0
会員になると、いいね!でマイページに保存できます。
IoT(Internet of Thing)デバイスやスマートスピーカーなどの普及は、サイバー攻撃者にとっては攻撃窓口の増加を意味する。新たなデバイスを狙った攻撃手法が登場する一方で、偽Webサイトにユーザーを誘導して情報を盗取する“古典的”な攻撃手法も依然として脅威となっている。現在、我々はどのようなセキュリティ脅威にさらされているのか。その最新動向を、2019年3月に米国サンフランシスコで開催された「RSA Conference 2019」の会場で、米RSA SecurityでRSA FraudActionの責任者を務めるダニエル・コーヘン(Daniel Cohen)氏に聞いた。
いちばんの脅威はフィッシング攻撃
──個人ユーザーを狙った攻撃手法の現状をお教えください。
コーヘン氏:さまざまな攻撃手法が登場しているが、いちばん多い攻撃は従来型のフィッシングや標的型攻撃だ。RSAの不正対策指令センター(AFCC)が2018年に処理した攻撃数は14万件超になるが、そのうち約50%がフィッシング攻撃だった。
また、2018年はマルウェアを使った攻撃は減少したが、モバイルデバイスに対する攻撃は増加した。具体的には、偽アプリをインストールさせ、情報を盗取するものだ。2018年第4四半期(10~12月)では、攻撃の20%がモバイルデバイスに対するものだった。
──脅威となる新たな攻撃手法にはどのようなものがあるのでしょうか。
コーヘン氏:新しい攻撃手法ではないが、注意すべきは「リバース・ボィッシング」だ。これは「声(ボイス)」を使ったフィッシング攻撃で、電話や音声コンタクト(アプリ)をツールとしてターゲットをだます。
具体的には電話や音声チャットを使ってパスワードやクレジットカード情報を聞き出す手法で、Webサイトを悪用したフィッシング詐欺より古典的な手法だ。
攻撃者にとって“コツ”が必要なのは、ファーストコンタクトだ。攻撃の一例を紹介しよう。Google(のサービス)にログインするパスワードを忘れたとする。その時にユーザーはどのような行動を起こすだろうか。
──Googleで再設定方法を検索する、でしょうか。
コーヘン氏:そのとおり。検索の結果、トップ画面に「Googleのパスワードについてのサポートはこちら」といったWebサイトやコンタクト先があれば、そこに連絡するだろう。ユーザーは「自分で検索した結果」だから、そのサイトが詐欺サイトだとは考えない。攻撃者はユーザーの心理を読み、SEO対策をしたり広告を買い取ったりして(目立つところに)検索結果を表示させる。
ユーザーがコンタクトをしてくれば、あとは簡単だ。ユーザーは攻撃者をサポートセンターだと信じ込んでいる。あとは(攻撃者が)欲しい情報を聞き出せばよい。一度被害者を信用させてしまえば、成功率が高い。これらの攻撃は、少ない“投資”で見返りが多い。
もう1つは「Google Map」の機能を悪用した攻撃だ。Google Mapにはレストランやオフィス、銀行などの住所や電話番号情報が掲載できる機能がある。これらの情報は書き換えが可能だ。だから、たとえば、アクセスが多いスターバックスの電話番号を書き換え、電話をしてきたユーザーから注文を受け「(支払で利用する)クレジットカード情報をお願いします」と言えばよい。
Facebookがダークウェブの入り口に…
──Webサイトにはあらゆる所にトラップが仕掛けてあることを自覚すべきであるということですね。では、SNS(Social Network Service)を悪用した攻撃のトレンドはどのようなものがあるのでしょうか。
コーヘン氏:SNSに偽URLを掲載して誘導する手口は相変わらずだが、最近の特徴でいえば、SNSが「ダークウェブ」の入り口になっていることだ。言い換えれば、ダークウェブが「ダーク」ではなく“表層”に出てきたおり、アクセスしやすくなっている。Facebookにはユーザーをダークウェブに誘うような書き込みがごまんとある。
ソーシャルメデイアの目的を考えてほしい。「共通の趣味や目的を持つユーザーどうしがコネクトし、情報を交換しあう場所」だ。Facebookのユーザー数は22億人で、さまざまな目的を持ったユーザーが集う。当然、“他人のクレジットカードに興味を持つユーザー”もいる。そして、彼らを相手に商売をする輩も多い。
Facebookの検索機能でクレジットカードに関する情報――詳しくは言わないが――を検索すれば、そうした情報を扱っている書き込みがすぐに見つかる。一部の情報だけを“チラ見せ”して「詳しくは(ダーク)Webで……」という手法だ。あとは興味を持ったユーザーがそのダークウェブにTor経由でアクセスすればよい。
──ダークウェブが表層に出てきた背景には何があるのでしょうか。
コーヘン氏:検索からアクセスできるWebサイトが「住所のある家」だとしたら、ダークウェブは「住所のない家」だ。以前はこうした“家”にたどり着くためには、閉じたコミュニティの中でやり取りされる情報に頼るしかなかった。しかし、最近は一般のユーザーが、こうした閉じたコミュニティに入りやすくなっている。
たとえば、以前は特定言語でやり取りしている情報は、その言語を利用する国の人間に限定されていた。しかし、最近は自動翻訳機能の性能が劇的に向上し、その結果、多くの人が特定言語の情報にアクセスできる環境が整っている。そうしたことも背景にあるだろう。
また、ダークウェブ内でのやり取りが簡単になったことも理由の1つだ。ダークウェブ内ではBotが利用されるケースが多い。Telegram Messengerが開発する「Telegram Bot」(メッセージを暗号化してやり取りできるボット)をレンタルし、定型のやり取りをプログラミングして自動化し、効率よく商いをしている。
【次ページ】銃、麻薬、人間まで売買される
関連タグ
