RSA AFCC News Vol.104: RSAが観測した消費者を狙った攻撃のトレンド
[18/07/31]
提供元:PRTIMES
提供元:PRTIMES
フィッシングという言葉が1996年に出現して以来、手口は進化し続けており、被害総額と被害者数は上昇の一途をたどっています。RSAは2003年よりオンライン犯罪対策サービス「RSA FraudAction」を提供しており(国内提供は2006年から)、トロイの木馬などマルウェア攻撃を検知し、フィッシングサイトを閉鎖します。FraudActionの中核であるAFCC(Anti-Fraud Command Center:不正対策指令センター)では、200名以上のフロード・アナリストが24時間365日体制で数カ国語を駆使し、マルウェア解析、犯罪手口の解明に従事しています。
本ニュースレターは、AFCCが定期的に公開しているインテリジェンスレポートからフィッシングやオンライン犯罪情報、統計情報をまとめたものです。犯罪者による金銭などの経済的な利得を目的とした攻撃、消費者を標的とした攻撃に関するデータと、RSA(R) Fraud & Risk Intelligenceチームによる分析を掲載しています。多様な業種、規模の消費者にサービスを提供している企業が効果的なデジタルリスクマネジメントを実現するために役立つサイバー犯罪環境のスナップショットです。 (2018年第1四半期版 : 2018年7月31日発行)
1. 犯罪の攻撃傾向
サイバー攻撃トレンド 2018年第1四半期
フィッシングやマルウェアは、過去10年の間に編み出されたオンライン犯罪戦術の中で最も成果を上げた手法です。フィッシング攻撃は、従来の金融機関の利用者を狙ったオンライン犯罪の手段として確立されただけでなく、「本物」につながるリンク、メッセージ、アカウント、個人、サイトを実に巧妙に模倣することで、私たちの警戒心(セキュリティ意識)を薄めることにも成功しました。一方、今や世界に蔓延した銀行顧客を狙うマルウェア=トロイの木馬からは、実に多種多様な亜種が生まれ、サイバー犯罪の自動化にもつながっています。これらの不正なプログラムは、私たちの目に付かないよう密やかに仕事をこなすため、検知された時には手遅れということもしばしば起きています。
RSAは、こうしたオンライン犯罪について手法別の攻撃量や地域毎の発生状況を追跡・報告しています。それは、サービス提供者や消費者がサイバー犯罪をよりよく知り、犯罪行為と対峙する上での議論を活性化するという終わりなき取り組みがより効果的なものになるよう貢献したいと願っているからです。
犯罪攻撃のタイプ別発生状況
[画像1: https://prtimes.jp/i/28045/12/resize/d28045-12-517638-13.jpg ]
主な不正戦術と攻撃の分布を知ることは、今後実行されるであろう攻撃の最新トレンドの理解を手助けしてくれます。サイバー攻撃はタイプ毎に異なるレベルのリソース調達力や技術的競争優位性を要求します。そのため、こうした統計情報を経時的に観測、把握することで、犯罪者の攻撃方法の嗜好性を垣間見ることができ、ひいては攻撃に対するより効率的な対応につながります。
2018年第1四半期、フィッシング攻撃は、観測されたサイバー攻撃のほぼ半数を占めました。フィッシング攻撃は、オンライン犯罪攻撃手法の中でも最も古いタイプに含まれるものであるにもかかわらず、今なお最も幅広く使われています。その理由は、電子メールのように単純なローテク攻撃手法の組み合わせで、必要なリソースも少ないなど、技術的な参入障壁が低いためかもしれません。
一方、トロイの木馬は、第1四半期に観測された攻撃のうち4分の1を占めています。そこには、サイバー地下市場でサービス型マルウェアキットの提供が増えていることが影響している可能性があります。
2018年第1四半期、RSAは8,000を越える不正なモバイルアプリケーションを検知しました。これは観測された攻撃全体の6%に相当します。モバイルチャネルにおける犯罪行為が蔓延している様子は、以下のセクションでもご紹介します。
フィッシング: 攻撃対象となった国と攻撃がホストされた国
[画像2: https://prtimes.jp/i/28045/12/resize/d28045-12-284630-1.jpg ]
フィッシング攻撃の対象となった国々
頻繁にインターネット犯罪の標的となっている国は、技術の普及水準や地政学的状況や関係性の違いという視点で見たときに、世界で最も進んだ国であることが多くなります。また、これらの国々は、基本的に犯罪者が高い優先順位を継続的に置いている地域です。犯罪者がこれらの国々に高い優先順位を置く理由としては、自身がこれらの地域で多くの成功体験を持っている、などの理由が考えられます。継続的にこのリストを注視していくことで、フィッシング犯罪者がそれぞれの場所で得た成功、それに応じた重要な変化や意図などに気づくことができるでしょう。
フィッシング攻撃がホストされた国々
フィッシング攻撃に関与したインターネット接続サービスが運用されていた、つまり、ホストされていた場所を地理的に観察すると、いくつかの特筆すべき例外を除き、多くがフィッシング攻撃の標的にもなっていることがわかります。特筆すべき例外というのは、例えばロシア連邦や中国は攻撃対象となるより、攻撃をホストした国としてリストに登場することの方が圧倒的に多くなっているという点です。このリストに掲載されるということは、必ずしも、国家として犯罪を推奨しているとか、支援しているということを示しているわけではありません。しかし、重要な機関や法的枠組みに十分なサイバーセキュリティ意識が浸透していない国なのではないかという、先入観を与えかねないとはいえるでしょう。
2. 消費者を狙った犯罪の傾向
サイバー犯罪の数値化は決して容易なことではありません。大量のデータセットを持っていても、そこから人の目を欺いて攻撃を隠匿しようとする犯罪的攻撃の意図を理解できる、防犯に役立つ深い洞察まで持ち合わせている組織はほとんどありません。RSA Fraud & Risk Intelligenceチームは、消費者を狙った犯罪に関するデータを分析し、主要な組織にセキュリティとリスク管理の意思決定に関する情報を提供すると同時に、消費者を狙った金融関連のサイバー犯罪攻撃を認知、防止、削減することで、公益に貢献もしています。
ここで紹介する内容は、現在の消費者を取り巻く犯罪的環境の枠組みを包括的に捉え、金融とeコマースの両エリアを横断的にフォーカスして、オンライン犯罪にかかわる幅広い指標を追跡することで、オンライン犯罪に関する傾向の特定を目指しています。
チャネル別に見る犯罪的取引の発生状況
取引方法
消費者が金融システムとやり取りする方法は、消費者や一般社会における技術への適合状況を表しています。 また、利用者の振る舞いにおける全体的な変化も示唆しています。そのために、他の不正に基づく要素も踏まえて、ウェブブラウザー、モバイルブラウザー、モバイルアプリケーションという3つの手段を、テクノロジーの不正利用の状況を把握するためのベースラインとして選んでいます。
[画像3: https://prtimes.jp/i/28045/12/resize/d28045-12-908471-14.jpg ]
2018年第1四半期、RSAが観測したモバイルブラウザーとモバイルアプリケーションを使った取引は全体の55%を占めました。取引の全体の数字は、前四半期比で変化はありませんでしたが、前年同期比ではモバイルアプリケーションの利用が6ポイント増加したこともあって、モバイルの比率*が9ポイント増加しています。
*モバイルブラウザーとモバイルアプリケーションを合わせた数字
[画像4: https://prtimes.jp/i/28045/12/resize/d28045-12-904129-15.jpg ]
不正取引の方法
同様に、サイバー犯罪者が金融システムとやり取りする方法も、技術的視点でのセキュリティ状態を物語っており、攻撃者の戦術、技術、流儀などの変遷を示唆しています。他の犯罪に関する要素を踏まえても、ウェブブラウザー、モバイルアプリケーションやモバイルブラウザーを使った不正な取引の発生状況は、不正な目的のためにこうした技術を使うことの有効性の指標として使えると、RSAは考えています。
第1四半期、モバイルアプリケーションとモバイルブラウザーの取引は、不正な取引全体の65%を占めました。これは、前四半期から2ポイントの減少を意味します。前年同期との比較では、モバイルチャネル*を用いた不正な取引は4ポイント増加しています。
*モバイルブラウザーとモバイルアプリケーションを合わせた数字
取引単価に見る犯罪的取引の状況
出典: RSA Fraud & Risk Intelligence Service, 2018年1月〜3月
[画像5: https://prtimes.jp/i/28045/12/resize/d28045-12-526372-4.jpg ]
犯罪者は盗んだクレジットカード情報を使って転売・換金のしやすい高額な商品を購入するため、不正な取引の1件あたりの平均値は、おおむね正規の取引よりも高額になる傾向があります。それでもなお、正規の取引と不正な取引の間の消費水準の違いから得られる洞察があります。
第1四半期に確認された正規取引の単価と不正取引の単価の間で最も大きな違いが生じていたのはEU (英国を含まない欧州)で、不正な取引1件あたりの平均は、正規の取引より152%高い439 USドルでした。南北アメリカでは取引単価の違いは144%とEUに比べて小さかったものの、不正取引の平均単価は508 USドルとEUを上回っています。
[画像6: https://prtimes.jp/i/28045/12/resize/d28045-12-980238-16.jpg ]
デバイスエイジとアカウントエイジ
出典: RSA Fraud & Risk Intelligence Service, 2018年1月〜3月
分析
「デバイスエイジ」とは、デバイス(ノートPCやスマートフォンなど)が本人によって利用されたと、RSA Fraud Platformが判断した期間の長さです。信頼できるデバイスは、デバイスエイジが30日以上のものです。逆に新しいデバイスとは、デバイスエイジが1日未満のものです。
同様に「アカウントエイジ」とは、そのアカウントが本人によって利用されたと、RSA Fraud Platformが判断した期間の長さです。信頼できるアカウントはアカウントエイジが90日以上のものです。逆に新しいアカウントとは、アカウントエイジが1日未満のものです。
ちなみに、ログインや取引時に正しいユーザーを排除してしまうと、顧客との間でトラブルが生じます。こうした偽陽性を最小化する上で、正確なデバイス識別は大変重要なポイントとなります。
eコマース
第1位四半期、eコマースにおける不正な取引の81.6%(62.1%+19.5%)が新規のデバイスでした。つまりそれまでユーザーが使ったことのないデバイスによって行われたものとなります。また、 本人が作成したことが確認されて一定の期間が経過しているアカウントを使って行われた不正な取引の62%が、新規デバイスを使って行われていました。つまり、この値は、犯罪者が複数の店舗に対して同一のアカウント情報を使って取引を企図するアカウント乗っ取りやクレデンシャルスタッフ(*1)といった攻撃の発生状況に関する指標になるということです。
[画像7: https://prtimes.jp/i/28045/12/resize/d28045-12-808204-17.jpg ]
(*1)窃取したログイン情報の一覧を様々なサイトで自動的に入力してログインできるかどうか調べる攻撃
オンラインバンキング:ログイン
正規の取引の中で、新しいデバイスから新しいログイン情報を使って行われたケースはわずか0.4%だけであったのに対し、同じ組み合わせで行われた不正な取引は第1四半期に観測された不正な取引全体の32%を占めています。このパターンは、犯罪者が、ログイン情報を活用して、現金化に必要なミュール(*2)アカウントの作成を企図していると考えられます。
[画像8: https://prtimes.jp/i/28045/12/resize/d28045-12-703780-18.jpg ]
(*2)元来の意味は運び屋など。窃取した情報で不正購入した物品や不正送金の送り先のこと。犯罪者が正規の仕事を装って出した偽の採用情報に応募することで、知らぬ間に犯罪の片棒を担がされているケースも多い。この場合は、知らぬ間に不正に入手した金品を換金した現金や不正に引き出された預金の振り込み先口座を指す。
オンラインバンキング:支払い
ログインにおける不正と同様に、新しいアカウント、新しいデバイスの組み合わせは、正しい取引においては全体のわずか0.4%だったのに対し、不正な取引においては全体の22%を占めました。こちらもやはり潜在的なマネーミュール行動である可能性を示していると言えるでしょう。不正取引の中で最も比率が高かったのは、新しい端末から信頼できるログイン情報を使って行われたもので、銀行利用者を狙ったマルウェアに感染した端末から中間者攻撃型のアカウント乗っ取りが行われた結果である可能性が高いと考えられます。
[画像9: https://prtimes.jp/i/28045/12/resize/d28045-12-762587-22.jpg ]
RSAが取り戻した漏えいクレジットカード情報
出典: RSA Fraud & Risk Intelligence Service, 2018年1月〜3月
[画像10: https://prtimes.jp/i/28045/12/resize/d28045-12-223190-20.jpg ]
分析
2018年第1四半期、RSAは310万枚を越えるクレジットカード情報を信頼に足る地下市場のオンライン闇店舗で確認し、再発行手続きにつなげることで回復に貢献しました。多くのクレジットカード情報販売店が同じデータベースを共有しているため、監視の際には注意しないと同じデータを重複して扱っていることに気づかない恐れがあります。例えばリカバー済みのクレジットカード情報を何度も検知するなどです。RSAでは監視対象を適切に管理することで、こうした事態を回避しています。従って、ここで紹介している値は「のべ」の数字ではなく、ユニーク件数となっています。
3. 特集: 犯罪サブレディットを閉じたReddit
Reddit(*3)は、犯罪者たちが連絡を取ったり犯罪の舞台として利用したりする、数あるソーシャルメディアプラットフォーム(SMP)の一つです。犯罪者たちは、Redditを主に、連絡先の交換、自らのサービスの宣伝、ダークウェブ犯罪フォーラムの信頼できる情報源として利用しています。近ごろ、Redditのソーシャルニュースとメディアのアグリゲーションサイトは、大量の犯罪に関するサブレディット(*4)を閉鎖しました(図-1参照)。
[画像11: https://prtimes.jp/i/28045/12/resize/d28045-12-920380-9.jpg ]
Redditで犯罪に関係するセクションが閉鎖されるのはこれが初めてというわけではありませんが、最近行われた閉鎖措置は、最も有名な「/r/DarkNetMarkets」というセクションが対象となったことで、量的な面からとても大きなできごとになりました。つまり、この閉鎖とそれに伴うポリシーの変更は、参加者、つまり犯罪者たちの間に強い反応を誘発したということです。愛用のプラットフォームが失われてしまうことを受けて、代替策やバックアップ方法などに関する情報が犯罪者たちの間で飛び交いました。
閉鎖された犯罪に関するディスカッションに参加していた連中を含め、犯罪者たちは、こうしたポリシーの変更やセクションの閉鎖が行われるのではないかと長らく危機感を示してきました。準備段階において、その時点で機能停止してしまっていたサブレディットからデータや削除されたコンテンツをバックアップさせろ、削除コンテンツをダウンロードできるリンクを提供しろ、などと主張する輩も現れました(図-2参照)。
(*3) reddit(レディット)は英語圏のウェブサイト。ニュース記事、画像のリンクやテキストを投稿し、コメントをつけることが可能。ウェブサイトへのリンクを収集・公開するソーシャルブックマークサイト。ニュース記事、画像などの紹介や感想募集のトピックをだれでも立てられるソーシャルニュースサイトでもあり、トピックについてのコメントをだれでも書き込める電子掲示板の一種でもある(出典 ウィキペディア)。
(*4) redditでは特定の領域向けに焦点を当てたコミュニティをサブレディット(subreddit)と呼ぶ。これは匿名掲示板2ちゃんねるなどにおける『板』に相当するものであるが、ユーザーが自主的に立ち上げることが可能である(出典 ウィキペディア)。
[画像12: https://prtimes.jp/i/28045/12/resize/d28045-12-197941-10.jpg ]
今後の活動に向けたRedditに代わるオプションの検討が、多くの古株たちの間で実に素早く行われたようです。中には、こうしたコミュニティが求めるRedditによく似た性質を持っていて、移行もずいぶんと簡単だという既存のプラットフォームを提案する声が挙がっています。Redditのセクション閉鎖などの方針によって生まれた空白を埋めるという目的を達成するために新たなプラットフォームを作ったというものもいます。これは、犯行に活用するという目的を指向しているとみられ、違法行為に適した利点を数多く提供していると謳っています。このようなディスカッションに登場したRedditに代わるオプションの候補で、閉鎖されたサブレディットの訪問者が多くリダイレクトされたのが、DreadとDNM Avengersです(図-3参照)。
[画像13: https://prtimes.jp/i/28045/12/resize/d28045-12-780961-21.jpg ]
まとめ
Redditは、もっぱら犯罪にフォーカスしたコンテンツが掲載されたサブレディットを閉鎖することで、そのプラットフォーム上で行われるサイバー犯罪活動の防止について態度を鮮明にしたと言えるでしょう。この閉鎖措置の実施以来、犯罪者たちはみずからの違法行為についてあまりとやかく言わないであろう代替プラットフォームへの適合を迅速に進めているように見受けられます。
Redditやその他のプラットフォーム運営者たちが、投稿やプロファイル、不正を働く集団の削除などの英断を実行に移してくれたにもかかわらず、残念ながらオンライン上で行われる犯罪行為の全体的件数が大きく減少することはないでしょう。RSAの調査によれば、Facebookは犯罪者たちの間でも最も有名なプラットフォームですが、その他のソーシャルメディアを犯罪用通信チャネルに使われるケースも急速に増えてきています。
クレジットカードストア、犯罪マーケットプレイス、地下フォーラムなどの運営などにブロックチェーンのような新しいインフラを活用して、自らの犯罪活動の幅を拡げようとする犯罪者たちも現れています。RSAは、2018年を通じて、ソーシャルメディア、ブロックチェーン、はてはIoTデバイスでさえも、犯罪に利用されかねないと危惧しています。
RSAは、こうした犯罪のトレンドを引き続き注視し、随時報告していきます。
4. 日本でホストされたフィッシングサイト(月次推移)
日本でホストされたフィッシングサイト数は、2018年に入って大きく減少しました。増加傾向に転じた3月の数字も前年同期比で20%、すなわち80%減となっています。
[画像14: https://prtimes.jp/i/28045/12/resize/d28045-12-889131-12.jpg ]
フィッシング対策協議会によると、国内で報告されたフィッシング攻撃件数は、2018年に入って一段と増加しています。昨年の累計9,812件も極めて高水準でしたが、今年はまだ半年にも満たない5月末の段階で8,220件と昨年の累計に迫る勢いとなっています。個別の攻撃では、引き続き金融機関やApple、Amazon、LINEを騙ったものが大半を占めています。