No150 多要素認証をも破る攻撃手法(情報セキュリティ10大脅威 2)
おかげさまで、このメールマガジンは3周年を迎えました。
皆さんのこれまでのご愛読に感謝しますと同時に、これからも一層
のご指導/ご支援をお願いいたします。
この一年間、メルマガで取り上げたことだけでも
・7payへの攻撃とサービス停止(7月)
・SMSを悪用したフィッシング詐欺(9月)
・ハードディスク不正転売事件(12月)
・Windows7の終了(2020年1月)
・三菱電機の大規模情報漏洩事故(2020年1月)
など、様々なできごとがありました。
今年もきっと思いがけない事件が起きるでしょう。
未来はなかなか予測できるものではありませんが、過去は振り返る
ことができます。
IPAの「情報セキュリティ10大脅威」はそういった過去を振り
返る絶好の機会を提供してくれています。
今回もその内容をトピックスとして拾ってみます。
目次
1. IPAとは?(再掲)
2. 情報セキュリティ10大脅威とは?(前回の抜粋)
3. 予期せぬIT基盤の障害に伴う業務停止
4. インターネットバンキングの不正利用
1. IPAとは?(再掲)
IPAという組織はこのメルマガで何度も紹介しています。
https://www.ipa.go.jp
URLを見るとわかる通り、最後が go.jp です。
そう、皆さんもご存知の co.jp ではなくて、go.jp なんです。
これは国や政府(goverment)に関わるサイトだけが使えるドメイン
で一般企業や団体は使えないドメインなんです。
IPAもそういった機関の一つで、正式名称は「情報処理推進機構」
と言う独立行政法人です。
ここは、情報処理技術者試験の実施や情報セキュリティの啓蒙
の推進などを主目的に設立されています。
なんちゃら機構だとか独立行政法人などといわれると、融通のきか
ない形式主義的な組織をイメージする方も多いでしょう。
ま、実際IPAもその傾向はあります。
それでも、一般の方にとっつきやすいようにマンガ形式を使って
みたり、動画を作ったりと工夫されています。
2. 情報セキュリティ10大脅威とは?(前回の抜粋)
そのIPAが毎年2~3月に発表しているのが「情報セキュリティ10
大脅威」というものです。
これは、毎年のセキュリティ事故や事件の中でも社会的に影響が
大きかったもののベスト10(いや、ワースト10か)を有識者の
審議と投票で決めたものです。
その2020年版(内容は2019年の事件や事故が対象)が発表され
ました。
今回の10大脅威は次の通りです。
組織向けの10大脅威
1位 標的型攻撃による被害(前年1位)
2位 内部不正による情報漏えい (前年5位)
3位 ビジネスメール詐欺による被害 (前年2位)
4位 サプライチェーンの弱点を悪用した攻撃の高まり(前年4位)
5位 ランサムウェアによる被害(前年3位)
6位 予期せぬIT基盤の障害に伴う業務停止(前年16位)
7位 不注意による情報漏洩 (前年10位)
8位 インターネットサービスからの個人情報の窃取(前年7位)
9位 IoT機器の脆弱性の顕在化 (前年8位)
10位 サービス妨害攻撃によるサービスの停止 (前年6位)
個人向けの10大脅威
1位 スマホ決済の不正利用(初登場)
2位 フィッシングによる個人情報等の詐取(前年2位)
3位 クレジットカード情報の不正利用(前年1位)
4位 インターネットバンキングの不正利用(前年7位)
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求(前年4位)
6位 不正アプリによるスマートフォン利用者への被害(前年3位)
7位 ネット上の誹謗・中傷・デマ(前年5位)
8位 インターネットサービスへの不正ログイン(前年8位)
9位 偽警告によるインターネット詐欺(前年6位)
10位 インターネット上のサービスからの個人情報の窃取(前年12位)
前回は、このうち個人向けでいきなり一位にランクインした、
スマホ決済の不正利用について、攻撃側の考え方について解説を
しました。
今回は昨年度よりランクの上がった2つの脅威について解説
しましょう。
組織6位 予期せぬIT基盤の障害に伴う業務停止(前年16位)
個人4位 インターネットバンキングの不正利用(前年7位)
3. 予期せぬIT基盤の障害に伴う業務停止
これは組織向けの脅のうち6位の脅威です。
この表題だけだと何のことかわからないですよね。
ここでいうIT基盤というのは、レンタルサーバやクラウドサービス
といったものを指します。
そういったサービスを利用中にトラブルが起きると、業務が続け
られなくなるということを指しています。
他人のトラブルによって、自分たちの業務が止められるのは迷惑な
話ですが、業務が止まって困るのは自分達です。
ちなみに、このテのサービスでは月に数時間程度の停止は許すと
いう契約になっていて、もっと長時間の停止でも支払ったサービス
料がタダになるだけでそれ以上の損害請求はできません。
自分の身は自分で守るのが一番です。
こういったトラブルが起きた時に取るべき行動をBCP(事業継続
計画)として定めることは有効ですし、バックアップデータをリス
トアできるように訓練をしておくことも有効です。
「だからレンタルサーバやクラウドサービスがダメだ」ということ
ではありません。
組織内にサーバを置いた場合に比べ、レンタルサーバは運用のプロ
が管理しますから、圧倒的に故障率やトラブル発生率は低いのです。
何事もそうですが、サービスを妄信せずいざという時の計画を立て
ておけば、トラブルがあってもあたふたせずに済みます。
(それでもトラブル時は大変ですけどね)
なお、この脅威が前年の16位から6位に急上昇したのは、AWS
(Amazon Web Serviceの略で通信販売会社のAmazonが運営している
クラウドサービス)とJip-Base(自治体向けのクラウドサービス)
の2つで、多くの利用者が影響を受けるトラブルが発生したため
です。
いずれのトラブルも人為的なミスが原因でした。
いくら高品質なサービスを提供している事業者であってもミスを
なくすことは非常に難しいわけです。
上にも書いた通り、サービスを利用する側も「自分の身は自分で
守る」という意識が必要です。
4. インターネットバンキングの不正利用
こちらは個人向けの脅のうち4位の脅威です。
こちらは昨年は7位とはいえ、毎年のように10大脅威に含まれる
いわば常連です。
今回、わざわざ取り上げたのは、インターネットバンキングの不正
利用による被害が2019年の9月以降に急激に増えたためです。
手口としては今までにもあったものですが、ショートメッセージ
サービス(SMS)を利用して「あなたの口座が利用停止となって
いる」といった偽のメッセージを送りつけ、SMSに記載された
URLへのアクセスを促すものです。
一方、最近の金融機関は上記のような詐欺にひっかからないように
するため、重要な手続き(例えば送金)の時にはIDとパスワード
だけでなく、他の情報も入力させるようになっています。
よくあるのは、手続きの途中で携帯電話にパスフレーズを送付し、
それを入力しないと先に進めなくするというものです。
こういった方法を多要素認証といいます。
携帯電話は本人しか持っていないわけですから、例えIDとパス
ワードが盗まれてしまっても、悪用される心配がないというスグレ
ものです。
ところが、これをも破るようなフィッシング詐欺が登場しました。
手口はとても単純です。
まず、攻撃者はフィッシングメールを送付します。
そのメールには「○○銀行です。あなたの口座が悪用されたため、
一時的に口座を利用不可としています。再開するには以下のURL
にアクセスしてください」などと書いておきます。
そのURLは○○銀行とは全く関係のないサイトのURLになって
います。
被害者がそのURLにアクセスすると○○銀行の画面とそっくりの
IDとパスワードの入力画面が表示されます。
ここでIDとパスワードを入力すると、「あなたの携帯電話に
ショートメッセージをお送りしましたので、そのパスフレーズを
入力してください」と表示されます。
その瞬間、確かに○○銀行からショートメッセージが届きます。
実はこの時、攻撃者側は被害者の入力したIDとパスワードを本物
の銀行のサイトで入力してログインし、送金サービスを選択します。
上述の通り、送金を行う時には多要素認証が必要ですから、パス
フレーズを登録された携帯電話に送付します。
そう、被害者が受け取ったパスフレーズは、攻撃側が送金サービス
を行おうとしたから送付されたものなのです。
ここで、画面に従ってパスフレーズを入力すれば、ジ・エンドです。
攻撃側はそのパスフレーズを入力すれば、あなたの口座から好きな
ように送金ができてしまいます。
従来からあるありふれた脅威であっても、手を変え品を変えて攻撃
側は狙ってきます。
安全と誤認することはもっとも危険です。
常に、は難しいですが、少しでも興味を持って最新情報に触れる
ことは、脅威から身を守るためにも大切です。
是非、皆さんも「情報セキュリティ10大脅威」をご覧になって
ください。
今回は、情報セキュリティ10大脅威の中から
組織6位 予期せぬIT基盤の障害に伴う業務停止(前年16位)
個人4位 インターネットバンキングの不正利用(前年7位)
について解説しました。
次回もお楽しみに。