皆さん、こんにちは。

 

今週のセキュリテイ動向では、最近急増しているフィッシングメールや、ビズネスメール詐欺に関して肝心なニュースを紹介したいと思います。昨年12月20日、日本航空(JAL)が偽りの請求書メールに騙されて約3億8000億円の被害に遭った事件があったのですが、今回IPAからの発表をみると、以前よりビシネスメール詐欺に備えるべきだと思いがします。そのために、やはり他のビジネスメール詐欺関連事件を見ながら分析してみる時間が大切だと思います。

 

IPAが「情報セキュリティ10大脅威 2018」発表、「ビジネスメール詐欺」が新たにランクイン

 

• 事件概要

前に言及をしたのですが、IPA(独立行政法人情報処理推進機構)が2018年情報セキュリテイにおける脅威の順位を、「個人」と「組織」という異なる立場で10大脅威を選出して公表しました 。その中で、「組織の3位」に「ビジネスメール詐欺」が新たにランキングに入りました。勿論、他にもランクインした脅威にも注意するのも必要でしょう。

 

• 事件経緯

 

以下は「情報セキュリテイ10大脅威2018」の全ランキングです。

()内は昨年の順位、【新】は今年初めてランキング入りした脅威のことです。

 

■個人

 

    1位　インターネットバンキングやクレジットカード情報の不正利用（1位）

    2位　ランサムウェアによる被害（2位）

    3位　ネット上の誹謗・中傷（7位）

    4位　スマートフォンやスマートフォンアプリを狙った攻撃の可能性（3位）

    5位　ウェブサービスへの不正ログイン（4位）

    6位　ウェブサービスからの個人情報の窃取（6位）

    7位　情報モラル不足に伴う犯罪の低年齢化（5位）

    8位　ワンクリック請求等の不当請求（8位）

    9位　IoT機器の不適切管理（10位）

    10位　偽警告（ランク外）【新】

 

■組織

 

    1位　標的型攻撃による情報流出（1位）

    2位　ランサムウェアによる被害（2位）

    3位　ビジネスメール詐欺（ランク外）【新】

    4位　脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加（ランク外）

    5位　セキュリティ人材の不足（ランク外）【新】

    6位　ウェブサービスからの個人情報の窃取（3位）

    7位　IoT機器の脆弱性の顕在化（8位）

    8位　内部不正による情報漏えい（5位）

    9位　サービス妨害攻撃によるサービスの停止（4位）

   10位　犯罪のビジネス化（アンダーグラウンドサービス）（9位）

 

以下は新たにランクインしたセキュリテイ脅威に関する簡単な説明です。

 

偽警告：例えば、PCの画面に突然「●個のウイルスに感染しました」と表示され、サポート窓口に電話するように仕向ける手口。ITに詳しくないPC利用者が騙されやすいのが特徴。

 

ビジネスメール詐欺：偽りのメールで企業の担当者を騙して、本来の振込口座とは異なる攻撃者の偽り口座へ送金させる詐欺の手口。

 

セキュリテイ人材の不足：他の脅威とは少し観点が異なるが、組織として時間をかけて、そして計画的に対応すべきの課題の1つ。

 

ExpertyのICOを狙うフィッシング詐欺、

1600万円相当のEthereumが盗まれる

 

• 事件概要

 

最近、コインチェック事件のせいで仮想通貨に投資することについて既に多くの方々が多いと思います。ブロックチェーン推進協会によると、今回の事件は「秘密鍵管理」が問題だったそうですね。秘密鍵は公開鍵とペアになっていることですが、もしこの「鍵」に関してより詳しい情報が必要な方々は、【3分ITキーワード】 公開鍵(Public Key) - ペンタPRO：ペンタセキュリティが提供するセキュリティ情報まとめサイトを読んでください。

 

本論に立ち戻って、ここにもう一つの仮想通貨関連事件を紹介します。Expertyの新規仮想通公開(以下ICO)通知を偽ったメールを利用して、15万ドル相当のEthereum(以下ETH)が盗まれたそうです。仮想通貨関連セキュリテイ対策を強化することは、日本だけではなく、全世界が気にしなければならないと思います。

 

• 事件経緯

 

―ICO：資金調達をおこないたい企業やプロダクトチームなどが「仮想通貨を発行して資金を調達する」次世代の資金調達方法。

 

― ExpertyのICOは1月末に予定されていた状態。発表の通知を受けるように登録していたExpertyユ―ザーに対して、悪意ある何者かが偽のICO前メッセージを送信。

 

―メッセージは、12時間以内に投資すれば、ETHと引き換えに追加のExpertyトークン（EXY）を受け取ることができるとして、ユーザーを誘導する内容とExpertyとは関係のないウォレットアドレス含めていた。

 

―数日間総74件、約15万ドル(約1600万円)相当のETHによる取引が行われた。(現在は空)

 

―Expertyはトークンセールの処理にBitcoin Suisseのサービスを利用しているため、いかなるウォレットへの送金も同社の管理下にない状態。今回のフィッシング攻撃では1つ以上のウォレットが使われた可能性確認。

 

― Bitcoin Suisse： スイスの老舗銀行、ファルコン・プライベート・バンク がスイス金融市場監査局（FINMA）の承認の元、行われる仮想通貨資産管理サービス。

 

―Expertyの声明によると、ハッカーがExpertyユーザーのメールアドレスを発見できたのは、ExpertyのPoC（Proof-of-Care：出資者がプロジェクトを支持する度合い）の審査に関与していたチームメンバー所有のPCがハッキングを受け、情報が盗まれただという。

 

―Expertyは同社のデータベースにETHアドレスが保存されていた全員に対して100 EXYのトークンを支払う予定。また詐欺の被害者に誠意を示し、損失分を返還することを約束した。

 

楽天カード偽る「カード利用のお知らせ」注意！

酷似したフィッシングメール

 

• 事件概要

 

皆さん、「カード利用のお知らせ」というメッセージ内のリンクや添付ファイルを思わすクリックすることはないでしょうか？最近楽天や楽天ショップを名乗ったフィッシングメールが急増している状態では、以前よりはメール内容とかURLに気を使う必要があると思います。

 

• 事件経緯

 

―楽天カードを名乗ったスパムメール、「楽天カードの利用お知らせメール」や覚えのない1000円分の「Edyチャージ」を毎日のように届く人が増加している状態。

 

―楽天正規の「カード利用のお知らせ」メールとデザインも文面も、まったく同じ。本家そっくりに作り込まれている。

 

―マウスポインターをテキストリンクの上にもっていき、ステータスバーでURL確認や、直接本家サイト・公式アプリの明細確認などでフィッシングメールによる被害予防できる。

 

―フィッシングメールの本文を確認したい方々は https://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/15818を読んでください。

 

 

参考記事≫

• 「偽警告」や「ビジネスメール詐欺」が新たにランクイン――IPAが「情報セキュリティ10大脅威 2018」を発表 (Enterprise Zine)

• コインチェック事件でブロックチェーン推進協会が会見。「秘密鍵管理」の問題を指摘 (1/3)：EnterpriseZine（エンタープライズジン）

• ExpertyのICOを狙うフィッシング詐欺--1600万円相当のEthereumが盗まれる(CNET JAPAN)

• ICOとは？仮想通貨を利用した資金調達法の解説と情報まとめ

• スイスでビットコイン加速、「仮想通貨資産管理サービス」開始(FinTech online)

• 楽天カード偽る迷惑メール「カード利用のお知らせ」に注意！酷似したフィッシングメール (時遊zine)