情報セキュリティ 関連コラム

フィッシング詐欺の脅威と対策

2018.07.18

総合研究部 上席研究員 佐藤栄俊

フィッシング詐欺のイメージ画像

1.フィッシング詐欺の脅威と対策

2018年6月27日、文部科学省は弘前大学など6つの国公私立大学がフィッシングメールの被害に遭い合計約1万2000人分の個人情報が流出したことを受けて、「先端技術情報を狙った標的型攻撃など、重大な情報漏えいにつながる可能性がある」と全国の大学に対策を強化するよう注意喚起しました。

被害が判明しているのは弘前大学と島根大学、富山県立大学、沖縄県立看護大学、立命館大学の6大学で、実際フィッシングメールの被害に遭ったとされるのは2018年4月から6月の期間とされています。

文科省によると、6大学はいずれも電子メールサービスにマイクロソフトの「Office 365」を利用していました。フィッシングメールは、「メールを送れなかった」といった内容が英文で書かれており、本文中のURLをクリックするとOffice 365のログイン画面と同じ見た目の偽サイトに誘導されるようになっていたとのことです。そこで入力したIDやパスワードの情報が攻撃者に届く仕組みとなっており、攻撃者は入手したそのIDとパスワードで不正ログインを実行し、利用者のメールを外部に転送するよう設定を変更していました。

このようなフィッシングメールによる攻撃の対象は大学だけではありません。企業や一般消費者を対象に、スポーツくじの当選や仮想通貨交換業者、アプリ購入の請求書を装うフィッシングメールの被害が多く確認されています。昨今のフィッシングメールは受信者に不信感を抱かせずに不正な添付ファイルやメール内のURLリンクを開かせるための手口が巧妙です。たとえば、著名な企業や団体になりすまし、もっともらしい内容のメッセージを送りつけてくるため、一目で不正なメールを判別することは困難です。

ただ、私たちは業務やプライベートで毎日電子メールを利用せざるを得ない以上、無防備な利用は攻撃者側の思うつぼです。メールに紛れ込むリスクや脅威をしっかり認識し、添付ファイルや本文内のURLを不用意に開けることへの注意と確認を怠らないようにする必要があります。

フィッシング詐欺の見分け方は、とにかく用心することが第一です。メールで送られてきたならメールアドレスは正規のものか、サイトにアクセスをうながされたのならWebアドレスが正規のものであるかどうかなどを確認するのが基本です。不自然な文章ではないか、身に覚えのある内容なのかもチェックしたいところです。
たとえば相手が金融機関を名乗っているのなら、本当にメールで個人に連絡する取り組みをしているのか、連絡先を調べて問い合わせてみるのも有効といえます。もちろん、セキュリティソフトウェアを使用し、デバイスや個人情報をフィッシング詐欺(およびマルウェア)の脅威から保護するのも大事です。

それでも、フィッシング詐欺の被害に遭うことがあります。友人や職場の人間、もしくは家族などがフィッシング詐欺の被害に遭うことがあるかもしれません。また、そのことによって自らにも悪影響が及ぶ可能性も否定できません。
被害に遭わないことが一番のぞましいのは当然ですが、被害に遭ったときに何をするべきかを知っていれば、いざというときに対応や助言ができるだけでなく、新しいパターンの攻撃が流行した際の備えになるはずです。

今回の「情報セキュリティトピックス」では、フィッシング詐欺の脅威を認識するとともに偽物を見抜くコツと対策について解説します。

1. フィッシング詐欺とは

「フィッシングに注意」とよく言われますが、フィッシングとは詐欺の手口のひとつです。現実の生活でも詐欺の手口は多数ありますが、インターネット上でも利用者を巧妙に誘導する詐欺が非常に多くあります。

フィッシング詐欺は、最初アメリカで被害が拡大し、2004年頃から日本でも被害が報告されるようになりました。フィッシング(Phishing)とは、銀行やクレジットカード会社といった金融機関をはじめ、信用ある会社等を装った電子メールを送り、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為のことです。

「Phishing」は、そもそもの「釣り」(Fishing)の意に加え、「利用者を釣るための餌となるメールが洗練されている、手が込んでいる(Sophisticated)」に由来しています。

最近では、オンラインバンキングの暗証番号が盗まれ、第三者(犯罪者)の口座に不正送金される被害が多発しています。また、様々なインターネットサービスのアカウント情報が盗まれ、「なりすまし」によりインターネットへの不正な投稿やウィルス拡散などの犯罪行為の片棒を担がされる可能性もあります。

2. フィッシング詐欺の手口

フィッシングの目的は、クレジットカード情報やログイン情報といった、利用者が持つ重要な情報の搾取です。こうした情報は販売・転売、他社サイトへの不正ログインなどに二次利用できるので、より多くの情報を盗むために不特定多数を標的とします。メールを使ったフィッシング詐欺が多いのは、一度で大量にばらまけるからことです。各社サービスが実際に利用者宛に送るメールの内容に似せるなど工夫を凝らすことで、さらに被害を拡大させています。

利用者へ注意喚起を促すメールそのものが偽物の場合もあります。フィッシングでは、何とかして利用者をフィッシングサイトに誘導しようとします。誘導するフィッシングサイトは、銀行やクレジットカード会社、オンラインサービス(Amazon、楽天、Apple等)がその多くを占めます。
具体的なフィッシング詐欺の例を見ていきましょう。

  1. 設定確認型
  2. アカウントロック型
  3. 購入確認型
    • 購入確認のメールを装う
    • ショッピングサイトで商品を購入した際に送信される「購入確認」のメールを騙るものです。実際の購入確認メールと同様にHTMLメールで送られてきます。受け取った利用者は「心当たりがない」として「キャンセルはこちらから」というリンクをクリックしてしまいます。利用者の心理を突いたケースといえます。
      ※文面の例:Apple をかたるフィッシング (2017/08/24)

      ▼出典:フィッシング対策協議会 フィッシングに関するニュース

      【見た目そっくりの画面】

      リンク先のフィッシングサイトは本物そっくりに作られており、ログイン画面が表示されIDやパスワード等の個人情報を入力するよう促す仕組みになっています。フィッシングメールのリンクをクリックすると、本物とまったく同じサイトが表示されます。これは、Webページを丸ごとコピーできるツールを使用しているためです。そのため、見た目は本物のWebページとまったく同じです(入力項目が増えているケースもあります)。

      しかし、そのWebページがあるのは本物のWebサイト(Webサーバ)ではなく、犯罪者が用意したWebサイトにあるのです。そのため、フィッシングサイト上で入力した内容は、犯罪者の手に渡ってしまいます。

      メール内のリンクからWebサイトへアクセスした場合、ブラウザ上で表示されているURLとドメインが正規のものかどうかを再度確認する必要があります。正規サイトのドメイン名やそれに似せた文字列をURLに使用している場合があります。本物のWebサイトと類似するドメインを利用して、ユーザーを騙そうとする手口で、一文字違っていたり(例:「yahoo」→「yafoo」)、繰り返し出現する文字が異なったり(例:「google」→「gooogle」)するドメインを一見それらしく装うこともあります。

      【添付ファイルを開かせる】

      実在する企業をかたって「請求書の送付」や「商品の配送確認」などの名目のメールを送りつけ、受信者にzip形式の圧縮ファイルを開かせる手口もあります。zipファイルを開くと、一見すると見慣れた文書ファイルが現れます。

      これらのファイルの拡張子は、通常文書ファイルでよく見られる「.doc」のこともあれば、「.js」「.wsf」、「.exe」、「.scr」など見慣れないものの場合もあります。これらのファイルをダブルクリックして開いたり、ファイルを開いた後に表示される「マクロを実行しますか」というメッセージに「はい」と答えるとウイルスに感染します。つまり、多くの場合、利用者が騙されて自らファイルを開くことで自分自身の端末をウイルスに感染させてしまっているのです。

      また、昨今、フィッシングメールの添付ファイルに仕込まれがちなのは、ランサムウェアとオンライン銀行詐欺ツールです。

      ランサムウェアの場合、感染するとファイルが暗号化されたうえに脅迫メッセージが表示されるので感染は一目瞭然です。それに対して、オンライン銀行詐欺ツールの場合、気づかれないように密かにパソコン内に留まるため、感染しても気づけないこともあります。

      ※ 怪しい添付ファイルを開いてしまった場合

      添付ファイルを開いた後に「あやしい」と思った場合は、有線LANならば線を外して、Wi-Fi環境ならばWi-Fiをオフにして、まずはパソコンをネットワークから外しましょう。また、速やかにパソコンにインストールされたセキュリティソフトでスキャンを実行して、ウィルス感染の有無を確かめてください。ウィルスの感染が確認された場合は、スキャンの結果表示された内容に従って必要な対処を行います。そもそもあやしいファイルを開いたタイミングで検知され、自動的に駆除されていれば、対処は必要ありません。

      スキャンで発見されたウィルスの情報をもとに対処方法を調べることもできます。セキュリティ会社がインターネット上に公開している脅威データベースに発見されたウィルス名を入力することでウィルスの詳細や対処法が確認できます。
      ▼トレンドマイクロ脅威データベース

3. フィッシングに騙されないための注意点

フィッシングは、「このままではサービスが利用できなくなる」あるいは「このままではお金を支払わされる」などと思い込ませることで利用者を動揺させ、リンクをクリックさせて重要な情報を盗み出そうとします。まずは落ち着いて冷静になることが大事です。不安を感じたときには、次のポイントを確認してみましょう 。
▼参考資料:フィッシング対策協議会「フィッシング対策の心得」

  • 本当に、あなた宛のメールかを確認する
  • 設定変更が必要になるような重要なメールが届いたら、まずはメールの宛先や件名、本文に自分の氏名があるかどうかを確認してください。通常、サービス側から設定変更などを求めるメールには、利用者の氏名や会員番号などが記載されます。重要なメールなのに、それらの記載がない場合は怪しいメールと考えられます。なぜなら、フィッシングを行う犯罪者は、メールアドレスしか知らないことがほとんどだからです。

    また、個人情報や認証情報を要求してくる個人や法人に対して用心する必要があります。多くの企業は慎重に扱う必要があるような個人情報や認証情報を安易に顧客に要求することはありません。

  • 送信元を確認する
  • たとえそれが「信頼できる」送信元から送られてきたものであったとしても、安易にリンクをクリックしたりファイルをダウンロードしたりするべきではありません。

    メールの「送信者」の表示は、自由に書き換えることができます。そのため、送信者のメールアドレスが正しいからといって信じてしまうのは禁物です。メールの実際の送信元は、メールのヘッダ情報から確認することが可能です。当該メールの送信元のドメインが、実在する企業と無関係な場合はフィッシングの可能性が高いと言えます。パソコンの場合は、メールのヘッダ情報を確認することで、ある程度メールの信頼性をチェックできます。メールソフトからヘッダ情報を開きますが、実はほとんどの項目が偽装できます。

  • 同じ情報がサービスのWebサイトで公表されているか確認する
  • パスワードの変更や購入確認などのメールが届いたときは、メールのリンクからではなく、当該Webサイトにアクセスし、同じ情報が掲載されているかどうか確認しましょう。購入履歴も同様にブックマークからWebサイトを開き、そこからログインして履歴を確認します。重要な情報であれば、メールで告知するだけでなく、Webサイト上でも告知しているはずです。

    また、メール内に含まれているURLの整合性を確認してください。埋め込まれた URL が完全に正規のものであるように見えても、マウスをかざした際に別のウェブサイトのアドレスが表示されるかもしれません。それが正規のリンクであることが確実でなければ、メール内のリンクをクリックすることは避けましょう。

  • 日本語におかしいところはないかを確認する
  • 数年前は日本語のフィッシングメールは少なく、確認されてもひどい日本語で、すぐに怪しいと気づくことができました。しかし、最近は日本語が、かなり違和感がないものになっています。ただ、それでも全体で見ると文章のつながりがおかしい部分があることもありますので、そのような場合はフィッシングを疑いましょう。

  • 入力項目を確認する
  • フィッシングサイトは正しいサイトとまったく同じ内容が表示されますが、銀行やクレジットカード会社のフィッシングサイトでは、本来はないはずの「第2パスワード」や「秘密の質問」「乱数表」なども入力させるようになっています。こうした項目があれば、フィッシングサイトの可能性が高いといえます。

    そもそも正当な企業は特別な理由が無い限り確認メールを送信することはありません。実際、最新の企業情報やニュースレター、広告目的でないかぎり、多くの企業は未承諾のメール送信は極力控えています。特に日本の銀行、クレジットカード会社などの金融機関ではメールによる口座番号や暗証番号、本人の個人情報の問い合わせは行っていません。

  • 暗号化通信になっているかを確認する
  • Web サイトへの通信が保護されているかどうかも確認してください。個人情報を扱う Web サイトでは通常 HTTPS という方式が使用されているため、URL 表示の部分に錠前のマークが表示されます。鍵のマークは、通信が暗号化されているという意味で、SSL/TLS化やHTTPS化と呼ばれます。ただし、最近では無料でSSL/TLS化することもできるため、必ずしも安全とは限りません。鍵のマークをクリックして「証明書の表示」を選び、ドメイン名が正しいかを確認してください。

    4. 不審なメールの情報収集

    何か怪しいと感じた場合、しかし自力で不審な箇所の見分けが難しければ、不審メールそのものを情報として取り扱い情報発信しているサイトを確認するのも参考になります。特に日本サイバー犯罪対策センターが発信している情報を確認すると「このメールはウチにも来たことがある」というものが出てくるはずです。以下の3つサイトを参考するだけで、類似するフィッシング詐欺の手口など、「ある従業員がうっかり不審メールを開いて感染したかもしれない」というようなトラブルが発生してしまった場合は、その不審メールとの照合に役に立つはずです。

    発信サイト 概要
    日本サイバー犯罪対策センター(JC3)
    「犯罪被害につながるメール INDEX版」
    https://www.jc3.or.jp/topics/vm_index.html
    件名、添付ファイルを中心にインデックス化されており、上記にて紹介した事例も掲載されています。
    警察庁 @NPA_KOHO(公式ツイッターアカウント)
    https://twitter.com/npa_koho
    日本サイバー犯罪対策センターで注意喚起されている内容などを常時ツイッターより発信されています。
    内閣サイバー(注意・警戒情報) @nisc_forecast(公式ツイッターアカウント)
    https://twitter.com/nisc_forecast
    警察庁のツイッターアカウントと同様に内閣サイバーセキュリティセンター(NISC)からも注意喚起されています。なお、こちらは注意喚起専用で発信されています。

    フィッシングと気づかずにIDやパスワードなどを入力してしまった場合は、まずはサービス提供側に連絡をしましょう。大抵の場合、ログイン情報を入力しても設定変更などのページが表示されないことで気づくことになりますが、気づいたらなるべく早く連絡することが大事です。

    銀行やクレジットカードなど金融機関の場合は、金融犯罪に遭ってしまった場合の連絡先が用意されています。連絡先は、一般社団法人 全国銀行協会(全銀協)のWebサイトで調べることができます(「金融犯罪に遭った場合のご相談・連絡先」)。 金融機関に届け出ることで、オンラインバンキングやクレジットカードの一時停止、ログイン情報の変更、補償についての相談などが行えます。
    SNSやオンラインゲームサービスなどで、フィッシングサイトにIDとパスワードを入力してしまった場合には、正しいサイトでログインし、パスワードを変更しましょう。すでにパスワードを変更されていた場合には、「パスワードを忘れた場合」から再発行を行います。

    また、フィッシングに遭ってしまったときには、被害の有無にかかわらず警察庁の「フィッシング110番」 や、フィッシング対策協議会に情報提供することも検討してください。

    5. 企業や団体を狙うメールの詐欺にも要注意

    上司や人事部門といった社内に実在する人物や部署から突然、業務メールのアカウント情報(IDとパスワード)の確認を求めるメールが届いたら警戒する必要があります。

    これは、企業や団体に多額の金銭被害をもたらしているビジネスメール詐欺(BEC:Business E-mail Compromise)の可能性があります。

    昨年、日本航空が取引先を装った第三者から「振込先の口座を変更した」などとする偽メールを送られ、計約3億8,400万円をだまし取られたと発表しました。米金融会社に支払っている航空機のリース料について、同社の取引担当を装った者から「料金の振込先の口座が変更になった」という趣旨のメールが日本航空本社の担当者に届いたのに対し、担当者はこれを信じ、指定された香港の銀行口座に振り込んだというものです。

    このように、ビジネスメール詐欺は、経営幹部や取引先の実在する人物を装う業務指示メールを従業員に送りつけ、犯罪者が事前に用意した口座に不正に送金させたり、業務情報をだまし取ったりする詐欺の手口です。犯罪者は偽の送金指示メールを送る前段階として、従業員のメールアカウントを乗っ取り、業務メールを盗み見します。これは、メールのやり取りから業務内容や取引先、取引内容を知ることで信ぴょう性の高い詐欺メールを作成するためです。また、取引先との見積書や請求書のやり取りがメールで普通に行われていることも、犯罪者にとっては都合がいいのです。

    実際、業務にWebメールを利用している企業への攻撃では、経営幹部や人事担当者をかたって業務メールのシステムに再ログインを促すフィッシングメールを送りつけ、受信者を偽のログインページへ誘導する手口が確認されています。

    もし、誘導先ページでアカウント情報を入力してしまうと、メールアカウントを乗っ取られてしまう可能性があります。また、メールアカウントの乗っ取りでは、受信者にメールの添付ファイルを開かせることでキーロガーと呼ばれるウィルスに感染させ、IDとパスワードを割り出す手口も確認されています。BECに引っかからないよう、以下のポイントを確認しておきましょう 。
    ▼ 参考資料:情報処理推進機構「【注意喚起】偽口座への送金を促す”ビジネスメール詐欺”の手口」

    • 送金がらみのメールは詐欺を疑う
    • 経営幹部や取引先の担当者などから緊急の送金や振込口座の変更、メールアカウント情報の確認を求めるメールを受け取ったら、その正当性を慎重に判断してください。メールに記載されている電話番号ではなく、いつも使用している電話番号に連絡するか直接本人に会って話すなど、メール以外の手段で事実確認してください。

    • 勤務先が定めるルールに従って行動する
    • 経営幹部や取引先などから高額の送金や振込口座の変更をメールで依頼されたら、社内の承認プロセスを経るなど、必ず社内ルールに定められた手順に従って処理してください。

    • メールのURLリンクや添付ファイルを不用意に開かない
    • たとえ、経営幹部や取引先から届いたメールでも、無条件にURLリンクや添付ファイルを開いてはいけません。Webメールのサイトに見せかけたフィッシングサイトに誘導されたり、ウィルスに感染させられたりしてメールのアカウント情報を盗み取られる可能性があるためです。

    情報処理推進機構(IPA)では、ビジネスメール詐欺を、「巧妙に細工したメールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる詐欺の手口」と定義し、「金銭被害が多額になる傾向があり、日本国内にも広く潜行している可能性が懸念される。また、手口の悪質さ・巧妙さは、諜報活動等を目的とする”標的型サイバー攻撃”とも通じるところがあり、被害を防止するためには、特に企業の経理部門等が、このような手口の存在を知ることが重要」と指摘しています。また、攻撃者の手口について、「最終的には自身の口座へ送金させることが目的だが、その過程において、偽のメールアドレスを使うだけでなく、様々な騙しの手口を駆使している」として、以下のような事例が紹介されています。

    • 請求者側と支払者側の両方になりすまし、取引に関わる2つの企業を同時に騙す
    • メールの同報先(CC等)も偽物に差し替え、他の関係者にはメールが届かないよう細工する
    • メールの引用部分にある、過去のメールのやりとりの部分について、都合の悪い部分を改変する
    • 事例によっては、企業担当者から「口座名義に問題があり送金できない」旨を伝えると、1時間後に別の口座を連絡してきたり、送金がエラーになった際には30分で訂正のメールが送られてきたりと、非常に攻撃の手際がよいことも特徴的

    特定の企業を狙ったケースでは、あらかじめ企業内に潜入して飛び交うメールの内容を把握し、実際に送信されたメールの内容を数時間後に再利用するフィッシングメールも存在します。これを悪意ある者の仕業だと判断することは、極めて困難だといえますが、ビジネスメール詐欺の手口や狙いを知り、勤務先に金銭被害をもたらさないよう慎重に行動する必要があります。

    また、ある社員がメールの不審点に気づいて、ビジネスメール詐欺の被害を食い止めたとしても、犯罪者は社内の他の社員も同じ手口で騙そうとしてくる可能性もあります。社内での情報共有体制を整え、不審なメールや犯罪の手口等の情報を集約し、会社全体での脅威への認識を高める必要があります。

    6. 騙される可能性を考える

    従来は電子メールを通じてインターネット利用者を誘導し、会員登録制サイトで利用料をだまし取っていた詐欺サイトへの入り口が、Facebook、TwitterやLINE、その他のソーシャルメディアにも拡がっています。内容も従来のサクラサイト詐欺では出会い系や儲け話(「必ず儲かります」「1億円差し上げます」など)の短絡的な手口が中心でしたが、最近では、芸能人をはじめ、社長、弁護士、占い師など多様なサクラ(偽客)を騙る手口に変わってきています。以前、FacebookやTwitter、mixi、モバゲーなどのSNSで知り合った相手に、”デート商法”で「必ずもうかる」と持ちかけた商品を売りつけ、18府県の延べ約1000人から計約9億6000万円を詐取していた容疑者が逮捕されたことが報道されました。

    重要・機微情報や金銭の詐取を目論む詐欺集団は、ソーシャルメディアを悪用し、より巧妙な手口でパソコンだけでなく、スマートフォンなどのモバイルユーザもターゲットにしていることにも注意する必要があります。

    フィッシング詐欺には、心がけだけでは防げない巧妙な手口のものもありますので、そもそも不審なメールを受信させない、不審なサイトへアクセスさせないための技術的対策も重要です。また、フィッシング詐欺も含め、人間を騙すソーシャルエンジニアリング手法に対しては、「手口を知り騙されない」ことが重要です。もし受け取ったメールやアクセスしたWebを見て、何かがおかしいと感じたり、疑わしいと感じたりした場合、高い確率でその懸念は当たっている可能性があります。
    ビジネスメール詐欺を含むフィッシングで弄されるさまざまな心理的詐術を完全に防ぐことはできません。しかし、日々受信するメールや閲覧するWebサイトには偽物やなりすましが多く存在し、騙される可能性があるということを客観的に理解しておくことは大きな意味があります。自分は騙されないという意識(あるいは確証バイアス)こそが、最大の弱点になり得るからです。

    2.最近のトピックス

    ◆フィッシング対策協議会「フィッシング対策ガイドラインの改訂について」

    6月4日、フィッシング対策協議会は、「フィッシング対策ガイドライン」を改訂しました。これは、フィッシング詐欺の被害を防ぐため、サービス事業者や一般利用者向けにフィッシング対策が収録されたもので、改訂された2018年度版は、全体として「サービス事業者」を「Webサイト運営者」に変更し、読みやすさを向上させるとともに、各項目に対する内容をが見直したとしています。

    【主な変更内容】

    1. フィッシングに関する基礎知識として、「2.2 SMS (SHORT MESSAGE SERVICE) を利用したフィッシング詐欺」についての説明を追加しています。これは、メールアドレス宛だけでなく、スマートフォンなどのSMSがフィッシングに悪用されるケースがあり、なかには電話をかけるよう促し、金銭を詐取する手口があることを注意喚起するものです。
    2. Web サイト運営者におけるフィッシング詐欺対策では、「3.3.1 利用者が正規メールとフィッシングメールを判別可能とする対策」で、【要件2】として、外部送信用メールサーバーを「DKIM」「DMARC」「SPF」(電子メールの送信元アドレスの偽装を防止するための技術)などの送信ドメイン認証に対応させる対策が追記されています。

    フィッシングは、利用者を偽サイトに誘導し、金融機関などのサイトにログインするID、パスワードや、送金などの重要な処理に必要な情報を盗み出す詐欺行為です。アカウント情報が盗まれ「なりすまし」により不正送金やウィルス拡散などの犯罪行為の片棒を担がされる可能性もあります。このような脅威に対して、「知らない、(実態が)見えない、(被害に遭った)経験がない」ことで、多くの企業・個人が現実感を持てず、十分な対策をとれていないのが現状です。企業は、社内でフィッシング詐欺の手口や注意の必要性をアナウンスするとともに、セキュリティ対策の見直しと万が一被害に遭った場合の対処法を確認しておく必要があります。

    ◆ BSA「グローバルソフトウェア調査2018〜ソフトウェア管理:セキュリティ要件と新たなビジネス機会」

    6月5日、米国の非営利法人BSA | The Software Alliance (BSA | ザ・ソフトウェア・アライアンス)は、「グローバルソフトウェア調査2018〜ソフトウェア管理:セキュリティ要件と新たなビジネス機会」(原題:Software Management: Security Imperative, Business Opportunity)を発表しました。不正ソフトウェアに関する調査によると、日本ではコンピューターにインストールされているソフトウェアの16%が適切なライセンス許諾を得ていないことがわかっています。日本は、これまでもソフトウェアの不正使用率が低い国とされていますが、今回さらにポイントを下げた背景には、消費者向けソフトウェアの出荷数やインストール数の減少に加え、ソフトウェアの提供形態が多様化し、定額の利用料を支払って利用する形態の「サブスクリプション型」サービスや、ソフトウェア資産管理(Software Asset Management:SAM)の導入が増えたことが挙げられるとしています。

    また、世界中でコンピューターにインストールされているソフトウェアの37%が不正ソフトウェアであり、この数字は2016年からわずか2%しか改善されていません。そして、不正ソフトウェアから侵入したマルウェアによる企業の被害額は、全世界で年間約3,590億ドル(約40兆4414億円)にのぼります。

    一方で、実用的なソフトウェア管理の強化対策を講じている企業は、約11%の収益向上を果たしており、BSAは、「不正ソフトウェアを使用する組織は壊滅的な結果を招く重大なセキュリティ脅威のリスクにさらされている」と指摘しています。ソフトウェアを適切に管理することで、サイバー攻撃のリスクが軽減されるだけでなく、収益の向上にも繋がることを示唆しています。
    不正ソフトウェアの使用や不正コピーは、ビジネスを進めるうえでも大きなリスクとなります。不正コピー発覚時の賠償請求や刑事罰といった法務/コンプライアンスリスク、ウィルス感染や個人情報漏えいといった情報セキュリティリスク、取締役や監査役自身が負う個人責任リスクがあります。さらに、いわゆる風評被害などのレピュテーションリスク、顧客離れや取引停止といった事業継続リスクについても認識する必要があります。

    ソフトウェアを利用するうえでは、ライセンス管理を適切に行うことが重要となります。では、適正なライセンス管理とはどういうことでしょうか。まずは、社内に存する全てのコンピューターに番号を振り把握することが求められます。これは、企業のセキュリティ管理や、IT資産管理、財務データの信頼性、情報セキュリティの適切な運用などの前提にもなるものです。ライセンス管理だけでなく、社内のIT資産を棚卸して、経営を可視化するといった視点からも重要な手続きであると言えます。

    ◆ パロアルトネットワークス「ナイジェリア発ビジネスメール詐欺の台頭」

    パロアルトネットワークスの脅威インテリジェンスの提供を行う「Unit 42」は、6月19日、「ナイジェリア発ビジネスメール詐欺の台頭」の日本語版を公開しました。

    これは、最新のビジネスメール詐欺動向について3万を超えるマルウェアのサンプルを含むデータセットに対し、高度な分析を3年間にわたって実行し解説したものです。本調査によると、同社の顧客に対する約50万件の攻撃に関係していた300超の犯罪グループの存在が明らかになったといいます。
    また、攻撃者は商用マルウェアを利用し、ビジネスメール詐欺を行っており、その数は、昨年だけでも毎月平均で1万7,600件にのぼり、この数は2016年から45%増加しています。

    また、攻撃者が使うツールについて、昨年は、より複雑なリモートアクセスツール(RAT)を使った攻撃がかなり増加し、被害はすべての業種に及んでいると言及しています。

    なお、FBIによると、全世界におけるビジネスメール詐欺の損害額は30億ドルを超えているということです。

    正に、企業版「振り込め詐欺」として、世界的に被害が拡大する中、既に日本企業にとっても看過できない脅威となっています。BECは、技術的な対策や人の注意だけで「騙し」を完全に防ぐことは極めて困難な一方、実際の攻撃からは、注意すれば不審な点に気づくであろうこともうかがえます。典型的な手口を知ることや、訓練等を通じて情報を取り扱う「人」の注意力を高めつつ、送金前のチェック体制や認証態勢を強化するなど、多層的な防御態勢の強化に努めることが肝要だと言えます。

    3.最近の個人情報漏えい事故(2018年5月、6月)

    下記の表は、今年5月と6月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
    ※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。

    業種 発生原因 対象 備考
    1 警察 FAX誤送信 捜査資料を本来の送り先ではない10か所に誤送信 送り先の指示を受けた署員が別の送信先と誤認
    2 支援学校 誤廃棄 児童の氏名、生年月日等が記載された指導要録60名分
    3 県立高校 書類紛失 生徒の氏名、住所等は記載された緊急連絡先カード348名分
    4 市立幼稚園 デジタルカメラ紛失 園児の写真およそ20枚
    5 メール誤送信 傍聴案内のメール1件 約3年前の事案だが、去年12月の匿名の指摘から発覚したため、発表が遅れたとしている
    6 市立小学校 書類紛失 児童16人の住所や保護者の電話番号など
    7 インテリア製品製造販売 携帯電話紛失 顧客およそ200名の個人情報
    8 国立大学 メール誤送信 メールアドレス30件 「Bcc」で送信すべき所を誤って「Cc」で送信
    9 県立支援学校 メール誤送信 メールアドレス16件 宛先の設定を誤ったため
    10 地域振興事務所 FAX誤送信 1名の氏名、生年月日等が記載された書類
    11 市立中学校 書類紛失 生徒の氏名、電話番号などが記載された緊急連絡用カード34名分
    12 県立高校 書類紛失 生徒の氏名が記載された答案用紙79名分
    13 市立小学校 ノートパソコン紛失 生徒35名の顔写真 学校から自宅に帰る間に飲食をした教員が、帰り道の途中で眠ってしまったため、当該PCをカバンごと盗まれてしまったとのこと
    14 消防署 FAX誤送信 救急搬送した人物の氏名などが記載された書類
    15 総合療育センター 誤送付 氏名1件 同センターの利用者1名に複数の書類を送付する際、誤って別人宛ての書類を混入させてしまったため
    16 クラウドサービス ノートパソコン紛失 顧客約9000名分の氏名、電話番号等
    17 環境研究所 メール誤送信 メールアドレス134件 Bcc」に設定すべきところを誤って「To」に設定して送信したため
    18 誤送付 氏名、口座番号などが記載された奨学金にかかる通知書 宛名と通知書の照合を怠ったため
    19 都立高校 書類紛失 生徒25名の氏名が記載された体力テストの記録票
    20 国立大学 メール誤送信 学生のメールアドレス512件 「Bcc」で送信すべき所を誤って「To」で送信したため
    21 ソフトウェア開発 メール誤送信 メールアドレス261件 Bcc」で送信すべき所を誤って「To」で送信したため
    22 書類紛失 町民53名の個人情報が記載された書類
    23 書類紛失 マイナンバーカードの申請書類84人分で、氏名や住所、生年月日など
    24 過程相談センター 書類紛失 児童虐待が疑われる児童を含む11名の氏名等が記載された書類 後日、当該書類を拾得した者から連絡を受け、書類を回収
    25 信用金庫 書類紛失 顧客の氏名、口座番号などが記載された振込依頼書推計8,500人分 誤廃棄の可能性
    26 私立大学 ノートパソコン紛失 教職員などおよそ3000名の氏名やメールアドレス
    27 産業振興財団 メール誤送信 会員61名のメールアドレス 「Bcc」で送信すべき所を誤って「To」で送信したため
    28 総合病院 USBメモリ紛失 患者163人の氏名、生年月日など
    29 誤廃棄 福祉サービスの利用者124名の氏名、住所などが記載された書類
    30 メール誤送信 メールアドレス27件 送信先をBccに設定しなかったため
    31 書類紛失 地権者33人の氏名、生年月日等が記載された文書 誤廃棄の可能性
    32 園芸センター 不正アクセス 氏名や性別、都道府県、メールアドレス、パスワードのほか、任意で入力したニックネームや、自己紹介など会員最大609件の情報
    33 地方銀行 書類紛失 顧客の氏名や住所、電話番号、支店名、口座番号、残高などが記載されている喪失届166件、届出事項変更届推定1000件、および納付受付票3027件 誤廃棄の可能性
    34 支援学校など9校 書類紛失 生徒と保護者の氏名、住所のほか、出身校や卒業後の進路、修得単位数などが記載されていた指導要録1827人分
    35 市立小学校 書類紛失 1クラス24人分の氏名、学年、クラスのほか、友人関係、性格などの指導上配慮すべき内容 教諭が紛失した名簿が掲示板に張り出されていた
    36 ガス 検針用携帯端末紛失 顧客307件の氏名や住所、ガス使用量、領収金額など 委託先の従業員が、自宅でバイクの盗難に遭ったもので、バイク後部の鍵付き収納ボックスに問題の端末が入っていた
    37 動物園 誤送付 氏名209件の記載ミス
    38 県立体育センター メール誤送信 メールアドレス89件 送信先をBccに設定しなかったため
    39 生活協同組合 メール誤送信 新入生571人のメールアドレス 送信先をBccに設定しなかったため
    40 信用組合 携帯情報端末紛失 顧客967件の氏名または会社名、電話番号、生年月日または設立年月日、預金や融資に関する情報など
    41 メーカー 不正アクセス クレジットカードを利用した約2万3000人分のクレジットカードの名義、番号、有効期限、セキュリティコード
    42 市立小学校 USBメモリ紛失 全校児童723人分の顔写真付き児童一覧のほか、指導用資料93人分や、担任学級の連絡網など
    43 ソフトウェア 内部不正 企業情報を不正に持ち出した元従業員が、京都地方検察庁に書類送検 問題の元従業員は、2016年9月に同社を退職する際、同社の事業ノウハウに関する情報を不正に持ち出していたという
    44 防災救急協会 メール誤送信 申込者444人のメールアドレス 送信先をBccに設定しなかったため
    45 メール誤送信 非常勤職である同市駐在員の名簿で、107人分の氏名や住所、電話番号など
    46 セキュリティ協会 メール誤送信 注文者の氏名や住所、電話番号のほか、記入している場合は所属など関個人情報9人分が含まれるメールを、誤って注文者17人へ送信 注文者へ発送するための宛名ラベルを差し込み印刷する際、「Word」のメニュー選択において、文書の印刷ではなく、メール一括送信の機能を誤って選択
    47 医療 不正アクセス 氏名やクレジットカードの番号、有効期限など3412件 不正利用による二次被害も発生
    48 メール誤送信 ボランティア登録希望者1人の氏名や住所、電話番号、年齢、性別、学校名、最寄り駅など 「CC」欄に、ボランティア登録者12人のメールアドレスを誤って入力したため
    49 私立大学 不正アクセス 氏名や所属組織の住所、電話番号、生年月日、性別、現職、学歴、職務経験、国籍など海外から応募した264人分の個人情報 攻撃者は奪ったアカウント情報でログインし、同メールアカウントで受信したメールを外部に転送するよう設定を変更。期間中に、応募者の個人情報リストが添付されたメールや、応募者の参加申請書や履歴書などのメールを同アカウントで受信したことから外部へ不正に転送
    50 書類紛失 個人情報含む廃棄書類 保管期間が経過した書類を廃棄するため2トントラックで処分場へ向かう際、車両の荷台から書類の一部が飛散
    51 誤送付 氏名や生年月日、年齢、性別など特定健康診査受診券のうち31人分
    52 高速道路 不正アクセス 元従業員が退職後にセキュリティベンダーのサーバにある管理ツールへ不正アクセスし、業務で利用している複数端末からインストールされていたセキュリティ対策ソフトを削除した
    53 電力 書類紛失 352人の個人情報が含まれる台帳類や工事書類などで書類あわせて347件 個人情報を含む廃棄書類の運搬中に一部が路上に飛散
    54 ケーブルテレビ メール誤送信 顧客の氏名や住所、顧客番号など1468件が記載された資料 誤って無関係のケーブルテレビ事業者へメールで送信
    55 消防組合 ハードディスク紛失 住民の個人情報含む業務データが保存された外付けハードディスク1台を紛失
    56 総合技術研究所 不正アクセス サーバ内に保存されていた会員の個人情報のほか、職員1人の個人情報
    57 大学病院 ノートパソコン紛失 入院患者1309人分の氏名や職員の名字
    58 市立小学校 USBメモリ紛失 市内小学校の教頭と主幹教諭27人分の氏名や住所、電話番号、携帯電話番号、学校名など
    59 医療センター ノートパソコン紛失 患者57人のカタカナ表記氏名、ID、生年月日、性別のほか、疾患名の略称、疾患関連の遺伝子異常の有無、病理組織所見、血液検査所見など
    60 市立小学校 ノートパソコン紛失 保護者懇談会においてスライドショーで上映するために用意した児童の写真約120件 教員友人との飲食後、自宅に向かう歩道橋の下で休んだところ、そのまま眠り込み、目が覚めた時にはノートパソコンが入れていた鞄が見当たらなかった
    61 通販サイト 不正アクセス 顧客のクレジットカード情報最大1003件
    62 調査 不正アクセス メールアドレスやパスワード、電話番号など約57万件 「SQLインジェクション」攻撃によるもので、流出の可能性がある情報は、2000年5月から2018年5月2日までに登録された情報で、当初発表していた6119件から約57万件に修正
    63 託児施設 メール誤送信 氏名とメールアドレス275件 送信先をBccに設定しなかったため
    64 市立中学校 書類紛失 1年生102人の氏名や性別、小学校での成績、友人関係など 空き教室に2ヶ月放置されていた
    65 航空 ノートパソコン紛失 氏名や生年月日、性別のほか、パスポート番号や有効期限、発行国、国籍など
    66 市立大学 不正アクセス メール送信者の氏名とメールアドレス3512件のほか、本文や添付ファイルに記載された氏名や住所、電話番号2266件、学生情報16件のあわせて5794件の個人情報 同大で利用するクラウドメールサービスのIDとパスワードが、フィッシング攻撃により詐取された
    67 通販 不正アクセス 会員のメールアドレスとパスワード
    68 環境研究所 メール誤送信 メールアドレス134件 送信先をBccに設定しなかったため
    69 私立大学 USBメモリ紛失 担当した中国語の履修者555人分の氏名、学籍番号や成績情報
    70 府立高校 USBメモリ紛失 1年生40人の氏名と出席番号、同年度1年生16人の氏名とクラスと出席番号、性別、選択科目などのほか、同教諭の前任校の生徒93人の成績データなど 紛失したUSBメモリに含まれる個人情報が記載された書類が、匿名で同府に郵送され、問題が発覚
    71 私立大学 USBメモリ紛失 学生106人の氏名、学籍番号、成績情報など
    72 通販 不正アクセス 顧客のIDやパスワード2457件
    73 私立大学 USBメモリ紛失 9人の氏名や学籍番号、提出した作文など
    74 ガス 書類紛失 27件の顧客情報が含まれる領収証のほか、入居時に保証金を受け取った際に発行する保証金預り証など
    75 書類紛失 生徒25人の体力テストの結果が記録された記録票原簿
    76 証券 不正アクセス 関連各社の顧客情報が流出した可能性 海外子会社がマルウェアを介した不正アクセスによる被害
    77 書類紛失 給水契約者53人分の氏名、住所、上下水道の未納状況、水道口径など
    78 公正取引委員会 メール誤送信 メールアドレス188件 送信先を誤って宛先に設定
    79 不正アクセス 職員が複数職員のIDとパスワードを不正に取得し、庁内で運用しているグループウェアにログインし、メールなどを不正に閲覧 庁内のメールシステムや事務システムにログインし、メールを不正に閲覧した職員に対し、懲戒処分
    80 信用金庫 書類紛失 振込依頼書には、氏名、振込先の金融機関名、支店名、口座番号、振込金額など5800件の顧客情報 誤廃棄の可能性
    81 国立病院機構 USBメモリ紛失 患者の氏名、連絡先、性別、生年月日のほか、病名や既往歴など患者5人分
    82 ケーブルテレビ 携帯電話紛失 従業員18人、委託先従業員4人、個人的な関係者5人の氏名と電話番号
    83 不正アクセス ネットワーク内においてフォルダの番号を直接指定してアクセスし、人事関連情報を含むデータを閲覧。自身の業務用パソコンや自宅のパソコンにコピーして保存していた 情報管理課の職員が、庁内システムの閲覧状態について不審に思い確認を行ったところ、不正行為が発覚
    84 USBメモリ紛失 氏名や住所、電話番号、生年月日、性別のほか、各種がん検診や肝炎ウイルス検診の結果を数字で表したデータなど検診データ1354件
    85 誤送信 26人分の氏名やマイナンバー、住所、税額など システム不具合
    86 ホテル 不正アクセス 顧客の氏名や住所、国籍、メールアドレス、予約金額、ホテル名、チェックインやチェックアウトの日程など個人情報12万4963件 英語や中国語、韓国語などで提供する予約サイトの委託先サーバが不正アクセスを受けた
    87 私立大学 ノートパソコン紛失 レポートの提出状況やレポート、出欠確認、海外研修の手続き書類など、学生や大学院生のべ679人分の個人情報 海外の研修先であるドイツで盗難
    88 メール誤送信 メールアドレス66件 送信先を誤って「CC」に設定
    89 大学病院 ノートパソコン紛失 氏名や生年月日、年齢、性別のほか、診断名や内視鏡画像、病理検査結果、化学療法投与薬剤名など内視鏡手術や化学療法を受けた患者374人の個人情報 医師の記憶では鞄にパソコンを入れて病院を出て飲食店に立ち寄って帰宅したところ、鞄の中にパソコンがなかったという
    90 産業振興団体 メール誤送信 メールアドレス61件 送信先を誤って「CC」に設定
    91 メール誤送信 メールアドレス27件 操作ミス
    92 総合病院 USBメモリ紛失 患者163人分の氏名や生年月日、年齢、性別、身長と体重のほか、疾患名や手術内容、退院日など

    「41」は外部からの不正アクセスによって、クレジットカード情報を含む個人情報が漏えいした事案です。不正アクセスの原因として、サーバの脆弱性が悪用されたとしています。

    自社の情報資産を守るうえで、全てのセキュリティ対策をカバーするのが理想ですが、コスト的に困難な場合は、優先度の高いものから順次検討していきたいところです。最近特に気をつけたいのが、サーバの脆弱性を突いた攻撃やWebサイト改ざんのリスクです。

    毎年、ECサイトや大学・研究機関、病院への不正アクセスやWebサイト改ざんによる事故や被害が多発しています。その多くが被害を受けていること、または加害していることに自発的には気が付かないこと(クレジットカード会社や決済代行会社、消費者や特定団体等の第三者からの通報で発覚)が問題として挙げられます。特にWebサイト改ざんによる被害は、事業規模やサービス内容にかかわらず、自社においても対岸の火事として放置しておくことができません。自社におけるシステム管理上の不備や脆弱性をあらためてチェックし、手当てを施す必要がありますので、情報処理推進機構(IPA)が紹介している以下の点検を是非ご参照ください。

    情報処理推進機構(IPA)は、Webサイトへのサイバー攻撃が後を絶たない状況を踏まえ、ウェブサイト運営者および管理者に対し、システム上点検と基本的対策の実施を呼びかけています。

    ▼情報処理推進機構(IPA) 「ウェブサイトへのサイバー攻撃に備えた定期的な点検を」

    【重点的に点検するポイント】

    1. 利用製品(プラグイン等追加の拡張機能も含む)の最新バージョンの確認
    2. 目的:脆弱性が解消された最新バージョンの公開を確認するため
      対象:ウェブサーバー等のウェブシステム、ウェブサイト運用管理用PC
      頻度:数週間~1ヶ月に1回程度

    3. ウェブサイト上のファイルの確認
    4. 目的:改ざん等されていないか確認するため
      内容:ファイルのリスト(ファイル名、サイズ、更新日時、ハッシュ値(※)取得と比較
      (※) データを特定するために、あるアルゴリズム(関数)から算出される値で、改ざん前と改ざん後の同一性の比較が可能。
      頻度:1週間に1回程度

    5. ウェブアプリケーションのセキュリティ診断
    6. 目的:自社のウェブアプリケーションに脆弱性が存在しないか確認するため
      対象:ウェブサーバー
      頻度:1年に1回程度、および機能追加等の変更が行われた時

    【基本的対策】
    ▼IPA「安全なウェブサイトの構築と運用管理に向けての16ヶ条~セキュリティ対策のチェックポイント~」
    ▼IPA「ウェブサイト改ざんの脅威と対策」

    【その他参考情報】

    その他にも内閣サイバーセキュリティセンター(NISC)が公開した「情報セキュリティハンドブック」も参考になります。
    ▼内閣サイバーセキュリティセンター「情報セキュリティハンドブック」

    「情報セキュリティハンドブック」は「ネットワークビギナー」向けとされており、企業、個人を問わず、セキュリティをわかりやすく理解できるようなハンドブックとなっています。内容は、いわゆる「サイバー攻撃」が、どういう手順を経て、誰が、どのように行うのかが解説されており、それに対してセキュリティソフトの導入や複雑なパスワードの設定などを指南しています。また、セキュリティ対策製品を導入するだけで”おざなり”になりがちなソーシャルエンジニアリングへの対処の心構えなども掲載されています。

    ハンドブックはNISCのWebサイトで公開されているため、誰でもダウンロードができます。企業内でセキュリティリテラシーの底上げを図りたい場合、ハンドブックの配布や周知も検討いただければと思います。

    また、われわれの業務として、情報保護体制の運用実態診断・体制整備、脆弱性の抽出、漏洩対応体制整備を実践的に支援させていただいています。実効性のある個人情報保護管理体制、漏洩対応体制の構築・運用に向けた整備やサポートのご相談があれば、いつでもご連絡お待ちしております。

    ページ先頭へ

    セミナーや研修について

    当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。

    セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

    【お問い合わせ】
    株式会社エス・ピー・ネットワーク 総合研究部
    Mail:souken@sp-network.co.jp
    TEL:03-6891-5556

Back to Top