セキュリティの
学び場

今回の解説ニュース

セキュリティベンダーからサイバー犯罪について、2021年の振り返りと2022年のトレンド予測が発表されています。この1年のサイバー犯罪を振り返ることと、来年のトレンドを予測することで、今後必要とされるセキュリティ対策の参考になりますので、内容について見ていきましょう。

今回の報告書によると、世界全体のフィッシング詐欺は昨年同月比278%を記録し増加傾向にあるということです。日本においても、主要国別ではアメリカに継ぎ2番目に多い結果となりました。さらに、2021年はWeb上のポップアップ通知等で偽のエラーメッセージを出し、通知にある番号に電話を促し、電話をすると詐欺師が遠隔サポートを申し出、修理とセキュリティ使用料として費用を請求する「テクニカルサポート詐欺」が、特に日本で増加しているということです。日本は主要国別で1番多く、2番目に多いアメリカとは約2倍の差があったということです。

また、2022年以降のサイバー犯罪トレンド予測3選として、「仮想通貨を狙うサイバー犯罪」「人工知能や機械学習を活用したサイバー犯罪」「コロナのもたらしたデジタルシフトに便乗するサイバー犯罪」が挙げられています。

日本でも被害急増 テクニカルサポート詐欺とは

テクニカルサポート詐欺とは、パソコンに偽のセキュリティ警告を表示させ、信じた被害者にサポート代金を支払わせる詐欺です。 有名メーカーのロゴを用いて信用させ、セキュリティ対策のサポート料などの名目で金銭を支払わせる被害が日本国内でも増加しています。

過去には偽のセキュリティソフトをインストールさせ、そのソフトに表示された電話番号へ掛けさせるような誘導がなされていましたが、最近はWebなどで偽のセキュリティ警告画面に連絡先を表示して、直接電話をかけさせてる手口がほとんどということです。

具体的には、Webサイトを見ている際に、警告音とともにマイクロソフトのロゴが表示され「このPCへのアクセスはブロックされました」や「この重要な警告を無視しないでください」など、偽の警告が表示されます。そして、電話をかけてきたユーザに対して、パソコンの修復やセキュリティ対策が必要などと告げ、ユーザにサポート料の支払いやパソコンの遠隔操作を求めてきます。

まず、マイクロソフトのエラーや警告メッセージに電話番号が記載されることはないそうです。また、ビットコインやギフトカードでサポート料金を請求することもありません。もし、警告画面が表示されても、画面の指示には安易に従わず、警告画面が消せない場合は、ブラウザを強制終了するかパソコンを再起動してください。

攻撃者からホワイトハッカーに？過去に逮捕された攻撃者の実態

このような攻撃者が逮捕されたといったニュースを耳にすることは少ないかと思いますが、もちろん逮捕者も数多くいます。実際に逮捕された有名な攻撃者の一人にケビン・ミトニックがいます。FBIが指名手配のポスターで顔写真を公開した最初の攻撃者と言われていますが、現在はホワイトハッカーとして社会に貢献しているようです。

ケビン・ミトニックは、高校生からコンピュータを使い始め、その際にネットワーク上でハッカーの友達ができたそうです。やがて、フリーキングと呼ばれる電話回線をハッキングして無料で通話する傍ら、コンピュータのハッキングを行うようになったということです。

FBIにより逮捕、有罪判決を受けるもその後セキュリティを守る側に転身

過去に、企業のデータを盗んだり、大学のシステムにDoS攻撃や脆弱性をついた接続の乗っ取りなどを行ったりしていましたが、1995年2月15日にFBIによって逮捕されました。その際は、禁固5年、執行猶予4年の有罪判決を受けています。その後、ケビン・ミトニックは2000年1月21日に釈放されて、セキュリティコンサルティング会社を設立しています。現在はセキュリティを守る側になっている彼に対して「攻撃者の目線でアドバイスしてほしい」と顧問への就任を依頼する企業もいるということです。

ソーシャル・エンジニアリングの使い手

ケビン・ミトニックはどちらかというと、ソーシャル・エンジニアリングと呼ばれる手法を得意とした攻撃者であったと言われています。ソーシャル・エンジニアリングとは、人間の弱みに付け込んで秘密情報を入手する攻撃手法です。技術的なセキュリティ対策が進む中でも、人間の心理を読んだり、相手を欺いたりすることで、フィッシング攻撃などを成功させるために利用されています。実際にケビン・ミトニックがシステムへ侵入する際に使ったパスワードの多くが、ソーシャル・エンジニアリングによって、管理者から言葉巧みに聞き出したものであったと言われています。

ちょっとドラマや映画のような話ですが、実際にあった攻撃者の話を取り上げました。