不正アクセスの現状。ランサムウェア等の巧妙化する手口とは?

外部からの情報を防ぐ「盾」

みなさんの会社のパソコンに、セキュリティソフトは入っていますか?わたしが務めている会社の場合、ほぼ全員がパソコンに疎い事もあり、インストール自体はされているのですが、つい最近まで期限が切れていることに気づいていませんでした。

結果的に、1台のパソコンの挙動がおかしくなって対応する事に。

新規インストール自体はすぐに終わり、パソコン内をスキャンしたんですが、早速「トロイの木馬」を発見。

あまり使用していないパソコンでしたが、ネットにつなげている以上は、やはりセキュリティ対策をすべきで、「最低限ウイルス対策ソフトぐらいはインストールしておかないと」と改めて思いました。

そういえば2015年6月、外部からの「標的方攻撃メール」により、日本年金機構から125万件の個人情報が漏洩する事件がありましたよね。

あの時は確か、複数回にわたりメールに記載された外部URLをクリックしたり、添付されていたファイルを開封してウイルスが入り込み、個人情報が抜かれたと記憶しています。

インターネットバンキングの不正送金等もちょこちょこニュースでやっていますが、現状について気になったので調べてみました。

興味のある方はご一読ください。

「スポンサーリンク」

【国のセキュリティ対策】

国も、指をくわえて何もしていないわけではありません。

前述した日本年金機構の事件を受け、「サイバーセキュリティ基本法及び情報処理の促進に関する法律の改正案」が2016年4月に成立。

国が行う不正な通信の監視、監査の他、原因究明等の範囲を拡大することになっています。

(これまで)

監査      中央省庁・独立行政法人

監視      中央省庁

原因究明調査  中央省庁

(改正後)

監査      中央省庁・独立行政法人・特殊法人・認可法人

監視      中央省庁・独立行政法人・特殊法人・認可法人

原因究明調査  中央省庁・独立行政法人・特殊法人・認可法人

なお、「特殊法人・認可法人」というのは、日本年金機構のようなものを想定しているらしく、同法で設置されている「サイバーセキュリティ戦略本部」が指定するものとなっています。

あともうひとつ。

若かりし頃のわたしも好きだった「資格」が増えます(国家資格)。

セキュリティ関連の資格ですね。

プログラマもそうですが、IT関連の人材はずいぶん前から不足していると言われ続けています。

特に昨今は、ウイルス攻撃ひとつとっても、その手法が多岐&巧妙になっておりセキュリティ関連の人材育成を強化することが急務になっています。

<補足>

2016年経済産業省が調べた調査によると、2015年時点でのIT人材は92万人。

この時点で既に17万人のIT技術者が不足しているとか。

この深刻な問題は、年々増加しており「東京オリンピック」が行われる2020年には37万人2030年には79万人が不足する危機的状況です。

2020年から小学生の授業で「プログラミング教育」が必修化されたのも、この流れを受けてのことでしょう。

情報セキュリティマネジメント

■目的 ※情報処理推進機構HPより抜粋

情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する

■試験

年二回(春期:4月、秋期10月)

■平成29年実績

応募者数:13,506人  合格率:50.5%

この資格試験は、2016年春から実施されています。

レベルで言うと、基本情報技術者試験と同じ「レベル2」に該当。

因みに、これの1段階下(レベル1)にあたるのが、企業担当者が語る「営業にも取得してほしい資格」に挙げられる「ITパスポート」。

ですので、ITパスポートを持っている方が次に狙うなら、先の広がりを考えて、この「情報セキュリティマネジメント」も面白いかなと思います。

情報処理安全確保支援士

■目的 ※情報処理推進機構HPより抜粋

サイバーセキュリティリスクを分析・評価し、組織の事業、サービス及び情報システムの安全を確保するセキュリティエンジニアや、技術・管理の両面から有効な対策を助言・提案して経営層を支援する

■試験

年二回(春期:4月、秋期10月)

■平成29年実績

応募者数:48,555人  合格率:16.7%

うちの会社のように零細企業の場合、セキュリティに関しては専門の部署もなければ人材もいません。

現実問題として、総務的役割の人が見よう見真似で対策をしているのが現実です。

しかしこんな状況が続くといつか致命的な影響を受ける可能性もあります。

この資格は、前述の「情報セキュリティマネジメント」よりももっと実践的な知識を有し、対策が取れることを証明する国家資格です。

因みにこの試験は、2017年春から制度が開始されています。

レベルで言うと、情報処理技術者試験としては最高峰の「レベル4」。

<補足>

情報セキュリティスペシャリスト試験」及び「テクニカルエンジニア試験」合格者の場合は、注意が必要です。

この「情報処理安全確保試験支援士」の資格は、登録することで「支援士」と名乗ることが出来ますが、前述の2試験の合格者は2年間のみ登録の経過措置があり、その期間は2018年8月19日に受付が終わっています。

※以降は、それぞれの試験に合格していても登録することが出来ず、情報処理安全確保試験支援士を受けて合格しないと登録できなくなります

【不正アクセスの状況】

よくニュースで、内部の人間が社内のパソコンに不正アクセスして、顧客データを盗んで売却みたいなこと聞きます。

今回調べてビックリしたのですが、2015年は実に6億件ものデータが漏洩しています。

ただこれでも減ってるんだとか。

2014年は10億件ですと。

ダダ漏れではないですか・・・。

因みに、漏洩させるための手段には上記のような直接的なものの他、下記のものがあります。

ランサムウェア

最近多くなってきているのがこれ(2015年は前年の1.5倍)。

ランサム(ransom:身代金)とソフトウェアを組み合わせた造語みたいです。

メールに[invoice(送り状)」や「payment(支払い)」といった、開封をしたくなる件名や添付ファイル名が付いており、開封することで感染します。

わたしにもこのような怪しいメールは何度か来ており、来るたびに迷惑メール設定しています。

が、一向に減る気配はありません。

マクロファイルを添付してくる場合もあります。

実在の組織を語り不特定多数にマクロウイルスをメールに添付(添付ファイルは『請求書』など、開封しやすい名前にされていることがある)、開封することで同じく感染します。

感染するとパソコン内に保存されてあるデータ、ワードやエクセルパワーポイントなどあらゆる電子データをロック(暗号化)して開けなくし、復旧の為の金銭を要求してきます。

これには今まで分かっている方法として下記の2つがあります。

従来型

パソコン画面自体をロックし、操作が出来ないようにする

暗号方

パソコンや最近ではスマホ、タブレット内の電子データを暗号化して開けなくする

最近は、従来型よりも暗号型が増えています

トータル件数も数万件に及んでおり、スマホ普及率が上がってくる中で、今後気を付けないといけないものの一つです。

因みに、セキュリティ大手のトレンドマイクロによると、同社が国内にあるパソコンで検出したランサムウェアの数は、

2016年 65,000台

2017年 47,000台

となっています。

支払いについては、最近なにかと話題のビットコインで請求してくるものもあります。

ビットコインは、資金洗浄に使われる可能性も指摘されており、いかにもな感じですね。

【対策】

●バックアップ媒体は、バックアップ時のみ接続するようにする

●バックアップ媒体は、複数用意し(バックアップ自体がウイルスに感染していると意味がないので)、定期的に本当にバックアップできるか確認する

Webサイト改竄

ニュースでよくやってますね。

▲▲(省庁関係)のホームページが改竄されたとか。

最近は、ワードプレスなどのCMS(コンテンツ管理システム)やプラグインの脆弱性を狙ったものが増えています。

今は、世界の1/4のサイトがワードプレスで作成されていると言われており、非常に深刻な問題になっています。

具体的には、外部へアクセスする広告やリンクを利用して、悪意のあるサイトに誘導するというものです。

※2015年は、7000を超えるサイトで不正が見つかっています。

誘導されたサイトでは、IE(インターネットエクスプローラー)などのブラウザの脆弱性を利用してウイルスに感染、インターネットバンキングの不正送金に利用するアカウント情報(パスワード含む)を搾取する動きをします。

※2015年は、過去最悪で30億円以上の被害とか・・・。

【対策】

●ブラウザ、ソフトウェアのアップデート

標的型攻撃

ソフトウェアの脆弱性を利用してウイルスを入れ込んでくるものです。

ゼロデイ攻撃」と言って、開発側がまだ修正しきれていないプログラム上の穴をついてくるのでやっかいなアクセス攻撃。

アップデートする修正プログラムがないわけですからどうにもできません。

2015年は、脆弱性の情報公開(9000件)前に行うゼロデイ攻撃が、54件もあったと報告されています。

対策は、OSやアプリケーションを最新の状態にすることしかありません。

因みにですが、マイクロソフトはIEのサポートについては過去のものはサポートしてくれません。サポートしてくれるのは下表を参考にして下さい。

マイクロソフトのOS対応
※VISTA延長サポートは、2017年4月で終了

この「標的型攻撃」の怖いところは、知らずのうちに自分のパソコンが攻撃側になっている事です。

DDos攻撃」という言葉を聞いたことがあるかもしれませんが、これは、ものすごい量のアクセスを特定のサーバに対して同タイミングで行い、サーバをダウンさせるという攻撃。

このタイプのウイルスに感染すると、自分のパソコンが遠隔操作され、勝手に使用されて犯罪の片棒を担がれることになるので注意が必要です。

【対策】

●ソフトウェアだけでなく、ルータなどの周辺機器についても最新版のドライバなどアップデートをする

ワンクリック詐欺

ワンクリック詐欺でよくあるのは、下記パターンでしょうか。

1.アダルトサイトにアクセスし、任意の動画のサムネイルをクリック

2.一方的に有料サービスの会員登録

3.料金請求画面が画面上表示

この手の方法は全体的には減っているようですが、最近はスマホが普及していることから、パソコンよりは携帯端末から嵌ることが多いようです。

このパターンの場合は、端末を再起動しても無駄です。

請求画面は消えません。

中には、電話発信画面と請求画面が交互に表示され、OKボタンを押してもキャンセルを押してもどうにもできないものもあります。

更にカメラのシャッター音を出して、さも自分の画像が撮影されたかのように装うタチの悪いものまで存在します。

こうなると、初期化するかシステムの復元しかありません。

【対策】

パソコンの場合、根本対策ではありませんが、初期化より時間のかからない「システムの復元」ができるように、予めパソコンが下記設定になっているか確認することは有効です。

なんせ、2015年7月に開始されたWindows10に無償アップデートした端末はこの設定がされていません。

一度確認し、復元ポイントを作成しておくことをお勧めします。

復元ポイントの確認方法と設定

Windows10ですと、下記手順により復元ポイントを作成できます。

1.デスクトップ画面で「Windowsマーク」キーを押しながら
「Pause」キーを押す

2.画面左にある「システムの保護」をクリック

3.復元が出来ない場合は、利用できるドライブ「C」が『無効』になっているはず(赤枠)。

システム復元ポイントを作成する為には、青枠の「構成」ボタンをクリック。

復元ポイント確認手順1

4.「システムの保護を有効にする」にチェックを付け替えて、画面下の「適用」
ボタン、「OK」ボタンと進み画面を閉じる

復元ポイント確認手順2

5.利用できるドライブが、「有効」になっていることを確認

復元ポイント確認手順3

作業は以上です。

復元ポイントは、上記の設定をした後で「5」画面の下にある「作成」を押せば、数秒で作成できます。

システムの復元設定

基本的には、ドライバを更新したり何かインストールする前に復元ポイントを作成しておきます。

そして、不都合がある時(機器が動かないなど)に、同じく「5」画面にある「システムの復元」ボタンから復旧するというのが一般的な使い方です。

ウイルス検出の偽警告

これは、自前パソコンで過去に発生したことがあります。

今はWindows10への無償アップデート時に、一旦パソコンを初期化しているので問題ありませんが、ネット接続するといつも同じメッセージが出ていました。

それは、

PCのパフォーマンスが低下しています

というもの。

マイクロソフトの文字とかが、警告文に入っているのでちょっと信用しそうになるものです。

まあ、画面がかなり昔のタイプのメッセージ画面のものもあり、「怪しさ満点&そうそう引っかかることはない」と思いますが、中にはアクセスして有料の偽サポートを受けたり、ウイルスを放り込まれたりする場合もあります。

もちろん偽サポートですから解決はしません(というか、そもそもパソコンのパフォーマンスは低下してませんが)。

このウイルス検出の偽警告のポイントは、未だ確たる手口が判明していない事。

防ぐ方法は唯一これだけ。

Webサイトにアクセスしない!

むちゃですかね、コレは流石に・・・。

ただ、現実問題として防ぐ手立てはございません!

まあ、出ても放っておくしかないのが実情です。

【まとめ】

最近は、スマホへの攻撃も増えています。

比較的安全といわれているiOSでも、アップルIncのアプリストアから「Xcode Ghost」というウイルスに感染したアプリが見つかっています(2015年9月)。

特にiOSユーザーは、Androidユーザーよりもセキュリティに対する意識が低い傾向があります。

一般的認識として、iOSはアプリに関して厳しい検査を行っているので安全であるという神話があるからでしょうか。

それを裏付けるようなデータがあります。

下記は、セキュリティサービスに入っている状況に関するもの。

Android
有償:2割    無償:3割強

iOS
有償:1割    無償:1割強

よくポイントサイトで、アプリをダウンロードすることで▲ポイントもらえるというものがあり、過去にiPhoneを持っていた時にダウンロードしていたこともありますが、危険極まりないですね、今考えると。

わずか数ポイントもらうためにウイルスに感染、個人情報やその他の情報を抜かれるなんて間抜けそのものです。

手口はドンドン進化?していくので、不正アクセスについては、常に注意が必要ですね。

ページ先頭へ戻る

「スポンサーリンク」