大規模なサイバー攻撃・・・マルウェア「Mirai」に注意！10 月のマンスリーセキュリティレポート

サイバー犯罪者は常にターゲットを探しており、攻撃の手法や技術も進化させています。そのため、強力なセキュリティ対策を構築していても、100％の防御は難しいのです。マンスリーセキュリティレポートでは、特徴的な情報漏えい事件やセキュリティ侵害事件、業界の話題などをピックアップし、考察していきます。

【目次】
・2016年10月の情報漏えい事件
・漏えい事件の原因を考察
・どうすれば漏えい事件を防げたのか
・2016年10月のトピック

2016年10月の情報漏えい事件

2016年10月も、いくつかの情報漏えい事件が発生しました。今回はその中から、特徴的な2つの事件を取り上げます。まず10月7日、ある大学において同大学の職員が誤ってフィッシングサイトにアクセスしてしまい、IDとパスワードを窃取され、学生や卒業生の個人情報が漏えいしたと発表しました。

これは10月7日に更新情報が公開されたもので、同大学の職員が学外から発信されたメールにあった学外のフィッシングサイトに誤ってアクセスした結果、IDとパスワードを盗まれ、学生や卒業生ら1,466人分の個人情報が漏えいしたというものでした。

10月29日には、ホテル業務を行う企業において、個人情報が記載された入会申込書の廃棄方法にミスがあったと発表しました。同社では、個人情報を含む書類は、より確実な独自の方法により廃棄する決まりでしたが、誤って一般廃棄物と一緒に廃棄処理を行ってしまったとのことです。

今回誤った方法で廃棄された入会申込書は、平成25年4月から平成26年3月までの入会分の一部で、保管期限を過ぎ廃棄のために倉庫内に仮置きされていたといいます。同月25日に同社内の廃棄物処理設備に投入され、翌26日早朝に収集業者が収集車にて収集し、市内の焼却施設に持ち込まれました。同社では、すでに焼却処分されたことを確認しており、個人情報漏えいの心配はないとしています。

 

漏えい事件の原因を考察

大学の事件は、なりすましによる「不正ログイン」に該当するものです。ただし、「学外」からのメールによりフィッシングサイトにアクセスしてしまい、IDとパスワードを窃取され、その結果「学内」の情報が漏えいしたということは、不特定多数を狙うフィッシングというよりは特定の個人を狙ったスピアフィッシング、つまり標的型攻撃に近いと思われます。

同大学のサイトには詳細な情報はありませんが、少なくともメールには学生や卒業生の情報にアクセスするためのサイトへのリンクが記載されていたと思われます。つまり、このメールを送信した犯人は、学内にある独自のサイトを知っており、そのサイトにそっくりなフィッシングサイトを用意したと考えられます。犯人は同大学の学生や卒業生、あるいは関係者など、内部の事情に詳しい者である可能性があります。

フィッシングの仕組み

　ホテル業務を行う企業の事件は、機密情報の廃棄方法を間違えてしまったというものです。誤って一般廃棄物に出してしまったのは入会申込書といいますから、おそらく入会申込者の氏名や住所、電話番号などが記載されていたと思われます。

こうした機密情報は、再利用できない状態にして廃棄する必要があります。同社では機密情報の廃棄であることは認識していたようですが、仮置きしていたことが伝わらず、社内の廃棄物処理施設に運ばれ、一般廃棄物と一緒に処理されてしまいました。紙媒体なので焼却は最適な廃棄方法のひとつですが、管理の甘さは否めない印象です。

 

どうすれば漏えい事件を防げたのか

フィッシングメールは、オンラインバンキングやオンラインゲームなどを騙るケースが一般的で、不特定多数に送られます。メールには、「セキュリティ対策を更新した」、あるいは「情報漏えいが発生した」といった理由で、メールにあるリンクをクリックして、ログインページからログインし、アカウントの確認をするようにと誘導します。

しかし、リンク先のサイトは正規のページとまったく同じですが、このページはサイバー犯罪者が用意した偽のサイト（フィッシングサイト）です。そこに入力したログインIDとパスワードは、サイバー犯罪者に入手されてしまい、本人になりすましてサービスにログインし、不正送金やゲーム内通貨の購入などをされてしまいます。

ただし、今回のケースは一般に広く公開されているサービスではなく、大学の職員や学生、卒業生向けに限定されたサイトでした。このため、犯人は内部の人間か、かつて在籍した人間や関係者、あるいは予備調査を入念に行った犯罪者の可能性があるといえます。以前のフィッシングメールは日本語に不自然な部分がありましたが、最近では不自然さがなくなり、文面からフィッシングであることを見抜くのは難しくなっています。

フィッシングを見破る要素としては、リンク先のURLアドレスがあります。こうした重要な情報にアクセスできるサイトを開くときには、メールの本文にあるリンクではなく、ウェブブラウザの「お気に入り」からアクセスするか、直接URLを入力することがポイントです。また、メールをHTML表示でなくテキスト表示にすることで、リンク先のURLアドレスを確認できます。アドレスを確認することで、不審な点に気付ける可能性も高くなります。

HTML表示とテキスト表示

　個人情報が記載された書類は、使用の終了など不要になった際には迅速な廃棄処分が必要です。今回の例では入会申込書ですので、一定の期間が経過すると廃棄する決まりになっていると思われます。また、個人情報の廃棄は紙媒体だけでなく、電子媒体でも同様に確実な廃棄が必要です。

いずれも再利用が不可能な状態、再現できない状態にすることが求められます。紙媒体はシュレッダーを使うケースもあると思われますが、地道な作業によって個人情報が再現されてしまう可能性も否めません。紙媒体の場合は、焼却や融解がもっとも確実な方法とされています。

電子媒体の場合も、単にPC上でファイルを消去しても、データそのものは残っています。データに「削除されたデータ」という情報を付加することでPCから見えなくするだけで、データ復旧ソフトなどで再現できてしまいます。専用のデータ消去ソフトを用いるようにしましょう。

情報漏えい事故の実例では、企業がPCを買い替えた際に古いPCを引き取った業者が、データの消去を完全に行わないまま中古PCショップに販売し、そこで中古PCの購入者が消去されていないデータの存在に気づいたというケースもあります。廃棄を業者に委託する場合には、セキュリティ対策の体制や廃棄処分方法を満たした上で、適正なコストのサービスを選ぶようにしましょう。

 

2016年10月のトピック

2016年10月には、警察庁やIPA（独立行政法人 情報処理推進機構）、セキュリティベンダーなどから、IoT機器を大規模なサイバー攻撃に利用されてしまうケースについて、注意喚起が行われました。実際に複数の大規模なサイバー攻撃が確認されています。代表的な攻撃は、「Mirai」と呼ばれるマルウェアによって引き起こされます。

Miraiは、インターネット上にあるルーターなどを探索し、初期設定で使われることの多いユーザ名とパスワードの組み合わせによりログインを試します。ログインに成功すると、その機器をボット化し、ボットネットワークに組み込みます。ボットとは、サイバー犯罪者に乗っ取られた機器のことで、犯罪者は自由に遠隔操作できます。犯罪者はボット化した機器でネットワークを構成します。これがボットネットワークです。

Miraiに感染したIoT機器は数十万台あるといわれ、犯罪者はこのボットネットワークを使って特定のサイトにDDoS攻撃をかけます。DDoS攻撃とは、大量の機器から特定のサイトにリクエストを送ることで、そのサイトを利用不能にする攻撃のことです。そして、DDoS攻撃をやめることを条件に、サイトから金銭を脅し取ろうとするケースもあります。

この攻撃の入口となるのが、企業や家庭に設置されているブロードバンドルーターです。ルーターには管理用の機能があり、そこにアクセスするにはIDとパスワードが必要になるのですが、多くの場合、初期設定のままのIDとパスワードで使用されています。メーカーや機種によって初期設定のIDとパスワードは共通ですので、ルーターに脆弱性があると容易に不正アクセスされてしまいます。

ユーザが気づかずに加害者になってしまわないためにも、ルーターなどのネットワーク機器のIDとパスワードを確認し、初期状態のままであれば変更しましょう。変更する際には、容易に推測されないような文字の組み合わせを設定するようにします。また、ルーターに最新のセキュリティパッチを当てることも重要な対策です。ルーターに侵入されてしまうと、そこに接続されたPCやゲーム機器、スマートテレビなども攻撃に悪用されたり、マルウェアに感染する可能性がありますので、注意が必要です。

ルーターへの攻撃