登録は停止し被害額も補償する。新規参入が続くデジタル決済で、規模拡大を優先する姿勢が顧客保護の甘さにつながった。

「口座作成にあたって確認が不十分だった」。10日の記者会見に出席した丸山誠治副社長はこう述べ、厳密な本人確認の仕組みがなかったことが預金の不正な引き出しを招いたと認めた。同日正午までに確認された被害は七十七銀行(仙台市)など計11行66件で、金額は約1800万円にのぼる。丸山副社長は被害にあった利用者に対し「銀行と連携して、全額を補償する」と明言した。

【関連記事】
ドコモ口座不正 誰もが被害の可能性
ドコモ口座被害1800万円に 副社長「本人確認が不十分」
ドコモ口座、全35行で新規登録停止 異業種連携に穴

ドコモ口座をつくるにはドコモの顧客ID「dアカウント」への登録が必要になる。「口座」と称しているものの、運転免許証の提出といった厳格な本人確認手続きを開設時に求めていない。ドコモの携帯電話サービスを利用していなくても、メールアドレスがあれば事実上誰でも開設ができる。

銀行口座と連携すれば銀行からの入金(チャージ)も可能で、不正に入手した銀行口座の情報さえあれば、本人になりすましてお金をドコモ口座に移すことができる。開設基準が緩いドコモ口座が抜け穴となり、顧客保護などで厳しく規制されている銀行預金が犯罪に巻き込まれた格好だ。

こうしたリスクはかねて指摘されており、スマートフォン決済各社はセキュリティー対策の強化を進めてきた。LINEは「LINEペイ」のアプリで、顔認証などの生体認証を導入している。スマホ上に秘密の鍵となる情報を登録して、鍵を持つスマホだけが決済に使える。鍵を使うには生体認証を使ったロック解除が必要になる。

KDDIもスマホを使った認証を利用者に求めている。メールやパスワードだけでは口座の開設はできない。

今回の不正を受け、ドコモは10日、ドコモ口座とつながる全35行を対象に新規の登録を止めた。今後の不正を防ぐための改善策としては、口座開設時に本人確認ができる免許証などの電子データ提出を求めるシステムを1カ月以内に導入する。スマホのショートメッセージサービス(SMS)を使った2段階認証にも対応する。

ただ、すでに登録済みの利用者向けのサービスは「(送金や決済で)1日当たり約1万3千件の取引がある」(丸山副社長)ため35行中一部を除き継続する。この結果、被害がさらに拡大してしまうリスクは残る。

今回の不正は預金者が自ら銀行口座の残高を確認し、つくった覚えのないドコモ口座に送金があったかを調べなければ発見が難しい。いまある不正なドコモ口座が閉鎖されず、勝手に預金を引き落とされているユーザーがそれに気づかなければ、被害額は今の公表額より膨らむ可能性がある。

甘い顧客保護の姿勢をドコモがとってきたのは、事業拡大を優先したからだ。

従来、ドコモ口座の開設には、ドコモの回線契約者であることが条件だった。だが2019年9月にこれを緩め、他の通信回線の契約者でもドコモ口座を開設できるようにした。「今回の不正は全てドコモの通信回線契約者以外の利用者が開いた口座で起きた」(ドコモ)としている。

通信以外のデジタル関連サービスでドコモは出遅れていた。特にスマホ決済ではソフトバンク傘下のペイペイが決済金額ベースで市場首位を獲得しドコモは劣勢が続く。ドコモ口座について丸山副社長は「多くの人に便利に使ってもらいたかった」と会見で述べたが、焦りが顧客保護軽視につながったとの見方は強い。

ネット企業など異業種による参入が進み、決済や投資などの金融サービスは利便性が高まっている。課題として重みを増すのがイノベーションと安全性の両立だ。ドコモは銀行法よりも規制が緩い「資金移動業者」に位置づけられる。同法の下にあるセブン・ペイ(東京・千代田)では19年7月に不正利用が見つかった。

サイバーセキュリティーを手がけるカウリス(東京・千代田)の島津敦好最高経営責任者(CEO)は「本人確認を銀行に依拠するのは口座番号と暗証番号が盗まれないことが前提になっているが、盗まれる可能性を視野に資金移動業者も対策を打たなければ消費者保護は不十分だ」と指摘する。

■金融庁が報告命令
NTTドコモの電子決済サービスで預金の不正引き出しが見つかった問題で、金融庁は10日までに、ドコモに対して資金決済法に基づく報告徴求命令を出した。不正利用の実態や再発防止策などについて報告を求める。原因の究明に向けて本格的な調査に乗り出す。
 不正の手口の解明のほか、内部管理体制に問題がなかったかも調べる。被害の見つかった地銀からも聞き取りを進めている。
 警察当局もドコモ口座を悪用した不正な預金引き出しについて捜査を始めた。警察庁は被害実態を把握するため、被害者などからの相談内容を報告するよう各都道府県警へ指示した。今後は複数の警察で捜査本部を立ち上げ、合同で捜査を進めるとみられる。』

ドコモ口座、全35行で新規登録停止 異業種連携に穴

https://www.nikkei.com/article/DGXMZO63647420Z00C20A9000000/

※ 当初は、こんな風に、「ドコモのシステムを、破られたものじゃない!」という姿勢だった…。

※ しかし、どうもユーザー側で、口座番号を不正取得され、口座の暗証番号(たかだか、4桁だ)を「総当たりで」突き止められた節(ふし)もあるようだ…。

※ 「異業種提携」となると、「自分のところのシステム」のセキュリティ対策だけしっかりやっていれば済む…、という話しじゃ無くなってくる…。それで、銀行側と話し合って、被害額の賠償を分担する…、という方向で対処するようだ…。

『全国の地方銀行などでNTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが見つかった。ドコモは9日、連携する全35行で新規登録を停止すると発表した。1年前にはセブン&アイ・ホールディングスの「セブンペイ」がサービス停止に追い込まれている。相次ぐ悪用はデジタル社会の基盤のもろさを改めて浮き彫りにする。

【関連記事】
ドコモ、10日夕方会見 被害状況など説明
NTTドコモ、不正引き出し被害は66件1800万円 10日正午時点

これまで不正な預金の引き出しが確認されたのは七十七銀行(仙台市)や中国銀行(岡山市)など少なくとも10行に上る。被害の拡大を防ぐため10日以降、安全性が確保されるまで新規登録を当面見合わせる。ドコモ口座とつながる全35行を対象にする。

ドコモ口座はスマートフォン決済や送金に使える。メールアドレスとパスワードを設定すれば開設でき、電話番号は求められない。銀行口座と連携すれば銀行からの入金(チャージ)も可能だ。不正に入手した銀行口座の情報さえあれば、本人になりすましてお金を引き出せる。もともとドコモ口座を使っていない人が気づかないうちに被害に遭う恐れがあった。

画像の拡大
一部の銀行では「口座番号」「名義」「4ケタの暗証番号」の3点があれば利用できる状態だった。ドコモは「不正に取得された口座番号やキャッシュカードの暗証番号などが第三者に漏れ、悪用されたことが不正利用の一因」とみている。

相次ぐ不正を受けてドコモは今後、口座開設で電話番号の入力を求めるなど本人確認を強化する方針だ。それでもシステム調整などに時間がかかる。9日夕方時点ではメールアドレスなどだけで簡単に登録できてしまう状況が続いていた。

金融庁は資金移動業者として登録しているドコモに被害の拡大防止措置を求めるとともに原因究明を急ぐ。ドコモと連携している地方銀行からも聞き取りを進めている。

不正の手口はまだ明らかになっていない。情報セキュリティーに詳しい情報法制研究所(東京・千代田)の高木浩光理事は「リバースブルートフォース攻撃」と呼ぶ手法が使われた可能性を指摘する。一つのID(口座番号など)に大量のパスワード(暗証番号)を試すのではなく、一つのパスワードに大量のIDを試す。

パスワードは数回入力するとアカウントが凍結される場合が多いのに対し、IDは何度入力し直しても凍結されることは少ない。「銀行の暗証番号は数字4ケタと極めて脆弱。何カ月もの時間をかければハッカー側が多人数分の暗証番号を取得することは可能」(高木氏)という。銀行を装ったサイトを通じてIDなどを盗み取る「フィッシング」が原因の可能性もあるとみられる。

【関連記事】
ドコモ口座不正引き出し、りそな銀で昨年5月にも
金融庁、ドコモに報告命令 不正の原因調査へ

ドコモ口座と連携するメガバンクでは不正が確認されていない。ワンタイムパスワードなど二重確認でセキュリティーを強めており、対策の違いが影響している可能性がある。不正利用のあった七十七銀は2段階認証は導入していなかった。

それ自体は厳格な銀行口座の本人確認のシステムも、業態間の連携に穴があればすり抜けられてしまう。スマホなどによる便利なキャッシュレス決済が普及すれば新たな不正のリスクも高まる。

2019年のサービス開始早々、不正利用が続いて廃止に追い込まれた「セブンペイ」の場合、ネット通販の顧客IDと決済サービスをひも付けたことで隙が生まれた。別の事業のIDと金融の連携という点はドコモ口座問題にも通じる。

企業のセキュリティー対策を支援するS&J(東京・港)の三輪信雄社長は「ドコモがサービスを始める前のリスク分析が甘かったのでは」と話す。電子決済も含め社会のデジタル化は避けて通れない。利用者保護のためにも業界の垣根を越えて課題を洗い出し、対策を徹底する必要がある。

被害客への対応も急がれる。ドコモは9日、「補償については銀行と連携し、真摯に対応する」と表明した。

NTTドコモがドコモ口座の新規登録を停止する銀行は以下の35行。
 みずほ/三井住友/ゆうちょ/イオン/伊予/池田泉州/愛媛/大分/大垣共立/紀陽/京都/滋賀/静岡/七十七/十六/スルガ/仙台/ソニー/但馬/第三/千葉/千葉興業/中国/東邦/鳥取/南都/西日本シティ/八十二/肥後/百十四/広島/福岡/北洋/みちのく/琉球』

他山の石:「急遽テレワーク導入」に落とし穴

他山の石:
「急遽テレワーク導入」に落とし穴 国内約40社が被害「VPN不正アクセス事件」が他人事とは限らない理由
https://www.itmedia.co.jp/business/articles/2009/06/news009.html

『([高橋睦美,ITmedia])
新型コロナウイルスの感染拡大に伴い、リモートワークが広がる中、8月下旬に「VPN(Virtual Private Network)のアカウント情報が盗まれ、ネット上で公開された」という事件がメディアを賑わせました。VPN接続に利用されるパルセキュア社の製品の脆弱(ぜいじゃく)性を突かれてアカウント情報が盗まれたというものです。世界で約900社が被害を受け、中には約40社の日本企業も含まれていました。新聞の一面を飾ったこともあり、「うちの会社は大丈夫か? 同じような攻撃を受けないか?」と不安に感じた読者もいるのではないでしょうか。

 もしかすると「このベンダーの製品を使っていないから大丈夫」と思われた方もいるかもしれません。ですが、実はそうとは限りません。この一件にはいくつか他山の石にしたいポイントがあります。

photo
写真はイメージです(提供:ゲッティーイメージズ)

狙われる「閉じられない、止められないサービス」
 前置きになりますが、今回話題になった製品「Pulse Connect Secure」以外の機器を利用していても、安心というわけではありません。

 実はパロアルトネットワークス、フォーティネット、シトリックスといったベンダーが提供する多くのVPN製品でも、悪用されるとリモートから任意のコードを実行されたり、今回のように認証情報などを取得されてしまう恐れのある脆弱性が以前から指摘されています。すでに攻撃用に使えるコードも公開されていて、単に大きく報道されていないだけで、同様の攻撃を受けている可能性もあります。この製品を使っていないからといって安心するのではなく、いま一度棚卸しと脆弱性の有無を確認する必要があるでしょう。

 さて、今回の件で考えさせられるポイントの1つ目は、こうしたVPN機器をはじめ、外部に公開せざるを得ないサービスをどのように守るかという昔からある課題です。

 今回悪用されたのは、テレワークの導入に伴って存在感を増したVPN製品「Pulse Connect Secure」の脆弱性でした。テレワークを行う以上、社内だけに閉じるわけにはいかないという環境が狙われてしまったのです。被害に遭ったいくつかの企業は「内部侵入は確認されなかった」としていますが、過去にはVPN経由で不正侵入され、データを消去される被害にあったケースも発生しています。

 しかも、外部からのリモートアクセスを許さざるを得ない「入り口」は他にも存在しています。

 典型的な例が、外部からのリモート接続に用いられる「RDP」(Remote Desktop Protocol)と呼ばれるサービスです。過去にはパスワードを総当たり攻撃で破られるという不正アクセス被害が発生した他、「Bluekeep」と呼ばれる深刻な脆弱性も指摘されています。修正しなければ、同様の被害に遭ったり、ランサムウェアを送り込まれたりする可能性は否定できません。

 不要なポートやサービスは停止することがセキュリティの鉄則ですが、企業が業務を継続するのに不可欠な閉じるわけにいかないポート、サービスはどうしても存在します。攻撃者はそこを狙ってくることを前提に、認証を強固にしたり、しっかり監視を行ったりしてリスクを下げる必要があるでしょう。

「急きょテレワークへ移行」に潜んでいた落とし穴
 次に今回の件で感じたのは、環境を変えたり、イレギュラーなことが起きたときほど要注意だということです。

被害を受けた一社、平田機工はプレスリリースの中で、経緯の詳細を説明しています。それによると、同社は新型コロナウイルスの感染が拡大し、緊急事態宣言が出された4月中旬からテレワークを始めていました。それに伴いVPN装置の負荷が急増したため、昨年度に交換して外していた旧VPN装置を急きょ再導入し、負荷を分散することにしたそうです。

 ここで非常に残念なのは、交換後の現行機種は脆弱性に対応済みだったのに、急きょ投入した旧機種は、脆弱性が潜んでいるバージョンのままだったということです。緊急事態宣言というイレギュラーな状況に対応すべく、できる範囲で最善の策を打ったのでしょうが、そこに落とし穴が潜んでいたのでした。

photo
脆弱性が潜んでいた旧VPN装置を使ってしまった=平田機工のプレスリリースより
 この経緯を聞いて、「もしかしたら、うちでも十分起こりうることだ」と感じるネットワーク管理者は少なくないのではないでしょうか。

 筆者が思い出した別のインシデントは、これまたメディアを賑わせた、NTTコミュニケーションズに対する不正アクセスの一件です。同社の5月28日のプレスリリースによれば、新サービスへの移行に伴って撤去を控えていたサーバや一部の通信経路が、攻撃者の侵入経路として利用されたとあります。これもまた、環境の変化に伴うイレギュラーな状態を突かれた例といえそうです。

 いったん導入したシステムや環境が、未来永劫変わらないことはあり得ません。また、移行の過程で今回のテレワーク導入のような緊急対応を迫られたとき、十分なリソースがあるとも限りません。万全の対応は取れないけれど、「取りあえずその場をしのごう」というパターンは少なくないでしょうが、そこが攻撃者に狙われることは十分あり得るのだと、あらためて感じさせられます。

「脆弱性の修正を」という原則はまだ机上論?
 最後に、そして最も悩ましい課題があります。

止められないサービスを提供している機器やサーバに深刻な脆弱性が発覚したときにどう対応していくかという、これまた“古くて新しい”問題です。

 今回悪用された脆弱性は、2019年4月、つまり1年以上前にパッチが公開されていました。しかも、19年8月にはこの脆弱性を悪用する方法が公表され、脆弱な機器を探索していると思われるスキャン行為が増加したことから、JPCERTコーディネーションセンターなどが注意を呼び掛けており、ニュースにもなりました。

photo
JPCERTコーディネーションセンターが注意を呼び掛けていた
 先日開催された記者説明会の質疑応答によると、開発元であるパルスセキュアも、顧客に対し、パートナーなどを介してパッチの適用を複数回呼び掛けてきたことを明らかにしています。にもかかわらず、パッチを適用しないまま運用されている機器が残っており、被害が発生してしまいました。

 特定の用途向けに開発された「アプライアンス製品」だったということもあり、ソフトウェアとはちょっと受け止められ方が異なり、アップデートに手間取る側面があったのかもしれません。しかし、富士通がコラムで指摘している通り、「本来は信頼すべきVPNというネットワーク区間であるからこそ、それが知らぬうちに悪用された場合のリスクと想定される被害の大きさを正しく評価する必要がある」といえます。

 セキュリティの大原則として、「脆弱性が発覚したらアップデートしたり、パッチを適用したりしましょう」ということは、耳にたこができるほど叫ばれています。けれども問題なく動いているシステムや機器には手を触れたくなかったり、運用委託先も含めたメンテナンス時期の調整に手間取ったり、あるいは前述の「イレギュラーな状態」と相まってシステムの中で忘れ去られていたり、そもそも存在すら認知されていなかったり……原則には例外がつきものなのでしょうか。

 しかし攻撃者はそうした例外を見逃してはくれません。「パッチを当てて脆弱性を修正すること」はセキュリティの大原則ですが、実はその原則がまだ机上論であり、徹底していない場面があちこちにあるのだな、と思い知らされます。しかも最初にお伝えした通り、深刻な脆弱性は他のVPN機器にも、それどころか企業ITシステムを支えるあちこちのソフトウェアにも存在しています。それらとどう向き合えばいいのでしょうか。

photo
写真はイメージです(提供:ゲッティーイメージズ)

 逆のケースもあります。少し古い話になりますが、17年にはWebアプリケーションをJavaで効率よく開発できる「Apache Struts 2」に深刻な脆弱性が発覚したことがありました。このときは、修正パッチの公表後わずかな期間で複数のWebサイトがこの脆弱性を悪用する攻撃を受け、情報漏えいなどの被害が発生しています。IT部門側ができる限り早く対応に当たったにもかかわらず、間に合わなかったケースです。つまり、脆弱性が発覚すれば、1年以上たって攻撃されることもあれば、発覚からほんの数日のうちに悪用されることもあるのです。

 この事実を受け止め、自社のシステムでセキュリティの原則を本当に徹底するにはどうすればいいのか、運用現場の状況と折り合いを付けながら、どうリスクを減らしていくのかを、真剣に問い直すきっかけになったという意味で、今回の事件はまだまだ終わらないのかもしれません。』

VPNへの不正侵入を狙う「ビッシング」、ワンタイムパスワードでも防げない

VPNへの不正侵入を狙う「ビッシング」、ワンタイムパスワードでも防げない
勝村 幸博 日経クロステック/日経NETWORK
https://xtech.nikkei.com/atcl/nxt/column/18/00676/090300057/

『米連邦捜査局(FBI)と米国土安全保障省サイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)は2020年8月下旬、「ビッシング(vishing)」に関するセキュリティー勧告を合同で発表した。

FBIとCISAによるセキュリティー勧告
(出所:FBIとCISA)
[画像のクリックで拡大表示]

 ビッシングとは電話を使ったフィッシング詐欺。ボイスフィッシング(voice phishing)の略である。「音声フィッシング」などとも呼ばれる。一般的なフィッシングは偽メールなどを使うのに対して、ビッシングはユーザーに電話をかけて偽サイトに誘導し個人情報などを入力させる。

 ビッシング自体は新しくない。15年以上前から存在する手口だ。だが新型コロナウイルス禍でテレワークが一般的になっている現在、ビッシングが新たな脅威になっている。FBIとCISAは2020年7月中旬、米国のリモートワーカーをターゲットした大規模なビッシングキャンペーンを確認したという。一体、どのような手口なのだろうか。

狙いはVPNのパスワード
 従来のビッシングは主に銀行の口座情報を狙っていた。攻撃者は銀行の担当者を装って被害者候補に電話をして、偽のネットバンキングサイトなどに誘導。暗証番号などを入力させて盗む。

 偽の電話番号を記載した偽の銀行サイトを立ち上げて、被害者候補から攻撃者に電話をかけさせる手口もある。ビッシングの逆になるので、リバースビッシングとも呼ばれる。

関連記事:電話を使ったフィッシング詐欺、リバースビッシングに要警戒

 だが最近のビッシングの標的は、企業のVPN(仮想私設網)にログインするためのパスワードだ。コロナ禍により、現在では多くの企業がVPNによるテレワークを導入している。VPNはテレワークの要。インターネットと社内LANの境界に設置されたVPN製品を突破されると、社内の機密情報を盗まれてしまう。

 しかもテレワークでは対面での確認が難しくなり、電話やビジネスチャットなどに頼らざるを得なくなっている。攻撃者はそこに目を付けた。電話を使って偽のVPNログインサイトに誘導し、ログインに必要なパスワードなどを盗むのだ。

 FBIとCISAのセキュリティー勧告によると、攻撃の手順は次の通り。

 攻撃者はまず、標的とする企業の偽のVPNログインサイトを作成する。正規のサイトと思わせるために、それらしいドメインを取得するのが常とう手段のようだ。具体的には以下のようなドメインを使用する。[company]には標的とした企業の名称が入る。

support-[company]
ticket-[company]
employee-[company]
[company]-support
[company]-okta
 最後の「okta」とはID管理サービスの最大手である米Okta(オクタ)を指す。

関連記事:ID管理の米オクタが日本法人を設立、幅広いサポートを提供へ

 著名なセキュリティー研究者であるブライアン・クレブス氏は同氏の公式ブログで実例をいくつか挙げている。

 例えば、米Bank of America(バンク・オブ・アメリカ)や米AT&Tの社員を狙ったと思われる「bofaticket.com」および「helpdesk-att.com」を確認しているという。

米Bank of Americaの社員を狙ったと思われる偽サイト
(出所:Kreb on Security、urlscan.io)
[画像のクリックで拡大表示]
米AT&Tの社員を狙ったと思われる偽サイト
(出所:Kreb on Security、urlscan.io)
[画像のクリックで拡大表示]

怪しまれないために、偽ログインサイトのサーバー証明書を取得することも忘れない。つまり、該当ページのURLは「https」で始まり、Webブラウザーには鍵マーク(錠マーク)が表示される。

 加えて、ログインサイトの見た目も偽装する。企業が用意する正規のVPNログインサイトはインターネットからアクセス可能で、URLも推測可能なケースが多い。攻撃者は正規サイトにアクセスして画像などをコピーし、見た目をそっくりにする。

 次に攻撃者はターゲットになる社員を探す。SNS(交流サイト)で公開しているプロフィルやリクルートおよびマーケティングのツール、人物のバックグラウンドをチェックするツールなどを使って、標的企業の社員に関する情報を集めるという。

 FBIとCISAによると、その情報には社員の名前や自宅の住所、個人の携帯電話番号、所属や肩書、在籍期間といった情報が含まれているとする。

 攻撃者はこれらの情報を使って標的とした社員に電話をかけて、VPNのログインページが変更したこととそのURLを伝える。その際、攻撃者はその企業のIT部門やヘルプデスクのメンバーを装う。

 慌てた社員が偽のログインページにアクセスしてユーザーIDとパスワードを入力すると、それらは攻撃者に盗まれる。

新入社員が狙われる
 「ウチではユーザーIDとパスワード以外にワンタイムパスワードも必要なので大丈夫」と安心したあなた。大間違いである。この攻撃は、被害者と正規のログインサイトの間に偽サイトが割り込む中間者攻撃なので、ワンタイムパスワードは通用しない。

 被害者が偽サイトでユーザーIDとパスワードを入力すると、偽サイトはそれらを正規のログインサイトに送信する。正規サイトは被害者にワンタイムパスワードをメールやSMSで送信。受信した被害者はワンタイムパスワードを偽サイトに入力する。

 攻撃者はそのワンタイムパスワードを使ってVPNにログイン。社内ネットワークに侵入し、金銭的価値が高そうな情報やさらなるビッシングに使えそうな情報を盗む。

 想像してほしい。あなたがVPNに頼るテレワーカーだとする。ある日、あなたの携帯電話にIT部門やヘルプデスクを名乗る人から連絡がある。自分の所属や肩書を確認されたうえで、現在のVPNはまもなく使えなくなるから別のVPNを紹介すると言われる。

 紹介された別のVPNログインサイトにアクセスすると、ドメイン名はそれらしく、HTTPSで接続されている。ここで、ユーザーIDとパスワードを入力しないでいられるだろうか。筆者にはその自信はない。クレブス氏の公式ブログによると、この手口の成功率は高いようだ。

 ポイントはメールではなく電話であることだと思う。メールで「VPNのサイトが変わりました」と送られてきたら、多くの人は警戒するだろう。だが、自分のことを知っていると思われる人から電話がかかってきたら、信用してしまう可能性が高い。

 テレワークの普及により、VPNユーザーが爆発的に増えていることも攻撃者にとってのメリットだ。攻撃がうまくいかなかったらターゲットを変えればよい。現在では攻撃できる対象、すなわちアタックサーフェス(attack surface)が増えているため、攻撃が成功する可能性が高まっている。

 加えてクレブス氏の情報によると、新入社員がターゲットになっているらしい。ベテランなら、「何十年間もいるが、こんな電話がかかってきたことはない」と怪しむ余地があるが、新入社員なら「こんなものか」と受け入れる可能性が高い。

端末認証と周知が有効
 国内では被害が確認されていないが、対岸の火事ではない。国外でうまくいった手口は必ずといってよいほど国内に持ち込まれるからだ。

 対策としてFBIとCISAは、ワンタイムパスワードといったユーザー入力だけではVPNにアクセスできないようにすることを第一に挙げている。デジタル証明書やハードウエアトークン、インストールされているソフトウエアのチェックなどで、アクセスしようとしている端末も認証する。これならば、今回のような中間者攻撃を防げる。

 企業向けの対策としては、このほかに「侵入された場合でも被害が拡大しないようにVPNのアクセス時間を制限する」「自社ドメインに似た偽サイトを作られないように、新たに取得されたドメインを監視する」「不正なアクセスや変更がないか、Webアプリケーションをアクティブにスキャンして監視する」などを挙げている。だが、いずれも実現可能性や費用対効果に疑問がある。端末認証の併用が最適解だと思う。

 エンドユーザーの対策としては、「正規のVPNログインページのURLをブックマークして、電話で代替URLを伝えられてもアクセスしない」「知らない人からの電話や訪問、メールを信用しない」といったことを挙げている。とはいえ、これらが難しいことは歴史が証明している。

 とにかく、今回紹介したような手口が存在し、実際に被害が発生していることを周知することがエンドユーザー向けの対策としては最も有効だろう。』

ランサムウエア、狙われた病院 システム停止で身代金要求

 ※ ヒデー話しだな…。病院だったら「ファイル」が使用できなきゃ、人命にかかわってくる…。こうなると、「財産的な損害」だけの話しじゃなくなってくる…。

 ヤレヤレな世の中に、なって来たもんだ…。

 ともかく、「ハッキング」「クラッキング」の構図が、「大がかり」で、「根こそぎ浚って(さらって)行く」ものへと、変貌している感じだ…。

 その始まり、端緒は、「標的メール」から…、ということが多い…。

 しかし、「クリックさせる手口」も、日々巧妙化して行っている感じだ(オレも、この間やられたしな…)…。

 ともかく、「クリック」する前に、「一旦、踏みとどまって、考える。」癖を、つけんとな…。

『医療関連の組織がサイバー攻撃の標的となっている。新型コロナウイルス流行後も海外では病院のデータを凍結して「身代金」を要求する攻撃が起き、ワクチンなどの研究情報を狙う動きが表面化した。セキュリティー意識の遅れが指摘される国内の医療機関にとっても対岸の火事ではない。

チェコ第2の都市ブルノにある大学病院は3月13日朝、混乱に陥った。パソコンの画面に脅迫文が表示され、院内のシステムが使用不能になった。内部データを暗号化し、解除のための金銭を要求する「ランサムウエア」による攻撃だった。

新型コロナの検査も担う同国の中核病院の一つだが、一時は手術の延期や急患の受け入れ停止を余儀なくされたという。システムの完全復旧には数週間を要した。

攻撃を解析したセキュリティー会社アバストのヤクブ・クロウステク氏によると、使われたランサムウエアは「Defray」(デフレイ)。2017年には欧米の医療・教育機関への攻撃キャンペーンで使用された。

セキュリティー会社セキュアワークスによると、デフレイを使うグループはウイルスを仕込んだメールを送りつけるなどして内部システムに侵入。管理サーバーを掌握し、ネットワーク内の端末にデフレイを一斉に配信する。さらに不正アクセスを繰り返して復旧を妨害し、身代金を支払うよう追い込んでいく。

同社カウンター・スレット・ユニットの玉田清貴リサーチャーは「技術力の必要なツールを複数駆使し、攻撃レベルは高い」と語る。医療機関のシステム停止は人命に関わる。「復旧を優先して支払いに応じる確率が高いとみて標的にされる」

6月には、新型コロナの検査などに関わる米カリフォルニア大サンフランシスコ校の医学部で、別のランサムウエア「NetWalker(ネットウォーカー)」による被害が判明。同校は「苦渋の決断」として、データ回復のため約114万ドル(約1億2千万円)を攻撃者側に支払うと表明した。

同じランサムウエアは3月にスペインの病院への攻撃にも使われたとされる。セキュリティー会社米マカフィーは、ネットウォーカーを使う攻撃者側への暗号資産(仮想通貨)ビットコインの送金を追跡。3~7月だけで複数の組織から計2500万ドル(約26億5千万円)の身代金を脅し取ったとみている。

新型コロナのワクチン開発や臨床試験に取り組む研究機関や企業の情報も狙われている。

英米とカナダの当局は7月、「APT29」と呼ばれるロシアのハッカー集団が20年に入り継続的に3国でワクチン開発に関わる様々な組織に攻撃を仕掛けていたとして非難する声明を出した。

APT29は情報を盗み取るマルウエア(悪意のあるプログラム)を使うとされ、同系統のマルウエアは18年に日本企業への攻撃にも使われた。当時解析したラック・サイバー救急センターの石川芳浩氏は「いつ日本の研究機関などが狙われてもおかしくはない」とみる。

国内の医療機関の多くは患者情報などを扱うシステムを外部と切り離しており「攻撃を受けにくいという前提でセキュリティー意識が十分に高まってこなかった」と医療業界の関係者は話す。

だが18年には奈良県の病院の電子カルテシステムがランサムウエアに感染し、約1千人分の情報が暗号化される被害が起きた。近年、電子カルテのクラウドサービスを導入する施設も増えている。

医療機関などで国内外のサイバー攻撃の情報を共有する団体「医療ISAC」(東京)の深津博代表理事(愛知医科大病院医療情報部長)は「業界全体でセキュリティーの議論を深めていく必要がある」と強調する。』

VPNのパスワードはどう流出したのか、国内企業を襲ったサイバー攻撃の真相

VPNのパスワードはどう流出したのか、国内企業を襲ったサイバー攻撃の真相
勝村 幸博 日経クロステック/日経NETWORK
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04507/

※ パスワードを「平文」のままで記録しておくとか、勘弁してほしい話しだ…。素人のオレでも、その危険性は分かる…。ネットワーク責任者は、「切腹もの」だろう…。

※ この前紹介した「アドレス帳のハッキング」と言い、世の中「ハッキングの危険性」に満ち満ちている…。「ハッキング」は、されるもの…、「マルウェア」は、送り込まれるもの…、という前提で、もの事を考えた方がよさそうだ…。

※ それと、その「ハッキングされたぽい話し」に付け加えておく…。それは、win10の「更新」を、あえて「遅らせていたこと」との関係だ…。

※ 「更新」で不具合に見舞われるのがイヤで、わざと「遅らせていた」…。そうすると、今度は、「脆弱性の穴」が生じるんだよ…。

※ 悩ましいところだが、「バックアップ体制」しっかり取っておいて、「更新」はすぐに適用する方が良さそうだ…。今回、「見舞われて」そう思った…。

※ そのバックアップ体制の話しだが、「ウインドウズ・バックアップ」は、いずれ切られる…、という話しだ…。Acronisは、謎のサーバーとしきりに通信するんで、これもあまり信用できない…。

※ 全く、「どーすりゃいいのよ…。」状態だ…。ああ、AOSがあったか…。しかし、あれもやたら処理が遅いしな…。それと、レスキュー・ディスクとか作る体制が、イマイチだった…。どうしたものかねえ…。

『2020年8月下旬、国内企業が使うVPN(仮想私設網)製品からパスワードなどが流出したと報じられ話題になった。国内のセキュリティー組織であるJPCERTコーディネーションセンター(JPCERT/CC)も情報流出を確認。報道された情報と同一かまでは確認できなかったものの、国内に割り当てられたIPアドレスがおよそ90件含まれていたという。

 攻撃者はVPN製品の脆弱性を悪用して情報を盗んだと考えられる。どの脆弱性が悪用されたのか、どう流出したのか、流出した企業はどうすればよいのか。真相と対策を探った。

悪用が容易な脆弱性
 脆弱性を悪用されたのは、米Pulse Secure(パルスセキュア)のVPN製品「Pulse Connect Secure」とみられる。脆弱性の識別番号は「CVE-2019-11510」である。

 この脆弱性の特徴は、悪用が容易な点にある。細工を施したデータを該当のVPN製品に送信するだけで、ユーザー認証を経ることなくVPN製品に保存されている任意のファイルを取得できる。そのためのプログラムもインターネットで公開されている。さらに、同脆弱性にパッチを当てていない製品のIPアドレスも公開されているという。

関連記事:パッチ未適用のパルスセキュア社VPN、日本企業46社のIPアドレスがさらされる
 このため、同脆弱性を突こうとするアクセス(スキャン)が世界中で横行している。JPCERT/CCも同様のスキャンとみられる通信を観測。同脆弱性を狙った攻撃の被害報告が、国内の組織から複数寄せられたという。

 脆弱性が見つかったのは2019年4月。同時期にPulse Secureはパッチを提供したが、なかなか適用されなかったようだ。

 パッチ適用の有無は、不正アクセスに当たらない方法で容易に調べられる。セキュリティー企業の米Bad Packets(バッドパケッツ)が2019年8月末に調べたところ、世界で1万4500台の脆弱なVPN製品が存在し、そのうち1511台が日本国内にあるとしていた。

 JPCERT/CCによると、今回流出を確認した国内のIPアドレス90件は、この1511台のIPアドレスにほぼ含まれていた。このためパッチ未適用のPulse Secure製品から流出した情報だと推測できるとしている。

 その後対策が進み、脆弱なVPN製品は減っていったがまだ多数残っていると考えられる。JPCERT/CCによると、2020年3月24日時点でも298台残っていたという。

脆弱性(CVE-2019-11510)がある国内のパルスセキュア製品サーバー数の推移
(出所:JPCERTコーディネーションセンター)
[画像のクリックで拡大表示]

キャッシュファイルを盗まれた恐れ
 セキュリティー組織などがたびたび注意を呼びかけているものの、悪用が容易な脆弱性でパッチの適用も進んでいないため、国内外で被害報告が相次いでいる。

 最近では2020年8月4日に米メディアのZDNetが大規模な被害を報告した。900を超えるPulse Secure製品のユーザーIDとパスワードなどのリストが、あるフォーラム(攻撃者などが情報を交換するWebサイト)に投稿されていたというのだ。

 公開されている情報の件数などから、国内報道で話題になったのはこのリストである可能性が高い。今になって取り上げられたのは、この中に国内企業が含まれていたことが判明したためだと考えられる。

 JPCERT/CCによると、流出情報には該当製品のIPアドレスに加えて、ユーザーIDや暗号化されていない平文のパスワード、セッション情報などが公開されていたという。

 VPN製品に限らず、一般にコンピューターやセキュリティー機器はパスワードのハッシュ値しか保存しない。だがPulse Secureの該当製品には、一部の認証情報を平文で保存する場所があった。このためその場所のファイル(キャッシュファイル)を取得された可能性がある。

 実際にJPCERT/CCが脆弱性のある該当製品で検証したところ、平文のパスワードやセッション情報などを取得できたという。

多要素認証とパスワード変更で対応
 VPNのパスワードが流出したということで注目された今回のインシデント(セキュリティー事故)だが、事後対応が適切ならば慌てる必要はない。具体的にはパッチの適用に加えて、パスワード以外でも認証する多要素認証(2要素認証)を導入したりパスワードを変更したりすればよい。

 パッチを適用しても、盗まれたパスワードを使い続ければ不正にアクセスされてしまう。だが多要素認証を導入したりパスワードを変更したりすれば、盗まれたパスワードは使えなくなる。

 今回はPulse Secure製品だけが話題になったが、他社のVPN製品でも危険な脆弱性が見つかっている。VPN製品はテレワークの要。現在利用しているVPN製品に脆弱性がないかを確認し、影響を受けるようならパッチの適用といった対策が急務だ。

 さらに言えば、脆弱性を突かれてパスワードを盗まれたり侵入されたりすることはVPN製品に限った話ではない。インターネットからアクセス可能な製品やサービス全てが抱えるリスクである。そうした製品やサービスを運用する担当者は、セキュリティーの不備がないかどうかを改めて確認する必要がある。』

「アドレス帳」、ハッキングされた…ぽい…。

※ 今日は、こんなところにしておく…。

※ というのは、朝からメーリングソフトの「アドレス帳」がハッキングされ、記載していた「アドレス」が流出したらしく、その後始末に追われ、バタバタしたからだ…。

※ いきさつは、こうだ…。

※ メーリングソフトは、ジャストシステムのShurikenというものを、愛用していた…。

※ しかし、win10に変えたら、うまく動作しなくなった…。

※ それで、某有名無料メーリングソフトに乗り換えた…。

※ 最近、「更新」を促す表示が出たので、鵜呑みにして、クリックして「更新した」…。

※ そしたら、オレが使っている「ガラケー」に、標的メールらしきものが送信されて来たんだよ…。

※ そのメーリングソフトの「アドレス帳」の情報が、流出した…、としか思われない…。ケータイのメアドで、とても記憶できるシロモノじゃ無いからな…。自分のケータイに下書きを送って、仕上げる…、というようなことをやっていたので、自分へのケータイ・メアドを載せていた…。

※ 「アドレス帳」がハッキングされたとなると、そこに載っている人みんなに、「標的メール」が送信される危険性がある…。

※ それで、いきさつと「注意喚起」のメールを、記載していた皆さんに送る必要があった…。

※ 対策としては、メーリングソフトを変えて、「アドレス帳」の方は、「メモ帳」にテキスト形式で転記して、保存しといた…。

※ 現在、経過を観察中だ…。

※ Emotet(エモテット)の例にもあるように、「アドレス帳」がハッキングされると、自分だけでなく、そこに載っている人全員が迷惑する…。後始末が、大変になるんだ…。

※ イヤな世の中に、なったもんだな…。

テレワーク、VPN暗証番号流出 国内38社に不正接続

https://www.nikkei.com/article/DGXMZO62994110U0A820C2MM8000/

『日立化成や住友林業など国内の38社が不正アクセスを受け、テレワークに欠かせない社外接続の暗証番号が流出した恐れがあることが分かった。第三者が機密情報を抜き取ったり、ウイルスをばらまいたりする2次被害が予想される。事態を重く見た内閣サイバーセキュリティセンター(NISC)も調査に乗り出しており、企業は対策が急務となっている。

【関連記事】
VPN脆弱性、修正遅れ突く 「ゼロトラスト」不可欠
ウェブ会議「私だけ遅い」 社内の怪奇現象の正体

新型コロナウイルスの流行で、日本企業の大半が本社と社員の自宅をつなぐテレワーク対応を迫られている。今回流出が判明した中には、こうした在宅勤務を推進する企業も多く含まれている。ソフトや機器の更新を怠っていたとみられる例も散見され、リモート時代の情報リスクが改めて浮き彫りになった形だ。

漏洩したのは、VPN(仮想私設網)と呼ばれる接続サービスの利用情報だ。VPNは通信データを暗号化し、社外から業務システムに接続する際などに使う。実際の専用線を敷設するより導入コストが安いため、多くの企業が社員の在宅勤務などに役立てている。

NISCによると、8月中旬に犯罪サイト上で、世界900社超のVPN情報がやり取りされていることを確認。詳細を調べたところ、このうち38社は日本企業だったことが分かった。

日本経済新聞が入手した被害企業リストには、日立化成や住友林業、ゼンショーホールディングス、オンキヨーの名前が挙がっている。医薬品製造の全薬工業、エネルギー関連の岩谷産業、電力機器のダイヘン、自動車総連も含まれていた。

ロシア語を使うハッカーが各社に不正アクセスして情報を入手したとみられる。VPNを使う際のユーザー名やパスワード、ネット上の住所を示すIPアドレスが流通していた可能性がある。

悪意ある第三者に情報が渡れば、VPNを伝って各社の基幹システムへの侵入が可能となる。各社は「社員情報の流出などの被害は確認していない」(住友林業)と口をそろえる。だが特別な対策を取らないと、社員を装って社内情報を盗み見したり、内部からサイバー攻撃を仕掛けたりできる状態だという。

今回情報が流出した企業は、米専門企業パルスセキュアのVPNサービスを使っていた。パルスセキュアは世界で2万社以上の顧客を持つ業界大手だが、同社のVPNを巡っては2019年4月に自ら脆弱性についての情報を公表。修正プログラムも公開していた。

日本でも民間団体JPCERTコーディネーションセンターが注意を喚起していた。しかし必要な対策を取っていない企業が多く残っており、情報漏洩の危険性が問題視されていた。一部企業は安全性に問題があるままVPNを使い続けていたもようで、ハッカーはこの弱点を突いて情報を盗み取ったとみられる。

今後は38社を「踏み台」にして各社の取引先などへ不正アクセスを試みる動きも予想される。サイバーセキュリティー会社サイファーマ(東京・千代田)の山田正弘氏は「IDや暗証番号だけでなく、2要素認証などを導入し、監視を強化することが重要だ」と話す。

被害企業の多くは「当該装置は停止した」(日立化成)「必要な対応を取った」(全薬工業)とする。社員ごとにアクセス制限を設けるなど追加対策も欠かせない。

新型コロナの感染拡大を受け、企業はテレワークの体制拡充を急いでいる。NISCは緊急事態宣言が発令された4月以降、企業の安全対策の遅れが目立つと指摘。「混乱に乗じたサイバー攻撃の兆候がみられる」と警鐘を鳴らしていた。』

脆弱性、修正遅れ突く 「ゼロトラスト」不可欠
https://www.nikkei.com/article/DGXMZO62998890U0A820C2EA1000/

「今こそEDR-高度化するサイバー攻撃を迎え撃つ-」

『高度化したサイバー攻撃、ファイルレスマルウェアとは?
サイバー攻撃が高度化した今、万全の対策をしていても被害に遭ってしまう、ということが増えています。なかでも、高度化する脅威として危険視されているサイバー攻撃が、ファイルレスマルウェアです。このファイルレスマルウェアは、exeファイルなどの実行ファイルを使用せず、OS標準のツールを使用し、メモリー上で不正なコードを実行するのが特徴です。

通常のマルウェアによる攻撃の場合、実行ファイルがディスク上に保存され、メールの添付ファイルや、メールの文面でリンクされたWebサイトにアクセスすることで感染します。現在、多くの企業で導入されているEPPでは、実行ファイルに含まれるシグネチャと既知の脅威とのパターンマッチングを行い、水際で被害を食い止めます。しかし、実行ファイルを使用しないファイルレスマルウェアは、そもそもシグネチャがない、すなわちパターンマッチング対象が存在しないため、EPPでは検知することができません。

ファイルレスマルウェアの感染経路
ファイルレスマルウェアが危険視されている理由はこれだけではありません。それは、被害に気づいたとしても、感染原因や攻撃手法をつきとめることが極めて困難である点です。では、ファイルレスマルウェアの感染原因や攻撃手法はどのようになっているのでしょうか。

代表的な例では、実行形式ではないショートカットファイルやレジストリなどがメールに添付されます。そして、そのメールを開封し、添付されたファイルをクリックすることで感染しますが、その際、利用されるのがPowerShell などのOS標準のツールなのです。ディスク上ではなく、PCのメモリー上に悪意あるコードを展開して実行し、感染したPCを不正に操作します。

ファイルレスマルウェアの特徴をまとめると、以下の3点があげられます。
実行ファイルがなく、PCのディスク上に保存されない
EPPでは検索対象外である「メモリー」上で動作する
PowerShellなどの動作はログが残らないこともあり、検知や攻撃手法の特定が困難である
このようなファイルレスマルウェアは、1日当たり数万もの新種が誕生しているとも言われ、今後もさらに増加すると見られています。

これからのサイバー脅威に対抗するには、「侵入後の迅速な対応」を行うことが重要
サイバー攻撃が高度化の一途をたどる昨今、EPPのような既知の脅威を防御する手法だけでは、安全性を確保することがほぼ不可能です。侵入された後の挙動を分析して、脅威を検知する対策が重要となってきます。そこで登場するのが、新たなセキュリティ対策製品EDR(Endpoint Detection and Response)です。

EPPが主に既知の脅威から防御するものであるのに対し、EDRは不正な挙動・振る舞いを検知し、感染後の対応を迅速に行うことを目的としたセキュリティ製品です。EDRにより、EPPで検知できなかったファイルレスマルウェア等による不正な挙動をいち早く検知し、対応することが可能になります。

まとめ
大規模な被害を与えたサイバー攻撃が、企業環境内で検出されるまでの時間は、全世界で日本が最も遅く、平均17時間※1を要していることが分かっています。
ただし、この数字は最良のケースであり、データ漏洩事件の68%※1は、発見されるまで数カ月以上かかるということも分かっています。この数字だけで見ても、侵入したサイバー脅威が組織全体、関係各所に広がり、大きな被害をもたらす危険性が容易に想像できるでしょう。
※1 出展:ソフォス社「7つの気になる真実-エンドポイントセキュリティ」

今後、サイバー脅威はさらに進化し、ファイルを一切使用しない攻撃手法が生まれることも考えられます。こうしたリスクを少しでも軽減するためには、既知の脅威に対する防御に加え、感染をすばやく検知し、迅速な対応を行うことが重要です。』