新型コロナに関係したサイバー犯罪が増加！警察庁が2020年上半期におけるサイバー空間の脅威情勢を発表 - ペンタPRO：ペンタセキュリティが提供するセキュリティ情報まとめサイト

f:id:PentaSecurity:20201016180448j:plain

警察庁は10月1日、2020年上半期におけるサイバー空間の脅威情勢について発表しました。それによると、警察によるサイバー犯罪の検挙件数は、年間の検挙件数が最多となった前年の同期と同水準となっていて、サイバー空間における脅威は、引き続き深刻な情勢にあると警告されています。特に注視されるのが、新型コロナウイルス感染症の発生に乗じたものが608件に上ったことです。今回は今最も警戒すべきサイバー犯罪の動向と対策について分析しながらお届けしていきたいと思います。

新型コロナウイルス 感染症に関連したサイバー攻撃の増加

「令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、新型コロナウイルス感染症に関連するサイバー犯罪が疑われる事案として、6月末までに都道府県警察から警察庁に報告のあった件数は608件に上り、その内訳は詐欺が286件で全体の約47.0％と最も多く、次いで不審メール・不審サイトが115件で全体の約18.9％を占めています。

f:id:PentaSecurity:20201016180451j:plain

引用：令和２年上半期におけるサイバー空間をめぐる脅威の情勢等について

詐欺の事例としては、「インターネット通販でマスクを注文して代金を振り込んだが商品が届かない」「出品者に振込先口座を変更するよう言われたので従ったが、偽の事業者だった」といった被害があげられています。

608件とは別に、コロナに便乗した企業へのサイバー攻撃も3件確認されています。メールの文面で保健所を装ってコロナに関する通知が出たとしたり、物流に影響が出る中で荷物の発着状況の確認をするふりをしたりして、添付したファイルを開くように誘導する手口です。

サイバー空間におけるぜい弱性探索行為の増加

警察庁が運用するリアルタイム検知ネットワークシステムでセンサーが検知したアクセス件数は1日1IPアドレス当たり6,218.1件と1年で倍近く増加しており、増加傾向にあります。このアクセスの大半は、不特定多数のIPアドレスを対象とするサイバー攻撃やネットワークに接続されたIoT機器の脆弱性を探索するサイバー攻撃の準備行為とみられています。その大部分は主にIoT機器が利用する1024以上のポート番号で、IoT機器の普及により攻撃対象が増加していること、IoT機器やルータを標的とするマルウェアが増え続けていることが背景にあると考えられます。当該ポートに対するアクセスは、リモートから任意のコードが実行可能となる脆弱性に関連し、IoT機器等の脆弱性を悪用し、不正プログラムの感染を狙ったものと考えられています。

f:id:PentaSecurity:20201016180454p:plain

引用：令和２年上半期におけるサイバー空間をめぐる脅威の情勢等について

脆弱なIoT機器はセキュリティ上の弱点となり、ネットワーク経由での攻撃の可能性をサイバー犯罪者に開きます。「IoT機器のサーチエンジン」と言われる「Shodan」「Censys」「ZoomEye」というスキャンエンジンがいくつも存在し、多くのIoT機器やデバイスの情報を収集することが可能です。攻撃される側があまりリスクを意識していない一方、攻撃する側は定期的に、着実に探索を進め、その中から狙いを定めて攻撃を展開しています。

脆弱性を突かれて侵入されても自社の機密情報や個人情報が直接流出するという被害だけではありません。攻撃者は侵入した後、本来のターゲットである関連企業や取引先に侵入する足掛かりとして利用したり、bot化して第三者への攻撃に悪用したりするということもあります。その場合、知らないうちに自社が攻撃者の踏み台となって攻撃に加担しているというケースもあります。

標的型メール攻撃の増加

標的型メール攻撃については、前年同期の2,687件よりやや増加し3,978件となり、同じ文面や不正プログラムが10ヵ所以上に送付されていた「ばらまき型」攻撃が、全体の98％を占めていました。昨年下半期から急増しているインターネットバンキングに係る不正送金事犯による被害は2020年上半期もその傾向が続いており、発生件数885件、被害額約5億1,200万円で、前年同期と比べて大幅に増加しました。

コロナに特化した手口としては、SMS（ショートメッセージサービス）や電子メールを用いて「新型コロナ」「マスク」などの流行ワードでターゲットを釣り、添付ファイルを開かせたり、フィッシングサイトへ誘導して情報を盗んだりウイルスに感染させたりする手法です。

フィッシングサイトへの誘導には、金融機関を装ったSMS等のほか、宅配事業者からの荷物の配達連絡を装ったSMSによって、金融機関を装ったフィッシングサイトへ誘導するものも確認されています。また、当該SMSからの誘導により、不正なアプリを携帯電話機等の端末にインストールさせ、そのアプリによって表示される偽の警告メッセージからフィッシングサイトへ誘導する手口も確認されています。一次送金先として把握されている1,244口座のうち、名義人の国籍は日本が52.0％と最も多く、次いでベトナムが12.4％、中国が3.5％でした。従来の手口である預貯金口座への不正送金のほか、電子マネーや暗号資産の購入、プリペイドカードへのチャージ等の手口が確認されています。

企業を狙ったサーバ等への攻撃の増加

上記以外にも、急なテレワークの導入で利用が増えた企業サーバへの攻撃も懸念事項として報告されています。

感染症対策に関連したテレワークの増加等の業務環境の変化に伴い、サーバへの遠隔接続サービス、ＶＰＮサービス、オンライン会議システムのぜい弱性が明らかになっており、同ぜい弱性を悪用したとみられる事例も確認されている。一部の事業者においては、在宅勤務を実施するのに十分なセキュリティ上の措置が講じられていないシステムや端末が用いられる、システム監視の体制がぜい弱となりサイバー攻撃の被害への対応が遅れるなどの状況が生じているものとみられる。

早急なテレワークの導入で、セキュリティ対策が後回しになってしまった企業の隙をついたサイバー攻撃の増加も度々当サイトでも警告してきました。テレワークへの対応として、従業員が自宅から社内のリソースにアクセスできるよう、リモートデスクトップ（RDP）やVPN、FTPといったサービスやツールを利用しています。カスペルスキーの警告によると、これらのサービスを動かすサーバが10万台以上インターネット上で丸見え状態になったまま放置されているのをご存知でしょうか？攻撃者は総当たり攻撃によってサーバにDDoS攻撃やパスワードクラッキングをかけ、サービスをダウンさせたり社内ネットワークに侵入したりします。

VPN以外にもクラウドサーバを狙ったサイバー攻撃もあります。クラウドサービスではIDやパスワード管理の杜撰さや、適切な権限を設定しないことによる問題が指摘されています。従業員のクラウドサービスの適切な利用状況をシステム的に確認するためには、CASB（Cloud Access Security Broker：キャスビー）やSASE（Secure Access Service Edge：サシー）などクラウドの動きを統制する仕組みの導入が有効です。これらは、様々なクラウドサービスとの機能連携により、その設定や使用状況に問題がないかを確認します。クラウドサービスの利用をネットワーク経由で常時確認しつづけ、データの持ち出しや機密データへの不正なアクセスを発見、自動対処を可能にします。