先日、警察庁からサイバー犯罪に関する以下の資料が発表されました。
- 「平成28年上半期におけるサイバー空間をめぐる脅威の情勢等について」
- 「平成28年上半期におけるインターネットバンキングに係る不正送金事犯の発生状況等について」(現在非公開)
この内容を確認すると、国内のサイバー関連の犯罪はまだまだ収まる状況にはないようです。
直近のサイバー犯罪の動向等を確認するとともに、その結果から我々が注意すべき内容について考えてみます。
2016年上半期(2016/1~6)のサイバー犯罪状況
上記で述べた警察庁の資料についてもう少し詳しく確認します。
まず、近年報道された情報漏えい事件の大きな要因となっている標的型メール攻撃について、2016年上半期に発生した標的型メール攻撃の件数は1,951件でした。2015年下半期に比べて400件ほど減少しましたが、前年同期と比較すると500件弱増加しています。例年、下半期の件数が増加する傾向にあることを考えると、今期は昨年を上回る件数になるかもしれません。
標的型メールのうち、多数の宛先に同一のメールを送付する「ばらまき型」と呼ばれる攻撃が全体の約85%を占めています。注目すべきは、特定の組織を狙ったり、メールのやり取りを通じて情報を搾取したりする「やり取り型以外」の攻撃が毎期増加していることです。つまり、標的型メールによる攻撃が年々高度化、巧妙化していると考えられます。このことの裏付ける情報も提示されています。その一つは、標的型メール攻撃が送信されるメールアドレスの81%がインターネット上に公開されていないものとなっていることです。このことは、攻撃者が従業員等のメールアドレスを何らかの方法で入手していることとなります。いま一つは、標的型メールを送信するメールアドレスの91%が攻撃対象の事業者や取引先等などに偽装されたものであることです。以上のことから、標的型メールの攻撃者は攻撃対象となる組織等について入念に調査し、周到な準備を行った上で標的型メールを送信していることが推測されます。
標的型メールの添付ファイルについて、2015年度は圧縮ファイルとWord/Excelファイルが半々でしたが、今年に入ってからはほとんどが圧縮ファイルとなっています。圧縮ファイルの内容は、およそ70%が実行ファイル(.exe)でしたが、約1/4がこれまでほとんど見られなかったJavaスクリプト(.js)であったことが特徴的でした。
インターネットバンキングの不正送金に関する犯罪については、発生件数は857 件、被害金額は約8億9,800万円で、前半期と比較して発生件数は117件 上回ったものの、被害額は約6億3,200万円下回りました。金融機関別の被害金額内訳を見ると、都市銀行等以外の被害金額は、地銀が1億8300万円減(前期比約51%減)、信金が3億8100万円減(前期比約93%減)、信組等が4400万円減(前期比約76%減)と、それぞれ大幅に減少しました。特に信金、信組等のセキュリティ対策の整備が進んだ結果、被害件数や被害金額の減少につながったことが考えられます。
被害に遭った口座種別で見ると、法人口座の被害は2015年下半期の9億6700万円から大幅に減少し、1億2900万円となりました。一方で、個人口座については都市銀行等の個人口座の被害額が2015年下半期の3億7100万円から2倍近くの6億3700万円に増加しました。法人顧客のセキュリティ対策が進み、不正送金被害が減少する一方で、セキュリティ意識が足りない個人顧客に攻撃がシフトしたことが考えられます。この傾向が今後も続くのか、一時的なものに過ぎないのかは現時点では判断付きかねます。
最後にサイバー犯罪に関する検挙数について、全体としての検挙件数は前半期(2015年下半期)とほぼ変わりませんが、昨年同時期(2015年上半期)と比較するとおよそ500件増加しています。内訳をみると、9割近くが「ネットワーク利用犯罪」(オークション等の詐欺や著作権法違反、等)を占めていますが、「不正アクセス禁止法違反」や「コンピュータ・電磁的記録対象犯罪、不正指令電磁的記録に関する罪」(コンピューターウィルスの作成、配布や遠隔操作、等)に関する検挙数が増加傾向にあります。
サイバー犯罪状況に基づく考察
上記の結果から、サイバー犯罪の発生状況についてはインターネットバンキングの不正送金に関わる犯罪では被害が減少したものの、全体としては増加傾向にあると考えられます。しかも、犯罪行為の内容が高度化、巧妙化する傾向にあることは憂慮すべきことです。
例えば、標的型メールの攻撃では、いわゆる「ばらまき型以外」の件数が増加しています。従来の標的型メールは海外から送付されてくることが多く、タイトルや本文の日本語が不自然なことでおおよそ判別ができましたが、近年は翻訳ソフトの日本語変換が高度化し、日本語の言い回し等では判別することが難しくなってきております。また、サイバー犯罪者も標的とする企業や組織の調査、準備を入念に行っていることが伺えます。日本年金機構の情報漏えい事件の様に、まずは外部公開アドレスに対して標的型メールを送付し、内部の従業員や職員のメールアドレスを搾取した後、本格的な標的型メールを送付するといった、手間をかけた攻撃を行うケースも増加していると考えられます。さらには、標的とする企業や組織で実際にやり取りされている電子メールをサイバー犯罪者が入手していると考えられます。サイバー犯罪者はこうしたメールを参考にして標的型メールを作成し、送付するので、一般の従業者注意深く確認しても、不適切なメールだとは気づかずに添付ファイルを開けてしまう可能性が高くなっています。添付ファイルにJavaスクリプトが増加していることは、一般の人がこれまでとは異なる、かつセキュリティ教育にも出てこない形式のファイルを送付することで、クリックされる可能性を高くしているとも考えることができます。
インターネットバンキングの犯罪でも、被害金額の総額が減少したのは中小の金融機関や法人口座のセキュリティ対策が進んだからであり、個人口座に関しては被害件数、金額ともに増えております。
こうしたサイバー犯罪による被害に遭わないためには、これまで重視されていた予防対策と同様に、「いかに早く被害を受けたことを認識し、対処するか」という早期発見・早期対応が非常に重要となっております。統計として提示されているサイバー犯罪の検挙件数は、あくまでも警察庁が認識した範囲に過ぎず、実際に行われているサイバー犯罪の件数はずっと大きな数字であると考えられます。日本年金機構の情報漏えい事件や、未成年者による犯罪で注目された佐賀県の教育関連ネットワーク侵入事件など、報じられる事件の多くは被害者以外からの通報から発覚しています。また、不正アクセスや情報漏えいはサイバー犯罪者のPC等から直接行われずに、セキュリティの緩い企業や組織のネットワークを幾つも経由して行われます。つまり、セキュリティ対策の十分でないネットワークを運営する企業や組織は、サイバー攻撃者のための攻撃拠点を提供することにつながりかねません。
現在、こうした動向を背景として、CSIRT(Computer Security Incident Response Team)と呼ばれる、サイバー攻撃等に対処する組織の構築に関する意見が多くなっております。多くの企業や組織ではリソースの問題等からCSIRT構築が難しい状況となっていますが、日常の活動の中で、普段とは異なる状況を発見できる仕組みができれば、こうしたサイバー犯罪に対処することは可能です。例えば、様々なログから攻撃の足跡を見つけたり、自社のネットワークから不審な通信が行われたり、といったことへの対応は可能だと考えられます。まずは取り組むことができる範囲からスタートすることが肝要です。こうしている間にも、サイバー犯罪者が皆さんの企業や組織に対して攻撃することを考えているかもしれないのですから。
上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。
デルタエッジコンサルタントでは情報セキュリティ全般にわたっての
・脆弱生の可能性を確認する簡易診断
・情報セキュリティに関する現状評価や見直し支援、ルール等の作成支援
・情報セキュリティに関する研修や訓練等の支援
等のコンサルティングサービスを提供しております。
詳細は、こちらのページをご確認ください。
==>「情報セキュリティ対策支援サービス」
興味や関心がございましたら、ぜひご連絡ください。