2014年の国内のネット犯罪ではマルウェアによるオンラインバンキングの不正送金被害が話題になった。2015年は犯罪手口のさらなる高度化が予想されるという。
2014年に国内で発生したネット犯罪の中でも、マルウェアによるオンラインバンキングの不正送金被害が社内の注目を集めた。2015年のネット犯罪はどんな様相を見せるのか。米EMCのセキュリティ部門RSA Securityでネット犯罪対策を担当するアダム・ハングル氏が、2014年の世界での動向や2015年の予測を紹介している。
警察庁によると、オンラインバンキングの不正送金被害額は2014年上期だけで約18億5200万円に達しており、通年では2013年の被害額を大きく上回るとみられる。特に、法人名義口座の被害が急増している。
ハングル氏は、世界的にみても企業や法人がネット犯罪の被害に遭うケースが目立つようになったと話す。「従来の犯罪は消費者の情報が狙われたが、企業に対しては高度な手口が使われ、結果的に彼らの顧客情報が盗まれるなどの被害が増えている。犯罪者からすれば、個々の消費者を狙うより企業を狙う方が効率的だからだろう」
同社が2014年上期に検知したネット犯罪でのマルウェアは、「Zeus」と呼ばれる遠隔操作機能などを備えた高機能型が82%を占めた(亜種などを含む)。感染手法も多様化しており、例えば、ユーザーがダウンロードしたPCのスクリーンセイバーのファイルに混入しているケースがあった。
こうしたマルウェアによって盗み取られた情報(クレジットカード情報や個人情報など)は、闇市場で大量に販売されている。
また、闇市場では犯罪を行うための手段がサービスとして提供されている。大量の通信を発生させて企業のシステムをダウンさせる「DDoS攻撃」を1時間あたり8ドル(約1000円)で仕掛けることができるサービスも見つかった。ハングル氏によれば、大手の電子商取引(EC)サイトがDDoS攻撃を受けてダウンした場合、1時間あたりの損害額(取引できなかった金額など)は340万ドルに達するという。
スマートフォンなどのモバイル端末も狙われるようになった。同社が観測したオンライン処理の約27%がモバイル端末によるものであり、不正なオンライン処理に絞るとその割合は40%にもなる。海外では企業やサービスなどになりすましたSMS(ショートメッセージ)をユーザーに送りつけて詐欺サイトに誘導させる攻撃が発生しており、やはり闇市場で攻撃用ツールが出回っている。
ネット犯罪の世界では高度な知識や多額の資金を必要とせず、簡単な準備だけで企業に深刻なダメージを与えられる手段が普及するような状況になった。多くの犯罪者は最終的に金を得ることが目的だという。
だが、犯罪者の中にはある種の信念を動機に企業や組織へサイバー攻撃を仕掛ける「ハクティビスト」もおり、ハクティビストによる被害も目立つようになった。「彼らは気に入らない組織の内部を暴いたり、事業活動を妨害したりといったことが目的だ。犯罪者の動機は金銭以外にも広まっている」(ハングル氏)
ハングル氏は、2015年のネット犯罪が2014年にみられるこうした特徴がより鮮明になっていくだろうと予想する。
これまでのネット犯罪は、金銭につながる金融機関やECサイト、医療機関など機密性の高い情報(=闇市場で高く売れる)を扱う組織などが主に狙われたが、ハクティビストのような目的では交通や社会インフラなど公共性の高い企業もより狙われるだろうという。
また、米国では2014年後半に小売企業からの情報流出事件が相次いでおり、2015年も引き続き被害の拡大が見込まれる。ハングル氏は、「IoT(モノのインターネット)」を悪用する犯罪も増えるとみている。2013年末に大量の情報流出が起きた米Targetの事件では、マルウェアが直接情報システムを狙うのではなく、空調管理システムのネットワークを経由して侵入したといわれる。これまでのセキュリティ対策は情報システムに主眼が置かれたが、その盲点を突くケースとして注目を集めた。
今後の企業でのセキュリティ対策についてバングル氏は、「自社にとってどんなリスクがあり、その影響がどのようなものかを評価し、正確に把握することが大切。そのためには、犯罪者がどのような動機を持っているのかを理解することも必要になる。その結果に基づいて適切な対策を講じていくべきだ」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.