※本レポート内の情報を用いての行為に起因して生じた損害、トラブル、紛争について当社は何ら責任を負わないものとします。予めご了承ください。
※本レポートの無断転載・無断使用はご遠慮ください。
※セキュリティに関するご相談やご依頼などございましたらお気軽にお問い合わせください。
01エグゼクティブサマリ
■ 3月の状況
日本国内では2月に引き続き「Emote」感染が爆発的に流行しています。手口に大きな変化はありませんので、メールのWord添付ファイルについては十分な注意が必要です(開いてしまっても「コンテンツの有効化」や「編集を有効にする」等のメッセージが表示された場合は実行しないでください)下記にIPA注意喚起ページを掲載します。
https://www.ipa.go.jp/security/announce/20191202.html
ロシア経済制裁に伴い、2月と比較してロシアから国内サイバー攻撃リスク増大しています。金融庁や総務省、厚生労働省、国土交通省、警察庁、内閣サイバーセキュリティセンター(NISC)が、「昨今の情勢を踏まえるとサイバー攻撃事案のリスクは高まっている」とサイバー攻撃に対し警鐘を鳴らしています。事実、国内企業への不正アクセス(BOTや脆弱性スキャン攻撃)は直近3カ月と比較して25倍検知(株サイバーセキュリティクラウド調べ)されています。
https://www.cscloud.co.jp/news/press/202203014136/
「Dirty Pipe」と呼ばれるLinuxの脆弱性が大問題となっています。Linuxカーネルに任意のファイルを上書きできる脆弱性を利用して「Pixel 6 Pro」や「Samsung S22」のルート権限を奪取する実証ムービーが新たに公開されています。Dirty Pipeを利用したAndroid端末への攻撃が現実味を帯びています。
https://arstechnica.com/information-technology/2022/03/researcher-uses-dirty-pipe-exploit-to-fully-root-a-pixel-6-pro-and-samsung-s22/
■ 日本経済新聞3/15「サイバー攻撃、2~3月が最多 過去1年間で」
帝国データバンクは15日、2月中旬以降にサイバー攻撃の検知が急増しているとする調査結果を発表しています。2021年3月からの過去1年間で、22年2月中旬~3月中旬にサイバー攻撃を受けたとする企業が3割に上り、攻撃を受けた時期として最も多く、事業活動に支障が出る例も相次いでいます。
https://www.nikkei.com/article/DGXZQOUC151UQ0V10C22A3000000/
■ 日本国内2022年1月~3月の流出件数が合計275万件を突破、企業でEmotetやランサム被害続出
サイバーセキュリティ.comは、2022年1月1日~2022年3月31日に掲載した事案の情報流出総数が約275万件を記録したと公表しています。対象時期に確認された大規模事案としては、製菓大手の森永による顧客情報164万8,922件流出や決済サービスのメタップス社による46万1,026件流出などがありますが、10万件規模の事案が数件あり全体の8割以上を占めています。
情報流出原因は「不正アクセス」、「誤送信や誤設定」、「電子媒体(USBメモリ等)の紛失」、「関係者による内部犯」などがあります。日本国内は誤送信や誤設定による流出も多くニュースの一定数を占めるのが常ですが、同期間で発生した誤送信や誤設定は全体の約2割程度に留り、全体の7割を「不正アクセス」が占める結果となりました。
原因としては、日本国内で急増するEmotetの拡大やウクライナ-ロシア間における戦争状態の影響が考えられます。Emotetに関しては積水ハウスやライオンなどの大手企業まで感染被害を公表したほかIPAの窓口に150件を超える相談が寄せられるなど深刻な様相を呈しています。戦争関連においてもトヨタのサプライチェーンや製造系企業の米国日本法人がランサムウェアに感染するなど被害が続出するほか、南米系ハッカー集団LAPSUS$による破壊活動が顕著であり、専門家の間でも戦争の影響から攻撃が激化していると主張する意見が見られます。
https://cybersecurity-jp.com/news/65375
■ フィッシング対策協議会緊急情報
03/30 FamiPay
03/25 出前館
03/22 JR東日本 (モバイルSuica)
03/18 JR西日本
03/04 千葉銀行
https://www.antiphishing.jp/news/alert/
報告数は2年間で10倍近い伸び、激増するフィッシングメールにはどう対処する?
https://internet.watch.impress.co.jp/docs/news/1390373.html
「えきねっと」かたる巧妙な偽メール出回る…誤って個人情報入力したらどう対処?
https://otonanswer.jp/post/109290/
02脅威
■ CAPTCHAが電子メールのフィッシングURLを隠す手口
- CAPTCHAテストは、オンラインユーザーが本当に人間でボットではないかどうかを判断するように設計されています。CAPTCHAは「Completely Automated Public Turing test to tell Computers and Humans Apart(完全に自動化された、コンピューターと人間を区別する公開 チューリングテスト )」を表す頭字語です。
- 犯罪者が自動スキャンから安全でないコンテンツを隠すためにCAPTCHAを展開していることが観測されています。たとえば、HTML添付ファイル付きの電子メールを受け取り、それを開くとユーザーをCAPTCHAに誘導します。そして、正規サイトログイン画面のように見えるフィッシングページに誘導し、入力された資格情報を盗みむ手口です。
- 対策として有効な手段は無く、CAPTCHAフォームに関連付けられたURLにもっと注意を払う必要があります。
■ ArkoseLabsレポート:インテリジェントボットを使用して金融機関を攻撃
-
2022年不正とアカウントのセキュリティレポートでは、Arkose Labsグローバルネットワーク全体の1,500億を超えるセッションから取得した、2021年からのデジタル詐欺とアカウントのセキュリティのトレンドのトップ6をまとめました。
- The Year of Account Security
- 私たちのデジタルIDは、物理的IDと同じくらい重要で価値があります。私たちの生活のほぼすべてで利用されています。オンライン・ショッピング、娯楽、社交、仕事などに使用する各プラットフォームは、デジタルアカウントに関連付けられています。
- これらインターネット上のアイデンティティは、ある研究によると平均100を超えるパスワードを持っています。これらデジタルアカウントが侵害された場合、攻撃者に不正アクセスし盗むだけでなく、さまざまな詐欺に悪用できます。攻撃者にとって個人情報を含むデジタルアカウントを標的にするのは当然です。Arkose Labsネットワーク全体で、ログインアカウントを標的とした攻撃は、前年比で85%増加しました。
- 攻撃者がアカウントを侵害すると、決済情報盗用、クレデンシャル情報再販、獲得ポイント利用など、さまざまな方法でアカウントを収益化できます。偽アカウントはコンテンツ攻撃などにに利用されます。
- Attackers Follow User Engagement
- ゲームは2020年に攻撃件数は最高値でしたが、2021年に横ばいになり、攻撃は他の業界に分散しています。 オンラインメディアと
エンターテインメント人気は高まり続けており、プラットフォーム内スパムや詐欺攻撃が増えています。 また、世界がパンデミック後の正常化にシフトするにつれて、旅行業界への攻撃が懸念されます。
- ゲームは2020年に攻撃件数は最高値でしたが、2021年に横ばいになり、攻撃は他の業界に分散しています。 オンラインメディアと
- The Year of Account Security