個人はフィッシング詐欺、企業はランサムウェア。身代金を払うほど件数が増える悪循環だ。

はじめに

勤務している会社の部会でセキュリティの話を10分ほどしてくれと頼まれた。2022年度のセキュリティ対策に関する部方針を定めたので、これを詳しく説明するという意味と理解する。サイバーセキュリティに関しては以前も一度投稿しているが、対策だけを説明されても、なぜその対策が必要なのかを理解できないとなかなか納得できないだろう。その意味から、背景を含めて、説明し、最後に対策を軽くレビューするという作戦にしたい。今回は、そのために調べたネタをまとめたものだ。調べると大量になったので、次の二回に分けて投稿することとしたい。

その1:セキュリティ事故の現状と動向  (⇨ この投稿)
その2:セキュリティ事故に対する対応策 (次回の投稿
その3:セキュリティ事故の最新動向   (次々回の投稿

コロナ禍で3倍に増加したセキュリティ事故件数

新型コロナの蔓延で増加したのは、テレワークなどの働き方やオンライン授業などの学びだろう。リアルな飲み会を自粛するためにオンライン飲み会なども増えた。そんな中でセキュリティ事故は増加しているかどうかを調べてみたら、セキュリティ事故は2020年に入ってから急増していた。下の図は、セキュリティ事故の報告を受け付けるJPCERT/CCのレポートからの引用だ。コロナ禍以前は月平均で約1700件あった報告件数が2020年3月以降に急増し2020年9月には3倍強の約5473件まで増加した。その後は、減少し、2021年3月には2,465件まで減少したが、その後増加し、2022年2月には5,822件を記録している。

(出典:JPCERT/CC

五人に一人は被害経験あり

トレンドマイクロが2020年8月に実施したパスワードに関する実態調査では、過去に不正アクセスや情報流出の被害経験がある利用者は19.4%となった。約5人に一人は過去に被害経験があるという結果だった。被害の内訳では、個人情報の流出が46.0%と最も多く、次いでSNSアカウントの不正操作が37.0%、ECサイトの不正利用が15.0%と続く。

(出典:TrendMicro

巧妙化するフィッシングサイト

コンピュータセキュリティの情報収集、インシデント対応の支援、コンピュータセキュリティ関連情報発信などを行う一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)」が発行する2021年10月14日のレポートによると、2020年7月から9月のインシデントのうち、約69.7%がフィッシングサイトだった。


(出典:JPCERT

どっちのサイトが本物か

フィッシングサイトを作成するのはそれほど大変なことではない。完全に見た目をコピペすることも可能だ。見分けるポイントはURLだ。URLを見るだけでも、必要以上に長いURLだったり、不適切URLとすぐに分かるケースもあるし、一見まともそうなURLなら、それをコピペして上位にサイトへのアクセスにトライすると変な画面に遷移するか、サーバーが見つかりませんとなり、不適切なことを確認できる。
(出典:TIME&SPACE

パスワードの使い回しの実態とリスク

ネットを使っていると、すぐに利用者登録をしてくださいと出る。仕方ないので、IDとパスワードを登録する。面倒なので、同じIDとパスワードを登録した経験は多くの人があるのではないだろうか。流石に1種類のパスワードでほぼすべてのWEBサービスを利用している人は少ないが、複数のサービスで使い回しをしている人は多い。2020年8月にトレンドマイクロ社が行った調査では、約8割以上の人がパスワードの使い回しをしていることが確認された。
(出典:Digital Keeper

パスワードの使い回しはフィッシングサイトの大好物

パスワードを使い回しするとなぜ危険なのかというと、特にクレジットカードの番号と暗証番号を抜き取られると、クレジットカードを悪用されるリスクがある。しかし、リスクはこれだけではない。例えば、あるサイトAでIDとパスワードを抜き取るフィッシングサイトの被害に遭うと、そのリスクはサイトAだけではなく、世の中にある多くのサイトでもアクセスされるリスクがある。特に、SNS系で使っているIDとパスワードを同じようにしていると、あるSNSで抜かれると対象となるすべてのSNSに不正にログインできることになる。これを防ぐにはIDとパスワードの使い分けがどうしても必要だ。
(出典:日本クレジット協会)

闇サイトでの個人情報の相場

日本国内で圧倒的なシェアを誇るウイルス対策ソフト「ウイルスバスター」を開発しているトレンドマイクロ株式会社。 そんなセキュリティ対策の最前線を走る企業が、2012年に自社ブログ内で個人情報が「闇市場」にていくらで売買されているのかの調査報告をした。 日本では個人情報として価値のあるクレジットカードの情報はアメリカでその個人情報の売買がなされた場合1ドル~3ドル程度だ。 日本円に直すと約114円~342円ほどだ。(2021年12月現在)アジアではもう少し高く、6ドル~10ドルほどの値段がつくが、それでも日本円では684円弱~1,140円弱だ(出典)。

定期的な変更は逆に漏洩リスクを高める

サイトごとにパスワードを変えるのは、結構面倒だけど、社内のシステムの場合にはセキュリティを高めるためにパスワードを定期的に変更するように要請されるケースがある。しかし、米国ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、パスワードを新しく作り直すのでなく、同じパターンで少しだけ数字の部分を変更したりしていたことが判明した。つまり、パスワードを一回盗めば、類推できるだけではなく、パターンが単調なため逆に乗っ取りやすくなる。このため、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更した(2017年)。ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。これは確かにその通りだろう。

(出典:NIST)

ランサムウェアの脅威

ランサムウェアとは

これまでの脅威は、顧客情報を盗まれたり、ID/パスワードを盗まれたりするものだったが、最近増えているランサムウェアとは、利用者のパソコンやサーバーのデータを勝手に暗号化して、業務を継続できなくする。それが嫌なら身代金(Ransom)を払えという悪質な犯罪だ。コロナ禍に漬け込んで、Snake, Ragnar Locker などのランサムウェアの脅威と被害が拡大している。

(出典:CISCO JAPAN

急増するランサムウェアの被害件数と被害額

ランサムウェア攻撃が止まらない。2017年の30万件から2020年には約80万件と2.7倍に増加している。件数の増加と同様に被害総額も2020年には420億ドルに達している。Ponemon Institute の調査では、従業員数 1 万人規模の組織では平均して年間およそ 600 万ドルをランサムウェア関連費用として支出している。大手企業でも、マイクロソフトのメールシステム、コロニアル・パイプラインや食肉大手JBSフーズ、日経新聞やCNN、メルカリ、アマゾン、さらには金融庁などのサイトでも障害が発生した。

(出典:MY BIG APPLE

複数の戦術を用いて侵入

ランサムウェアが組織に侵入する方法は巧みだ。セキュリティ対策ソフトをインストールすることは有効だけど、それだけで完全に防げるわけではない。悪意あるリンクを含むファイルをダウンロードしたり、悪意あるURLを無用意にアクセスさせた結果、ランサムウェアが組織に侵入する。侵入してもすぐには活動せずに潜伏するので、何事もなかったように見過ごしてします。しかし、ランサムウェアは着実に組織に忍び寄り、データを乗っ取る準備を進めているのかもしれない。

(出典:ITMedia

特に被害額の大きいのはスウェーデンと日本

下の図は、2019年にランサムウェア攻撃で被害に遭い、その復旧に要したコストを国ごとに集計したものだ。トップがスウェーデンで約275万ドル、2位は日本の約220万ドルだ。世界の平均が76万ドルの3倍以上だ。2020年の被害件数が約80万件、被害総額が約400億ドルと、2019年に比べて大きく増えている。ランサムウェアで企業が身代金の支払いに応じて、それが件数を増やすという悪循環に陥っているのではないかと懸念する。

(出典:ITMedia

まとめ

サイバーセキュリティに関連して、増大しているセキュリティ関連のインシデント件数の推移をみると、コロナ禍が顕在化した2020年3月以降に急増し2020年9月には3倍強の約5473件まで増加した。その後は2021年3月には2,465件まで減少したが、その後再度増加傾向に転じて、2022年2月には5,822件を記録している。このうちの多くはフィッシング詐欺だ。過去にネットで被害に遭った人は約2割いて、フィッシング被害が最多だった。これに対応するには適切にパスワードを管理し、不審なURLをアクセスしないことだ。また、特に企業はランサムウェア攻撃の被害が増大している。2020年の被害総額が400億ドル(約5.2兆円)である。一件あたりの被害総額(平均)では、日本はスウェーデンに次いで2番だ。課題は山積している。

以上

最後まで読んでいただきありがとうございました。

参考)その2:セキュリティ事故に対する対応策と応用編 (次回の投稿

ITプロ人材のマッチングプラットフォームなら Bizlink をクリックしてみてください。
最新情報をチェックしよう!