Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

Threat Metrixのサイバー犯罪報告書2017を見てみた。

デジタル・アイデンティティ企業のThreatMetrix社(リスクベース認証等々で有名な米国企業)が、「サイバー犯罪報告書2017」を発表していましたので、その概要を見てみました。

news.biglobe.ne.jp

残念ながら英語のレポートしか無い様ですが、翻訳概要文を見てもなかなか興味深いサイバー犯罪の傾向が伺えます。

モバイルでの取引量が83パーセント近くも増加:2017年、モバイルからの取引が初めてデスクトップからの取引を追いこし、消費者はマルチデバイスでの取引を開始。
アカウントの乗っ取り攻撃が170%増加:今では10秒に1件発生
■ 不正な新規アカウントは2015〜2017年の間に8300万件申請:サイバー犯罪者たちは、漏洩やダークサイトから得たアイデンティティデータをつぎはぎして完璧なアイデンティティを構築し、新しいアカウントを作成。

モバイル取引の拡大については、言うまでもないことでしょう。スマホ機器が拡大を続けており、PCからのログインよりもスマホ経由でのアクセスというのが一般的になりました。当然犯罪もスマホにシフトしてきています。

アカウント乗っ取りは、「パスワードリスト攻撃」と言い換えられるかも知れません。成功している失敗している(被害の件数)はともかくとして、日本でも毎月何件も不正アクセスによる個人情報漏えい事件が出てきている現状を考えると、170%増加というのも分かります。

今年最も気をつけないといけないのが『完璧なアイデンティティ』によるアカウント不正作成ではないでしょうか。個人情報は色々なサイトで漏れ続けており、その事件で被害が出なければ、人はその事件を忘れてしまい警戒を解いてしまうかも知れません。ですが例えば、会社のメールアドレスと氏名が漏れ、自治体から氏名、マイナンバーカードの番号と住所が漏れ、ECサイトから住所、氏名、メールアドレスと一緒にクレジットカード情報が漏れた場合、、、、かなり詳細の個人情報がまとまってしまいます。この情報を元に、標的型攻撃をする事も考えられますし、不正アカウントを開設されて事件の犯人にされてしまう懸念も出てきてしまいます。

 

■ 過去2年間で、不正な支払いは100%増加:サイバー犯罪者たちは盗んだクレジットカードを使い、あるいは被害者の銀行口座に侵入して、新たな受取人に送金。
■ 車の相乗りやギフトカードのトレーディングサイトなどの新興産業は不正の標的に:サイバー犯罪は新しいプラットフォームを悪用する傾向
ハッカーたちはさらに狡猾に:ハッカーたちは、個人に検出されるのを困難にするために努力を重ねていることが「サイバー犯罪報告書2017」で確認された。例えば、ソーシャルエンジニアリングでは、消費者に不正が行われたと思いこませ、「自分のアカウントを安全にするために」実際には詐欺師たちにアクセス情報を提供するように誘導

クレジットカードは金銭的利益が見込める犯罪分野ですので、この分野での犯罪が増加しているのも納得できる気がします。また、何度か書いていますが、米国での磁気カードからICカード切り替えが急速に進んでいますので、米国市場での最後の利益(磁気カード対象)を狙った攻撃が続いている事も、この傾向の背景にはあるのかも知れません。

新興産業という表現をFinTech企業やベンチャー企業という日本語に置き換えると、この分野が潜在的に狙われているのもよく分かります。ビジネスを短期に立ち上げる(そしてその後の創業者利益を狙う)事を重視するベンチャー企業は、セキュリティに意識を向けてなあるいは、最低限のセキュリティしか考えてない場合があるので、攻撃側からすれば狙い易い対象になりつつあります。Uberなどの事件を見ても、こうした急速に伸びた企業がもつ脆弱性は理解できます。

最後に、これも今年気をつけるべきだと個人的に思うのが、ソーシャルエンジニアリングとの組み合わせの犯罪です。人が脆弱であるケースも多いので、いくら技術やプロセスを強化しても人の部分が弱ければ、インシデントに巻き込まれる可能性は高い。そうした意味では人の脆弱性に付け込む、ソーシャルエンジニアリングは古くからの手法であっても、サイバー攻撃との組み合わせによって、新しい攻撃に化ける可能性が高いと言えるかも知れません。

 

以下参考まで(元レポートダウンロードサイト

www.threatmetrix.com

サイバー戦争のイラスト

 

更新履歴

  • 2018年1月21日 PM(予約投稿)