Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

オンラインバンキング、情報漏えい、ブランド - サイバー犯罪者が会社を苦境に追い込む 3 つの方法

Created: 17 Sep 2010 09:05:08 GMT • Translations available: English
khaley's picture
0 0 Votes
Login to vote

「自分には起こり得ないこと」

攻撃者と情報詐取者。ほとんどの人が、ビジネスに対するサイバー犯罪を、標的の会社に侵入して窃盗を働くサイバー犯罪者などの攻撃者の仕業であると考えています。新聞を読めば、こうした攻撃者は大きな獲物を狙っていて、中小企業はこのような標的型攻撃については心配いらないと思いがちです。しかし、ここでは、このことについて取り上げたいと思います。サイバー犯罪者の大半は情報詐取者と呼ぶのがふさわしいかもしれません。彼らは大きな網を投げ入れ、網にかかった獲物を徹底的に利用します。中小企業であっても、情報詐取者には本当に警戒が必要です。

この種の犯罪には簡単に加わることができるため、多くの情報詐取者が存在します。情報詐取者は犯罪の天才である必要はありません。高度なコンピュータスキルすら不要です。ツールキットを購入する方法さえ知っていれば、専門的な知識は必要ありません。ツールキットがあれば、それほどスキルがない犯罪者でも、情報を収集し、それを転売することができます。


 
図 1. 全マルウェアのおよそ 4 分の 3 に複数の種類の攻撃手法が存在

上の図は、ツールキットがユーザーに与えた影響を示しています。2009 年のシマンテックの報告では、およそ 75 パーセントのマルウェアが、感染したコンピュータ上で 5 種類の攻撃を仕掛ける能力があることが示されています。現在の一般的なツールキットは、感染したコンピュータから金になる情報をあらゆる方法で盗み出せるように作られています。ユーザーがシステムに入力した内容を記録する(キーロガー。ユーザーが入力したパスワードを取り込むための簡単な方法)だけでなく、コンピュータ上にある電子メールアドレスを盗み出したり(スパマーに転売したり、他のユーザーを攻撃するため)、いつでもコンピュータに別のマルウェアを追加する(リモートアクセスにより、犯罪者は自分がほしいファイルをダウンロードし、実行できます)こともできます。このため、犯罪者は新しいマルウェアをコンピュータに仕込むことができます。こうしたマルウェアは偽のウイルス対策製品やスパムボットが一般的です。

この種の攻撃は誰にとっても心配の種です。中でも、中小企業に壊滅的な影響を及ぼしかねない攻撃の種類としては、特に以下の 3 つが挙げられます。下記では、いわゆる情報詐取者が中小企業から盗み出そうとするものについて、いくつか説明します。

#1 銀行口座からの全財産の不正引き出し

オンラインバンキングに特化したトロイの木馬

最も広く行き渡っているツールキットの 1 つに、中小企業が非常に懸念するような脅威をもたらすものがあります。このツールキットは Zeus といいます。

Zeus ツールキットを使用すれば、今お話してきたようなことをすべて行うことができますが、犯罪者の第一の目的は銀行口座情報を盗み出すことです。これは非常に金になる犯罪であり、残念なことに、中小企業は格好の餌食となります。

なぜでしょうか。ほとんどの場合、中小企業の方が消費者よりも口座にお金が入っています。その一方で、消費者と比較すると、中小企業では金融取引を保護するための対策が取られていない傾向にあります。

Zeus を使用している集団は 1 つではありません。このツールキットは広く利用され、地下経済で $700 ほどで購入することができます。取引によって流通し、盗まれることもあります。サイバー犯罪者はソフトウェアの不正コピーも厭わないため、違法ソフトウェアのベンダーも正規ソフトウェアのベンダーと同じように、不正コピーの問題に頭を悩ませているようです。

シマンテックの『インターネットセキュリティ脅威レポート第 XV (15) 号』によれば、2009 年には、Zeus のバイナリが 90,000 種類も検出されました。これは、Zeus 攻撃の背後に 90,000 の集団が存在するということではありませんが、Zeus を使用する集団が数千単位の亜種を作り上げていることは確かです。また、この数は、これを防ぐにはどれほど大変であるかを物語っています。

Zeus が標的のユーザーからお金を奪う方法は数多くあります。コンピュータからログイン情報やパスワード情報を収集することは極めて簡単です。まず、コンピュータ上に保存されているあらゆるパスワードを探し出そうとします。電子メールアドレスパスワードや Internet Explorer に保存されているその他のパスワードが収集され、犯罪者に送信されます。しかし、Zeus ではコンピュータ上に保存されている銀行口座情報を探し出す必要はありません。標的のユーザーから聞き出すことができるのです。

たとえば、ATM から不正にお金を引き出すことに秀でた犯罪者の仲間がいるとしましょう。銀行口座情報と暗証番号情報を入手できれば、その犯罪者は偽の ATM カードを作り、ATM から全財産を引き出すことができます。問題は暗証番号の入手です。これは、コンピュータ上に保存されているような類のものではありません。では、犯罪者はどうやってこれを入手するのでしょうか。そうです、単に尋ねてくるのです。Zeus ツールキットには、Web ページに特定の項目を挿入できる機能が実装されています。Zeus は、ユーザーが銀行の Web ページを閲覧するまで、じっとユーザーのコンピュータで待っています。ユーザーが銀行の Web ページを開いたら、ページのログイン情報およびパスワード部分に、暗証番号を聞き出すための項目を追加します。

Zeus を使用するサイバー犯罪者のほとんどは銀行のログイン情報とパスワードがほしいだけです。こうした情報がコンピュータ上に保存されていない場合(これは非常によいことです)、マルウェアは Web サイトにユーザーがアクセスし、必要な情報を入力するまでじっと待ちます。これはキーロギングと呼ばれ、その名の通り、入力したキーすべてが犯罪者に送信されます。これでは大量の情報になるため、ほとんどの場合、犯罪者はブラウザに yourbank.com といった情報が入力されるまで黙って監視し、目的の情報が入力された時点でキーロギングを開始します。サイバー犯罪者はログイン情報およびパスワードを手に入れると、そのユーザーとしてログインし、どこにでも好きな場所に簡単に送金することができます。

#2 知的財産および顧客情報の盗み出し

情報漏えい

自分の組織は、サイバー攻撃の標的になることはないと胸を張るかもしれません。自社の知的財産に関心があるようなライバルもいなければ、顧客情報を保存してもいない、社内のどのコンピュータにも価値のあるものなどない、銀行口座は空っぽだ。もしそうであれば、それは数少ない例の 1 つです。

コンピュータ上には貴重な情報が非常に多く残されています。それが、現在の仕事のやり方になっているからです。このため、どの中小企業でも、機密情報の安全性を保持することに神経質になるのは当然のことです。事実、最近の Symantec 2010 SMB Information Protection の調査によれば、中小企業(SMB)のほぼ 4 分の 3 が、極めて重要なビジネス情報の紛失を多少あるいは大いに危惧しています。42 パーセントがこれまでに機密扱いの電子情報を紛失した経験を持つことを考えれば、これは驚く結果ではありません。

貴重なデータが紛失または盗難にあったとき、セキュリティ業界ではこれを情報漏えいと呼びます。クレジットカード情報の盗難のほとんどはハッカーに原因があるものの、SMB も顧客と自らの両方の財務データの取り扱いと処理の仕方について十分注意する必要があります。同調査によれば、顧客情報を損失した SMB の 100 パーセントが収入の低下や直接的な財務費用の計上といった損失を経験しています。

#3 顧客喪失

ブランドの評判

中小企業は、ソーシャルネットワーキングなどの「Web 2.0」ソリューションが、顧客を探し出し、引き留めておくための理想的な手段であると見ています。大企業と同じ考え方をすると、ネットワーキング活動を通じてオンラインでブランドを構築することになります。しかし、残念ながら、こうしたブランド構築は、犯罪者にそういった Web 2.0 アカウントを強奪された場合、あっという間に失墜する恐れがあります。

Zeus のような脅威がログイン情報やパスワード情報をどのように手に入れるかについてこれまで話してきましたが、こうした攻撃で最もよく盗まれるのが Facebook と Twitter のアカウントです。これは、おそらく、これらのアカウントを所有している人が多いためでしょう。これは、犯罪者がアカウントにアクセスするための 1 つの手段を示す端的な例ですが、最も単純な方法ではありません。最も単純なのはフィッシング攻撃によるものです。

Facebook のアカウントを作成してから、下の図のような電子メールを受け取ったユーザーがいます。

しかし、実際に Facebook が送信したものは1 通もありません。Facebook がパスワードの変更を求める電子メールを送信することは決してありません。これはフィッシング攻撃です。この電子メールは、Facebook のログイン情報を盗み出すことだけを目的として犯罪者が Facebook に似せて作った Web サイトに誘導するものです。

もう 1 つよく使用される手法は、アカウントに便乗するマルウェアをコンピュータに感染させることです。このマルウェアはコンピュータに常駐し、必要とするあらゆるものをソーシャルネットワークアカウントや Twitter フィードに送り込みます。

これは何故でしょうか。犯罪者はユーザーのアカウントを使用して、詐欺を働いたり、スパムを送信したり、他のユーザーにマルウェアを感染させようとします。会社のアカウントは瞬く間に奇抜なダイエット計画の宣伝に利用されてしまうかもしれません。あるいは、会社のアカウントで「面白いよ」と教えたビデオを閲覧してしまった顧客には、望みもしないソフトウェアがインストールされてしまうかもしれません。


 
中小企業の事業主であれば、おそらく立地の重要性はよくご存知でしょう。立地の悪い場所にある店舗には顧客は行きたがりません。同じ考え方をすれば、オンラインの顧客が、スパムを送信したり、マルウェアを感染させたりするような会社にアクセスする(フォローする)ことはまずありません。中には、会社にはスパムやマルウェアの責任がないことをわかってくれる人もいるでしょう。しかし、フレンドリストから外れたり、フォローしなくなったりするのを阻止することはできないでしょう。こうして、これまで培ってきたオンラインブランドが、フィッシング詐欺師の手で破壊されてしまいます。

中小企業を保護するためのシマンテックからのご提案

•    従業員の教育。インターネットセキュリティガイドラインを作成し、インターネットの安全性、セキュリティ、および最近の脅威について従業員を教育してください。トレーニングでは、パスワードを定期的に変更することやモバイル端末を保護することの重要性を重点的に取り上げてください。

•    重要な企業情報の保護。企業の規模に関係なく、情報を保護することは極めて重要です。SMB では機密情報漏えいリスクが増大しています。SMB にとって、1 回のデータ漏えいが経済的破綻を意味することもあります。クレジットカード情報、顧客データ、従業員記録といった機密情報の安全性を確保するため、従来のウイルス対策だけでなく、包括的なセキュリティソリューションを導入してください。

•    効果的なバックアップおよびリカバリ計画の構築。情報を保護することは、ウイルス対策ソリューションを構築するだけではありません。洪水、地震、ウイルス、システム障害など、何らかの混乱が発生した場合でも SMB のデスクトップ、サーバー、およびアプリケーションの動作を円滑に維持するには、バックアップおよびリカバリが、情報を保護する上で極めて重要な要素になります。稼働停止が 1 回でも発生すると、顧客満足度の低下や手痛いダウンタイムを招くことになり、ビジネスに壊滅的な影響を与えます。

•    電子メールおよびWeb 資産の保護。SMB が機密情報を保護でき、日常の業務により多くの時間をかけることができるよう、スパムや電子メールによる脅威の軽減に有効なメールおよびWeb セキュリティソリューションを選択してください。スパマーやフィッシング詐欺師は最新のイベントやソーシャルエンジニアリング手法を駆使して、クレジットカードや銀行口座といった個人情報をユーザーから盗み出そうとします。