情報セキュリティ トピックス
総合研究部 上席研究員(部長) 伊藤岳洋
【もくじ】
1)ランサムウェアの脅威
2)ランサムウェアの観戦経路と対策
3)攻撃や事故を前提とした対策
1.サイバー攻撃への備え
5月12日、米国家安全保障局(NSA)から盗み出された技術を使ったサイバー攻撃が世界各国を襲いました。Microsoft社の旧バージョンのWindowsの脆弱性を悪用するランサムウェアの影響で150カ国以上約20万台のPCが感染し、英国の医療機関が機能停止するなどの被害が出ています。スペインのコンピュータ緊急事態対策チームによって最初に報告されたこのランサムウェアは、ロシアやウクライナ、インドや台湾が最も被害を受けており、犯人は北朝鮮やロシアなどに関係があるハッカーらだとする指摘も出ています。
Microsoft社は3月に既にこの攻撃に使われる脆弱性に対処していますが、既にサポート期間が終了している「Windows XP」「Windows 8」「Windows Server 2003」向けの更新ファイルも公開しました。
サポートが打ち切られたものを使い続けるのは非常に大きな問題ですが、国内でも同様に、やむを得ず旧バージョンのWindowsを使っている場合は、まずはパッチを至急当てることが最優先となります。また、メールやSNSの添付ファイルやリンク先URLにも注意すること、万一感染したとしても被害を最小限に留めるためには、重要ファイルを定期的にバックアップしておくなどの対策が必要になります。
昨今の情勢を見てのとおり、ほとんどの産業がITと密接に結びついているため、新しい技術やサービスが広まれば、同時にサイバー攻撃を受けるリスクも高まるというジレンマにどの企業や個人も陥っています。特にサイバー攻撃者は、セキュリティインフラの構造上、企業や組織よりも優位な立場にあります。攻撃者は防御側にあるセキュリティホールを一つ見つければ、そこから様々な攻撃の手口を仕掛けられるのに対して、防御側は、全てのセキュリティホールを把握し対策を取ることが必要となりますが、これは事実上不可能だと指摘せざるを得ません。
例えば、本コラムでも度々取り上げている一昨年の日本年金機構の事故は、標的型メールが攻撃の侵入口です。標的型メールは、繰り返し似たようなレベルの内容が届くスパムメールとは異なり、一様にフィルタリングできるものではありません。
日本年金機構の情報管理体制や運用上の問題点については指摘されている通りですが、業務でパソコンを利用し、メールやインターネットに接続できる環境があれば、ウィルス対策や、システムに対する脆弱性対策をしていたとしても、どの企業も同様の攻撃を受け、踏み台にされしまう可能性・危険性があるということを十分認識する必要があります。
さらに、攻撃側の巧妙さが増すことによって、受信者がだまされる可能性も高まります。そもそも利用者に攻撃メールが届かないよう、システム的な不審メールのフィルタリングによる対策を行うことは、当然ながら不可欠なことです。標的型メールに添付されているファイル、あるいはリンクからダウンロードされるファイルが行う通信や挙動をシミュレーションすることで不正なメールであることを検知(プロファイル)できる何らかの対策が必要だと言えます。
加えて、侵入の発生を前提とした対策の考え方も必要となります。「入口」ですべての侵入を防ぐことは理想ですが、すべてにおいて万全の対策は無い以上、「出口」と「内部」での多層的な防御が重要になります。
標的型攻撃に対しては、「侵入されることを前提に、(1)侵入を検知し組織内のシステムに感染が拡大することを防ぐ、(2)情報そのものの漏えいを防ぐ」という総合的な対策が必要です。入口対策と同時に出口対策を講じることで、入口を突破されても機密情報の外部送信や不正プログラムのダウンロードといった外部攻撃者との通信を出口で遮断し、被害を防ぐことができます。
「入口対策」は、ファイアウォールやIPS、ウィルスゲートウェイの導入など、多くの企業で比較的実施されているところも多いと言えます。これに対し、「出口対策」は十分な対策が講じられていません。「出口対策」とは、組織内に侵入したウィルスが、攻撃の指示を受けたり、盗み出した機密情報を送信するために、外部のC&Cサーバ(サイバー攻撃などにおいて、マルウェアに感染したコンピュータ群を制御したり、命令を出したりする役割を担うサーバのこと。)と呼ばれるサーバと、通信のやりとりを行うところをブロックする対策です。例えるなら出口対策は、銀行に入った泥棒を、金庫の外や、敷地の外に出さないようにする対策です。また、「内部対策」は同じく攻撃を前提として、犯行をいち早く見つけることを目的としています。最も基本的で重要といえるのがログの監視で、例えば社内のデータベースサーバに権限のない人間がアクセスしている場合、警告やアラート等を発することで、いち早く危険を察知し手立てを講じられるようにすることです。
1) ランサムウェアの脅威
ランサムウェアとは、コンピュータウイルスの一種で「身代金型ウィルス」とも呼ばれます。ランサムウェアに感染すると、勝手にファイルが暗号化される・パソコンをロックされるなどによって使用不能になります。そしてこの暗号化されたファイルの復元や、ロック解除の引き換えに金銭を要求されるというのもです。
ランサムウェアという言葉は「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。元々はロシアやヨーロッパなどの海外で大きな被害を出していましたが、2014年末に日本語のランサムウェアが増加し、2015年に入って日本での被害が拡大しています。2016年に入ってからは、日本語で脅迫するランサムウェア「Locky」、OS X初のランサムウェア「KeRanger」、スマホを狙う「AndroidOS_Locker」による被害状況の悪化に伴い、情報処理推進機構(IPA)も注意喚起を呼びかけています。
▼情報処理推進機構(IPA)「IPAテクニカルウォッチ「ランサムウェアの脅威と対策」」
この、ランサムウェアの脅威や対策を検討する前に、まず認識する必要があるのが以下の3点です。
- 身代金を支払ったとしても、攻撃者が解除鍵を引き渡す保証はない
- 身代金を支払うことで、別のネット犯罪に巻き込まれる可能性が高い
- 身代金を支払うことで、攻撃者に活動資金を与えてしまうことになる
ランサムウェアの被害で議論される問題のひとつに「身代金は払うべきか?」というものがあります。
脅しに応じることは、犯罪行為を間接的に正当化することにつながるので、一般的には身代金は支払うべきではないとの見解が多いと言えます。しかし、実際には、要求どおりのビットコインやウェブマネーなどを支払う被害者が少なからず存在し、それがランサムウェアを蔓延させる一因にもなっています。確かに、身代金の支払いは、暗号化されたファイル、ロックされたPCを復旧させる確率が高いと思われる方法です。犯罪者の目的の多くは金銭であり、ファイルを破壊したりPCを使えなくしたりすることではなく、身代金が目的であるならば、支払いを受けたなら約束通りファイルを復旧させたほうが、金銭要求の効果は持続されるはずです。無視したり約束を破ったりすると、「やはり破壊活動が目的の犯罪行為だ。要求に従う必要はない」と、誰も支払いに応じなくなります。そのため、平均的な身代金の額も数万円から数十万円と微妙に支払い可能な水準で金額を設定し、法外な金額を要求するケースはほとんどありません。実際に支払いに応じてファイルを無事に復旧させている被害者も少なくない現実があります。
ウィルス、マルウェアの駆除、暗号の解読またはバックアップファイルによる暗号化されたデータの復旧の手間やコストを考えた場合、現実的な判断として、身代金のほうが安く済むという考え方もあります。特に組織・企業においては、その間業務やビジネスが停止するようなことになれば、損害額が跳ね上がります。現在、海外でランサムウェアの被害にあう病院が増加しており、カリフォルニアの病院の被害事例では、身代金を支払ってデータおよび業務を復旧させるという苦渋の決断がなされました。これは多くの患者の生命を預かる病院で、最も手早く最も効率的にシステムや管理機能を復旧させる手段は身代金を払って暗号解除の鍵を入手することでした。正常な業務を復旧させることが最善と判断できれば、身代金を支払うことも一つの選択肢となり得るケースが現実にはあるということです。
ただ、身代金を支払っても暗号化されたシステムが復旧される保証はどこにもありません。ランサムウェア対策の視点は、「身代金を支払うべきかどうか」という次元にとどまることなく、「身代金を支払わなくても業務が滞りなく継続できる」ために何をすべきか(平時から備えておくべきか)という点も極めて重要だと思います。そして、そのためには、攻撃を受けることに備え、組織内の重要情報の置かれている場所と脅威をしっかり把握すること、失った時の影響が大きい重要ファイルのバックアップからデータを復旧できる状況にしておくことが望ましいと言えます。
2) ランサムウェアの感染経路と対策
ランサムウェアの主な侵入経路として、不正に改ざんされたWebサイトが第一に挙げられます。利用者が気付かずに不正なWebサイトにアクセスすると、ランサムウェアに感染したドライバが自動的にダウンロードされ、不正プログラムが実行されます。全て表だって動作はしないため、画面上の変化で気付くことは出来ません。ウィルス検知機能で検知される可能性もありますが、100%信頼して閲覧してしまうと感染の原因となります。
また、不正なWebサイトの次に多い侵入経路として、電子メールが挙げられます。ランサムウェアに感染した添付ファイルを開いたり、場合によっては電子メールを開いただけで不正プログラムがインストールされてしまうこともあります。
1.電子メールからの感染
請求書や配達通知などを装った偽メールを送りつけ、添付ファイルをクリックさせて感染させる手口です。感染すると壁紙を脅迫文の画像に変更し、全てのファイルを暗号化したことを使用者に伝え、身代金を要求します。かつての偽メールは不正送金ウィルスのメールをはじめ、偽のWebサイトへ誘導するフィッシングメールが主体で、いかにも偽装されたアドレスからの送付で、見破ることは比較的容易でしたが、最近はそのメールが変化しています。(一定期間潜伏してメールのやり取り等を観察すること等を通じて)実在する人物になりすまし、業務に直接関係があると思われる件名、本文、そして拡張子が偽装されたマルウェアが添付されているため、非常に開封率が高くなっているのです。
また、利用しているソフトウェア(OS・Java・Flash・Webブラウザ)が古く、脆弱性がある状態で不正な細工がされたWebサイトにアクセスしてしまうことによってランサムウェアに感染してしまいます。
このように、メールに添付されたファイルや本文内のURLのリンクを不用意な開封には注意が必要です。標的型攻撃メールは日々精度が高くなり、手口が巧妙化しているということも脅威として認識する必要があります。業務で毎日電子メールを利用せざるを得ない以上、そこに紛れ込んでいるリスクをしっかり認識したうえで(つまり、個人の防御ラインは脆いものと認識したうえで)組織的な体制や対策を検討する必要があります。
2.Webサイト、スマホアプリからの感染
閲覧者のソフトウェアに脆弱性がある状態で、改ざんされた国内を含む正規サイトや細工がされた不正広告を閲覧するだけでランサムウェアに感染します。また、Webサイトからダウンロードしたファイルがランサムウェアに感染するように細工がされていて、ソフトウェアの脆弱性の有無に関わらず、そのファイルを開いてしまうことで感染します。
その他、スマートフォンアプリからの感染も確認されています。2016年頃から、Windowsだけでなく、AndroidやiOSでランサムウェアの被害が続出しています。手法としては、偽の「System Update」の表記を見せ、非正規のGooglePlayやAppstoreへと移動させランサムウェアをインストールさせるという方法が取られています。スマホやタブレットにはそれこそ様々な個人情報が入っていますから、非正規マーケットにアクセスしないように気を付けることはもちろん、”提供元不明”などの不審なアプリのインストールも避けるよう徹底する必要があります。
3.脆弱性の解消
ランサムウェアの対策としては、まずはOSやソフトウェアの脆弱性を修正することがあげられます。Webサイトを見ただけで気づかぬ間にランサムウェアに感染する事例もあります。これはOSやソフトの脆弱性を残したままのパソコンが脆弱性攻撃を受けて、ランサムウェアを知らぬ間に送り込まれたためです。OSやソフトの脆弱性を修正する更新プログラムが公開されたら速やかに適用すべきです。
また、セキュリティソフトを最新にして利用することも重要です。セキュリティソフトは、端末内に侵入したランサムウェアの検知だけではなく、不正なメールやWebサイトの脅威からも保護してくれます。日々生み出される新たな脅威に対抗するため、セキュリティソフトを正しく更新して利用する必要があります。
4.バックアップの重要性
身代金を支払わずに解決する最も確実な方法は、バックアップしておいたデータを使ってリストアする(元の状態に戻す)ことです。ランサムウェアの被害を受けた場合の基本的な対応は、(1)マルウェアの駆除 (2)ファイルのリストア(復元)です。
マルウェアの駆除は、ウィルス対策ソフトやセキュリティ対策ソフトを利用することになります。対策ソフトウェがマルウェアを検出・駆除できなかった場合、PC全体を初期化する必要があり、そうなればアプリやデータの復旧は完全にバックアップ頼みとなりますし、事前にとっておいたバックアップファイルの有無が、復旧の大きな鍵を握ることになります。貴重なデータを失わずに済むように、身代金の支払い(復旧が確実ではなく犯罪の加担にもつながる)に応じなくて済むように、しっかりしたバックアップ対策をとることが重要です。
ただ、最新の暗号化型ランサムウェアでは、感染した PCだけでなく組織のネットワーク上で共有されているファイルも暗号化できる機能を備えているものもあります。また、ネットワーク上に保存されているバックアップデータも狙いの対象となります。Windowsサーバの持つシャドーコピー機能を狙ったこの活動は、特に法人組織のネットワークを攻撃対象としているものと考えられ、通常の法人利用者に推奨されている「身代金は払わないこと」、「定期的にバックアップをとること」というランサムウェア対策の効果を失わせようとする意図がうかがえます。
バックアップによる対策の第一のポイントは、バックアップデータが感染していないかどうかという点です。つまり、暗号化されたデータがバックアップされると、正常な状態にリカバリーすることができません。感染後に一定期間が経ってから暗号化する時限的なランサムウェアも存在しており、すでに感染しているデータを気付かないうちにバックアップしてしまっている恐れがあります。バックアップは、可能な限り多くの世代を残すことが望ましく、感染前のバックアップデータまで遡れば、被害を最小限に食い止めることができます。
また、重要データのバックアップを定期的に作成し、その「バックアップデータをオフラインで保管する」ことも重要な視点です。オフライン上でバックアップデータがあれば、PC システムがランサムウェアに感染し、ハッカーがファイルの暗号化解除と引き換えにビットコインを要求しても、企業はシステムの状態をロールバックして、数週間または数カ月分のデータを失うだけで済ませることができます。また、感染前の環境をそのまま再現するには、データ領域だけでなく、システム領域を含めたバックアップをとることが推奨されます。そうすることで、復旧のスピードも各段に速くなり、サーバだけでなくクライアントPCも同様に保護しておけば、いずれの場合でも感染前の状態に簡単に復元することが可能になります。
バックアップは非常に重要な事後対策ですが、事業継続性も考慮の上、適切な復旧方法を選択することも極めて重要です。データが増加すれば、バックアップにかかる時間や、保管するデータ容量、復旧にかかる時間が無視できなくなりますし、バックアップデータが正常に保管できており、問題なく復旧できる状態であるか整合性を確認しておくことが重要です。
3) 攻撃や事故を前提とした対策
情報セキュリティの分野におけるインシデントとは、コンピュータやネットワークのセキュリティを脅かす事象、すなわち、ウィルス感染や不正アクセス、不正侵入、データの改ざん、情報漏えいなどを指し、意図的であるか偶発的であるかを問いません。インシデントレスポンスは、上記インシデントに対し、主に原因の調査や対応策の検討、サービス復旧や再発防止策の実施などの対応を適切に行うことです。最近は、サイバー攻撃が増加傾向にあり、その範囲も広範にわたっています。こうした状況下で、セキュリティ対策を万全に施していたとしても、すべてのインシデントを未然に防ぐことは不可能です。
そこで、インシデントが万が一発生した場合に迅速に対応し、被害の拡大を最小限にするための事後対応が求められます。特に、標的型攻撃などのように、特定のターゲットに対し、周到に、時間をかけて準備され、継続的に実行されるサイバー攻撃などに対応していくためには、常にメンバーや組織内で知識を共有し、事故を前提としたポリシー策定や手順を確立しておくことが重要となります。
実際にサイバー攻撃が行なわれると、インシデントの発生するタイミングや攻撃の種類は攻撃者が選択するため、システムの管理者側では予測することが困難です。管理者側の知識や技術が不足している場合や、チーム編成の不備、準備や訓練が十分に行なわれていない、見積りが甘い、などの理由により攻撃を防ぎきることができない可能性があります。
また、標的となるのは、その多くが一般社員であり、十分な知識等をもっていない場合も少なくありません。したがって、標的型攻撃の訓練や演習、アンケートを通じて、自社内でそのリスク(開封状況)を把握することも重要となります。演習や研修、注意喚起を繰り返すことで問題点を抽出し、それを改善するとともに、インシデントの処理になれておくことで、組織全体でのサイバー攻撃への対応力を向上させることが、被害の拡大を未然に防ぐ意味でも重要だと言えます。
冒頭で述べたランサムウェアは、「WannaCry(ワナクライ)」と呼ばれるマルウェアで、約2週間で世界中に大きな感染被害をもたらしています。この「WannaCry」に対しては、世界中のインターネットセキュリティ会社やソフトウェア会社が一丸となり、このプログラムの仕組みについての解明や、ソフトウェアの修正プログラムの配布といった安全対策を急ピッチで進めています。こうした安全対策は既に多くパソコンや企業のサーバに実施されていますが、現時点で被害が収まったとは言えません。マルウェアは時間が経過して効果が弱まると、安全対策がされた抜け穴とは別の抜け穴をターゲットにして被害を及ぼすことができる”亜種”と呼ばれる新たなプログラムを作り出したり、「WannaCry」と同じように”身代金”を要求する悪質なプログラムを拡散させる”模倣犯”が登場することで、被害がさらに拡大することがあります。
サイバー攻撃などの被害を受けやすい企業の特徴として、IT環境の未整備、セキュリティアップデートの適用管理が不十分、ウィルス対策ソフトの利用が限定的、PC機器等の持ち出しや持ち込みの管理が未実施、事故対応体制が未整備などITガバナンスが十分ではない組織であると考えられます。
事業者は、取るべき対策を整理するとともに今回の攻撃を踏み台にした次なる攻撃を想定し、警戒レベルを上げて、システム面・オペレーション面双方での多層的な防御策の導入、役職員の意識高揚など早急な取り組みが求められます。
2.最近のトピックス
警視庁は、運営するツイッター公式アカウント「警視庁犯罪抑止対策本部」で「駐禁報告書」や「全景写真添付」「保安検査」などの件名のウィルス付きメールが5月15日以降拡散しているとして注意を呼び掛けています。警視庁によると、ウィルス付きメールの件名は、「駐禁報告書」「全景写真添付」「【賃貸管理部】【解約】・駐車場番」「文書」「保安検査」「【017/05】請求額のご連絡」「【配信】」「予約完了[るるぶトラベル]」で件名なしのものも確認されています。
世界各国でランサムウェアによる被害の増加を受け、これに便乗した悪質性高い標的型メールだと考えられますので、安易やメールの開封や不用意に添付ファイルを展開することに注意が必要です。
▼フィッシング対策協議会「2017/03 フィッシング報告状況」
4月3日、フィッシング対策協議会は、2017年3月の月次報告書を公開しました。フィッシング報告件数は701件となり、前月の783件より73件減少しています。また、フィッシングサイトのURL件数は330件で、前月より81件増加しました。そして、フィッシングに悪用されたブランド件数は22件で、こちらも前月より6件の増加でした。
同協議会は、フィッシング報告件数は前月より減少しているものの、マイクロソフトをかたるフィッシングメールの報告件数は多く、一方で先月報告が多かったLINE、Appleをかたるフィッシングの報告件数は減少していると指摘しました。2月は、仮想通貨関連サービスのアカウント情報を盗み出そうとするフィッシングが報告されており、引き続き注意が必要です。
▼情報処理推進機構「【注意喚起】偽口座への送金を促す”ビジネスメール詐欺”の手口」
4月3日、情報処理推進機構はサイバー攻撃の情報共有を目的とした官民による組織「サイバー情報共有イニシアティブ(J-CSIP)」の参加企業から、「ビジネスメール詐欺」に関する情報提供を受けたことを明らかにしました。ビジネスメール詐欺は、企業の経営層などになりすまし、巧妙に細工したメールを社員に送ることで、財務担当者などをだまし、攻撃者の用意した口座へ送金させる詐欺の手口であり、「ホエーリング」と呼ばれることもあります。
J-CSIPに情報提供された事例を分析した結果、攻撃者は、自身の口座へ不正に送金させることを最終目的に、様々な「だましのテクニック」を駆使していることがわかりました。そこで、IPAでは、注意喚起とともに、「ビジネスメール詐欺 『BEC』に関する事例と注意喚起」というレポートを公開、ビジネスメール詐欺の攻撃手口と対策を紹介しています。
BECについては、FBIによると、13年10月~16年6月に世界で2万2千件以上、約31億ドルの被害があったとされます。正に、企業版「振り込め詐欺」として、世界的に被害が拡大する中、既に日本企業にとっても看過できない脅威となっています。BECは、技術的な対策や人の注意だけで「騙し」を完全に防ぐことは極めて困難な一方、実際の攻撃からは、注意すれば不審な点に気づくであろうこともうかがえます。典型的な手口を知ることや、訓練等を通じて情報を取り扱う「人」の注意力を高めつつ、送金前のチェック体制や認証態勢を強化するなど、多層的な防御態勢の強化に努めることが肝要だと言えます。
▼情報処理推進機構(IPA)「企業のCISOやCSIRTに関する実態調査2017」
4月13日、独立行政法人 情報処理推進機構(IPA)は、「企業のCISOやCSIRTに関する実態調査2017」の結果を発表しました。これは、2016年10月から11月にかけて、日・米・欧の従業員数300人以上の企業のCISO、情報システム、セキュリティ担当部門の責任者及び担当者を対象に行われた調査結果をまとめたものです。
本調査によると、現在、CISOに期待されている役割、スキルは、「セキュリティ技術分析・評価」が52.0%、「セキュリティ目標・計画・予算の策定・評価」が40.8%で続いています。「経営層とセキュリティ部門をつなぐ橋渡し」(17.9%)、「自社の事業目標とセキュリティ対策との整合」(14.3%)など、経営層とセキュリティ部門をつなぐ橋渡しとしての役割は、まだ日本企業では認知が低いことがわかりました。
また、CISOが任命されている組織の割合は、日本では6割程度(62.6%)で、米国(95.2%)や欧州(84.6%)と比べて20ポイント以上の差があることや、日本では多くのCISOが他の役職と兼任であり、専任CISOの多い欧米とは異なることがわかりました。
一方、CSIRTについては、「設置したCSIRTが期待を満たしている」と答えた割合は、日本が18.4%であるのに対し、米国は60.8%、欧州は45.4%という結果でした。日本企業でCSIRTの有効性に対する満足度が低いことについて、IPAは、セキュリティ人材の確保の難しさやスキル不足があると言及しています。
実効性のあるCSIRT構築には、まずは自社のリスク分析と、自社にとって可能性のある脅威の種類をよく知ることに尽きます。最も重要なことは情報資産への脅威に対して、組織的な対応による水際での防衛と、万が一の際の被害(ダメージ)の極小化だといえます。自社になぜCSIRTが必要なのか、経営層をはじめ組織全体で考える必要があります。CSIRTを設置する意義や目的を明確にすることが大事です。
▼国立研究開発法人情報通信研究機構「ナショナルサイバートレーニングセンター」の設置及び若手セキュリティエンジニア育成プログラム「SecHack365」の創設と受講生の募集の開始について
4月3日、国立研究開発法人 情報通信研究機構情報通信研究機構(NICT)は、「ナショナルサイバートレーニングセンター」の設置を発表しました。同センターは、実践的なサイバートレーニングを企画・推進する組織として設置されたもので、以下のような取り組みを進めます。
- 実践的なサイバー防御演習「CYDER」の開催規模を拡充し、47都道府県、3,000人規模で実施予定
- 2020年の東京オリンピック・パラリンピック大会開催時を想定した模擬環境下で行う実践的なサイバー演習「サイバー・コロッセオ」の実施予定
- 若手セキュリティエンジニアの育成を目的とした新規プログラム「SecHack365(セックハック サンロクゴ)」の創設
※「SecHack365」は、25歳以下の学生や若手社会人を対象に、国内各地での座学講座やハッカソン(プログラマーなどが複数のチームに分かれて集中的にプログラミングを行い、アイデアや成果を競い合うイベント)の開催、コンテスト演習、先端的な企業見学等の社会体験などを通じ、ハイレベルなセキュリティ人材を養成するものです。
▼マカフィー「McAfee Labs脅威レポート: 2017年4月」
4月17日、マカフィー社は、2016年第4四半期(10月~12月)に確認された脅威動向に関する報告書「McAfee Labs脅威レポート: 2017年4月」を発表しました。2016年全体では、ランサムウェアは前年比88%増加、モバイル マルウェアは前年比99%増加し、さらに、2016年通年で発見されたマルウェアのサンプル合計数は6億3,800万個と前年比で24%増加しています。
また、Mac OSマルウェアは、第4四半期に発見された新規サンプル数は前期比245%の急増を見せており、2016年通年でみても、検出されたサンプル合計数は前年比744%と大幅に増加しています。
そして、IoT機器のマルウェアの感染も顕著です。McAfee Labsは、2016年第4四半期末までに250万台のIoTデバイスがMiraiに感染したと試算。これは、毎分5台のIoTデバイスのIPアドレスが、Miraiに感染していた計算です。マカフィー社は「Miraiのソースコードが一般公開されたことで、セキュリティが脆弱なIoTデバイスを利用したDDoS攻撃が実行しやすくなった」ことを指摘しています。
Miraiは、インターネットに接続されたルーターやカメラなどのIoT機器に感染し、ボットネットを形成し、攻撃者のコントロールサーバーからの指令に従ってDDoS攻撃を実施するマルウェアです。Miraiに乗っ取られた機器は世界中でおよそ50万台にものぼるといい、日本でも感染は確認されています。
対策としては、IoT機器を使用する際は、ユーザー名とパスワードを初期設定のままにせず、第三者に推測されにくいものに変更することでも、不正プログラムへの感染を防止する有効です。Miraiにも、特定のユーザー名とパスワード(「admin」「root」「guest」 など)でログインを試みる特徴があります。これらは、多くの機器の初期設定で使われているユーザー名とパスワードであり、デフォルトで設定されているユーザー名とパスワードのまま機器を使用していると、感染しやすくなってしまいます。逆にいえば、パスワードを変更するだけでも、被害に遭いにくくなるということです。
3.最近の個人情報漏えい事故(2017年3月、4月)
下記の表は、今年3月と4月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 県警 | FAX誤送信 | 市民1人の氏名や住所 | 担当者が事件の広報文書を報道機関にFAX送信する際、別の担当者が直前に送信した照会文書が機械に残っていたのに気付かず一緒に送った。 |
| 2 | 交通 | メール誤送信 | インターンシップ参加者127名分の氏名とメールアドレス | Bccで送信するところをToで送信。 |
| 3 | 総務省 | メール誤送信 | 別の通信事業者の連絡先53件 | ファイルを誤添付。 |
| 4 | 倉庫 | 誤廃棄 | 保存していた1万3千件分の書類 | |
| 5 | 市立小学校 | USBメモリ紛失 | 児童33名分のテスト結果や写真など | 教諭が自宅で作業をする為、USBメモリを外部へ持ち出し、翌日、職員室で作業をしようとした際に紛失に気付いた。 |
| 6 | 県立高校 | メール誤送信 | 生徒31名分の氏名や性別など | 同校教諭が自宅で作業を行う為、私用のメールアドレスへファイルを送信しようとした際、誤ったアドレスに送信した。 |
| 7 | 医療機関 | USBメモリ紛失 | 患者10名分の氏名や性別、病名、画像データなど | 拾得者から同院へUSBメモリが郵送されたことで紛失が発覚。 |
| 8 | 市 | 誤廃棄 | 入居者の氏名や住所、口座番号など約1800件 | |
| 9 | 輸入販売 | メール誤送信 | 顧客108件分のメールアドレス | BCCで送信すべきところ、誤って受信者間でメールアドレスが確認できる状態で送信。 |
| 10 | 旅行代理店 | FAX誤送信 | 宿泊予約者55件分の氏名や会社名など | |
| 11 | 放送局 | 情報端末紛失 | 契約者45名分の氏名や住所など | |
| 12 | 県立高校 | ノートPC紛失 | 生徒149名分の氏名や授業の評価など | |
| 13 | 旅行代理店 | メール誤送信 | 顧客30件分のメールアドレス | 担当者が「件名」にメールアドレスを誤って入力した状態で送信。 |
| 14 | ホテル | メール誤送信 | 顧客173件分の氏名や会社名などが記載されたデータファイル | 誤ってファイルを添付した状態で送った。 |
| 15 | ガス | 書類紛失 | 顧客177件分の氏名や住所と79件分の電話番号 | 担当者が当該書類を車に置いたまま、ガス容器の交換業務を行う為、車を離れた際に車上荒らしに遭った。 |
| 16 | メーカー | メール誤送信 | 顧客734件分のメールアドレス | BCCで送信すべきところ、誤って受信者間でメールアドレスが確認できる状態で送信。 |
| 17 | 大学院 | ノートPC紛失 | 学生666件分の氏名や学生番号 | 教員が駐車場に車を停め、車を離れた10分の間に車上荒らしに遭った。 |
| 18 | 私立大学 | 書類紛失 | 海外研修に参加した学生の氏名や生年月日、国籍などが記載 | 担当者が書類などを入れた鞄を現地の路線バスの車内に置き忘れた。 |
| 19 | 府 | メール誤送信 | 訓練修了生82件分のメールアドレス | BCCで送信すべきところ、誤って受信者間でメールアドレスが確認できる状態で送信。 |
| 20 | ケーブルテレビ | 書類紛失 | 顧客12名分の氏名と住所が記載されたリスト | |
| 21 | 携帯電話サービス | メール誤送信 | 顧客2,382件のメールアドレス | BCCで送信すべきところを誤ってTOで送信し、メールアドレスがすべて表示された状態になった。 |
| 22 | 都立高校 | 誤廃棄 | 卒業生192名分の氏名や性別、生年月日等 | |
| 23 | 安全機構 | メール誤送信 | 外部の関係者25名分のメールアドレス | BCCで送信すべきところを誤ってCCに設定した為、受信者間でメールアドレスが確認できる状態になった。 |
| 24 | 電力 | USBメモリ紛失 | 顧客1万2000件分の法人名や氏名、住所 | 担当者が机の上に置いた状態にしていたところ、所在が分からなくなってしまった |
| 25 | 市 | メール誤送信 | 関係者219件分のメールアドレス | メール配信システムで設定ミス |
| 26 | 市立小学校 | 名簿紛失 | 児童238名分の氏名や電話番号などが記載された名簿の一部 | 校庭に名簿の一部が落ちているのを、同校の児童が発見したことで紛失が発覚。 |
| 27 | 県 | メール誤送信 | 個人や団体115件分のメールアドレス | BCCで送信すべきところをTOで送信した。 |
| 28 | 市立高校 | 書類紛失 | 生徒と保護者の氏名や住所、連絡先が記載された調査票1枚 | |
| 29 | 不動産 | メール誤送信 | 顧客290件分のアドレス | BCCで送信すべきところを誤ってTOで送信。 |
| 30 | 飲食 | 名簿紛失 | 顧客の氏名や電話番号、勤務先など10件分 | |
| 31 | 不動産 | メール誤送信 | 顧客203件分のアドレス | BCCで送信すべきところを誤ってTOで送信 |
| 32 | 県 | 誤送付 | 関係のない退職者21名分のマイナンバーと生年月日が誤って記載された状態で自治体へ提出 | 自治体へ提出する書類を作成するシステムの不具合 |
| 33 | 私立大学 | 書類紛失 | 在学生と受験生の氏名や性別などが記載された書類 | 教員が駐車場に車を停め、車を離れた際に車上荒らしに遭った。 |
| 34 | 観光局 | メール誤送信 | 担当者が個人や団体の賛助会員543件のメールアドレス | BCCで送信すべきところを誤ってTOで送信した。 |
| 35 | ガス | 書類紛失 | 顧客の氏名や住所などが記載された書類 | 担当者が駐車場に車を停め、作業を行っている間に車上荒らしに遭った。 |
| 36 | 人材紹介 | メール誤送信 | 会員409名分のメールアドレス | |
| 37 | 市立小学校 | 書類紛失 | 氏名や学年、クラスが記載された児童31名分のテストの答案用紙 | 同校教員が採点途中の答案用紙を机の上に置いた状態で帰宅したところ、その後、所在が分からなくなった。 |
| 38 | 国交省 | 誤廃棄 | 237件分の行政文書 | |
| 39 | 作業用品 | 金庫盗難 | ポイントカード会員の氏名や住所、電話番号、生年月日、メールアドレス、職業分類、購入履歴などの顧客情報を保管していたほか、通信販売会員の氏名や住所、メールアドレス、購入履歴のほか、クレジットカードの番号や有効期限 | 店舗の従業員通用口を破壊し、店内に設置されていた約100キログラムの金庫を持ち去った。 |
| 40 | 私立大学 | 名簿紛失 | 受講生270人の氏名、学年、学籍番号が記載された出席簿 | 誤廃棄の可能性 |
| 41 | 市 | 誤送付 | 89人のマイナンバー含む個人情報 | |
| 42 | 通販 | 不正アクセス | 一部会員のメールアドレスとログインパスワード | |
| 43 | 市立小学校 | USBメモリ紛失 | 5年生1クラス分のテスト結果のほか、児童の学習風景や日常生活を撮影した写真データなど | 私物のUSBメモリを紛失した。 |
| 44 | ソフトウェア | メール誤送信 | 顧客253件の氏名や法人名、メールアドレス、注文番号など | ファイルを誤ってメールに添付し、関係ない別の顧客233件に対して送信した。 |
| 45 | 私立大学 | 不正アクセス | 学生証番号や教務員番号のほか、氏名、メールアドレス、種別、所属、暗号化されたパスワードなど、4万3103件のアカウント情報 | |
| 46 | 金融支援機構 | 不正アクセス | 氏名や住所、電話番号、生年月日のほか、クレジットカードの番号や有効期限、セキュリティコードなど、4万3540件が流出した可能性があり、このうち3万3230件についてはメールアドレスが含まれる | |
| 47 | 機構 | 不正アクセス | 利用者のメールアドレス2万6708件 | |
| 48 | 郵便 | 不正アクセス | 送り状1104件や、サイト上に登録されているメールアドレス2万9116件 | |
| 49 | 通販 | 不正アクセス | クレジットカードの名義や番号、有効期限など最大9426件 | |
| 50 | 通販 | 不正アクセス | 顧客のクレジットカード情報2027件 | |
| 51 | 放送局 | 不正アクセス | 2012年10月18日から2017年3月1日にかけて商品発送フォームから入力された氏名や住所、電話番号、メールアドレスなど顧客情報1万1330件。また、2012年9月3日から2017年3月11日にかけて同サービスへ登録した会員に関するメールアドレス、ニックネーム、生年月など4万5984件 | |
| 52 | 市 | 書類紛失 | 2009年度の乳幼児の福祉医療費受給者証交付申請書と添付書類で、氏名や住所、電話番号、生年月日のほか、両親の氏名と市民税所得割情報など | 廃棄書類を庁舎からごみ焼却施設へ運搬した際、強風にあおられトラックの荷台から一部書類が飛散 |
| 53 | 通販 | 誤表示 | 誤表示の対象となった顧客は6人。誤って表示された情報は顧客によって異なるが、氏名や住所、電話番号、メールアドレス、お気に入り商品など | アクセス集中時のサーバ負荷を軽減するため、業務委託先が個人情報を含まないページでキャッシュを利用するよう設定の変更作業を行ったが、設定に誤りがあり、個人情報がキャッシュへ保存された。 |
| 54 | 市 | メール誤送信 | メールアドレス64件 | 誤って宛先に設定。 |
| 55 | 通販 | 不正アクセス | 氏名や住所、電話番号、生年月日、性別、メールアドレスなど、74万9745件の個人情報のほか、メールアドレス43万8610件が外部よりアクセスできる状態だった | サイトにおいて使用する「Apache Struts 2」に脆弱性が存在し、不正アクセスを受けたことに起因。 |
| 56 | マーケティング | 不正アクセス | 顧客約3500人の氏名のほか、法人の名称、電話番号、メールアドレスなど | |
| 57 | 証券 | 書類紛失 | 顧客の氏名や住所、電話番号、口座番号、取引内容、印影など約5000件。 | 誤廃棄の可能性 |
| 58 | 私立大学 | 書類紛失 | 受験生の氏名と入試結果のほか、在学生の氏名や成績など、あわせて54人分の個人情報 | |
| 59 | 農協 | 書類紛失 | 34人分の顧客情報を含む定期積金遅延リスト | |
| 60 | 通販 | 不正アクセス | クレジットカードを利用した298件の顧客情報で、氏名や住所、クレジットカード番号、有効期限 | |
| 61 | 電力 | DVD紛失 | 電気事業者へ売電した顧客に関する氏名または法人名、住所、発電電力量、発電設備の種別、契約の開始日と終了日、検針日程など1万2000件 | |
| 62 | 都立高校 | 書類紛失 | 192人の健康診断票で、氏名や性別、生年月日のほか、身長や体重、視力、心電図、尿検査、歯の状態など健康診断の結果 | 誤廃棄の可能性 |
| 63 | 薬品 | 不正閲覧 | 同社が実施したアンケート調査において、同調査に協力した患者のカルテの一部を、従業員が無断で閲覧していたもの。 | 同調査は、血栓症治療薬の形や服薬回数など服薬に関する嗜好について、実際に治療薬を使用している患者を対象に聞き取り調査を行ったもの。調査結果は国内の医学誌へ一時掲載されていた。 |
| 64 | 通販 | 不正アクセス | 顧客4万9468件の氏名や住所、電話番号、メールアドレス | |
| 65 | 飲食 | 書類紛失 | 顧客の名字のほか、連絡先として自宅や勤務先、携帯電話の電話番号など | 10件強の予約が入っていたと見られるが、紛失により、予約された宴会などの準備を進めることが困難な状況に陥っているという。 |
| 66 | 資格試験 | 不正アクセス | 受験者の顔写真データ | |
| 67 | ファンクラブ | メール誤送信 | 本来の受信者とは異なる会員の氏名、オンラインチケットのログインID、生年月日 | 事務局がファンクラブの会員へ向けて送信したメールにおいて、別の会員の情報を誤って記載。 |
| 68 | 私立高校 | USBメモリ紛失 | 在校生や卒業生に関する氏名、住所、電話番号、生年月日、成績のほか、教員の採用関連情報など個人情報8100件 | 教員が帰宅途中、電車の網棚へUSBメモリが入った鞄を置き忘れ、紛失。 |
| 69 | 通販 | 不正アクセス | 氏名や住所、クレジットカード番号、有効期限、セキュリティコードなど、最大で3989件 | |
| 70 | 大学病院 | PC紛失 | 患者2956人分の個人情報で、氏名や住所、生年月日、性別、身長と体重のほか、検査項目や診療科名など | |
| 71 | 市 | 書類紛失 | 住民の相談内容を記録した相談記録の2012年度分2039件、および2013年度分2159件 | 誤廃棄の可能性 |
| 72 | 市立小学校 | 書類紛失 | 児童18人分の個人情報が記載されていた。児童と保護者の氏名、住所、自宅と携帯電話の番号、保護者以外の引き取り人の氏名と電話番号 | 災害時の児童緊急引き渡し時に使用する「緊急時引き渡しカード」の綴り6冊のうち、1冊の所在がわからなくなっている。 |
3月と4月の事故の傾向として、メールの誤送信が19件と多く確認されました。事故の要因としては、システムの不具合によるものもあれば、ToとCc、Bccの誤認識、打ち間違え等によるうっかりミスや不注意等の多様な形態があります。メールアドレス一つだけでも、個人情報に該当するケースが多く、ひとたび誤送信事故が発生すれば企業として管理体制や対応の質が問われることになります。さらに、メールアドレスだけではなく、社外秘の内容や機密情報といった営業秘密や機微な情報が添付もしくは記載されていれば、それだけで企業にとって極めて重大な事故に発展しかねません。
電子メールは今や業務に欠かせない重要な情報通信手段であると同時に、未だに事故が多く発生しています。電子メールの誤送信対策としては、システム的な施策(送信前の承認や自動暗号化等)以外にも、人的な脆弱性を克服していくためにも、各自が電子メールを送信する際に宛先、送信内容、同報送信の種類、添付ファイルを十分確認するプロセスについて、あらためて(何度でも)注意喚起し続ける必要があります。
<注意すべきポイント>
電子メール利用時の危険対策のしおり(第4版)、初めての情報セキュリティ対策のしおり(第1版)、企業(組織)における最低限の情報セキュリティ対策のしおり
- 社外の宛先は特に注意する。
- 一定個数以上の(大量の)宛先がある場合は注意する。
- 多くの社内宛ての宛先に紛れている社外宛ての宛先に注意する。
- To, Cc, Bccの設定間違いに注意する。
- 「転送」と「返信」の間違いに注意する。
- 「返信」と「全員に返信」の間違いに注意する。
- メーリングリストのメールアドレスに注意する。
- 初めて送るアドレス(送信履歴のない宛先)に注意する。
- 同姓の他企業のメールアドレスに注意する。
- メーラーのオートコンプリート機能をOFFにする。
- 重要な宛先(顧客)のメールには上司承認のプロセスを追加する。
- 個人情報・特定個人情報・機密情報が含まれていないか注意する。
- 「添付ファイル名」「中身(内容)」に個人情報・特定個人情報・機密情報が含まれていないか注意する。
- 添付ファイルがあるメールは一時保留してファイルを再度確認する。
- 添付ファイルは必ず暗号化するか本文と切り離す。
- パスワードの作成・伝達方法に注意する。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
