RSA Quarterly Fraud Report Vol.106

RSAが観測したサイバー攻撃トレンド および「リバース・ヴィッシング」について解説

RSAは2003年よりオンライン犯罪対策サービス「RSA FraudAction」を提供しており（国内提供は2006年から）、トロイの木馬などマルウェア攻撃を検知し、フィッシングサイトを閉鎖します。FraudActionの中核であるAFCC（Anti-Fraud Command Center：不正対策指令センター）では、フロード・アナリストが24時間365日体制で数カ国語を駆使し、マルウェア解析、犯罪手口の解明に従事しています。
本ニュースレターは、AFCCが定期的に公開しているインテリジェンスレポートからフィッシングやオンライン犯罪情報、統計情報をまとめたものです。犯罪者による金銭などの経済的な利得を目的とした攻撃、消費者を標的とした攻撃に関するデータと、RSA(R) Fraud & Risk Intelligenceチームによる分析を掲載しています。（2018年第3四半期版　： 2019年1月10日発行）

◆特集をより詳しく解説したレポートは、 リンク をご参照ください。




犯罪の攻撃傾向 2018年第3四半期

フィッシングやマルウェアは、過去10年の間に編み出されたオンライン犯罪戦術の中で、犯罪者に最も多くの果実をもたらした戦術(手口)です。フィッシング攻撃は、従来の金融機関の利用者を狙ったオンライン犯罪手段として確立されただけでなく、「本物」につながるリンク、メッセージ、アカウント、個人、サイトを実に巧妙に模倣することで、私たちの警戒心(セキュリティ意識)を削り取ることにも成功しました。一方、今や世界にまん延した銀行顧客を狙うマルウェア＝トロイの木馬からは、実に多種多様な亜種が生まれ、サイバー犯罪の自動化にもつながっています。これらの不正なプログラムは、私たちの目に付かないよう密やかに仕事をこなすため、検知された時には手遅れという事態もしばしば生じています。

【攻撃のタイプ別発生状況】
2017年第1四半期にサイバー攻撃の8割を占めたフィッシング攻撃は減少を続け、今年の第2四半期はほぼ4割まで比率を下げました。しかし、この傾向は第3四半期に入って反転し、再び5割まで押し戻しています。最も古くから使われているフィッシング攻撃が、今なお最も多く用いられる攻撃手法である理由の一つには、技術的な参入障壁の低さがあります。電子メールのように単純なローテク攻撃手法の組み合わせで、必要なリソースが少ないからです。

41%から16%と激しく増減してきたトロイの木馬による攻撃件数は、第3四半期にはフィッシング攻撃同様比率を高め、全体の4分の1ほどを占めました。昨年前半からの増加傾向の背景には、サービス型マルウェアキットの豊富な流通があると、RSAでは見ています。
前四半期に爆発的に比率を高めた不正なモバイルアプリケーションは比率を半減させています。

[画像1: リンク ]


【フィッシング攻撃対象となった国と攻撃がホストされた国】

フィッシング攻撃の対象となった国々
第3四半期に確認された全ての攻撃のうち69％は、上位3ヵ国であるカナダ、米国、オランダのブランドを騙ったり、顧客を狙ったりしたものでした。また、フィッシング攻撃のうちの9件に1件は、南米の企業などの名前を騙ったものでした。

[画像2: リンク ]


フィッシング攻撃がホストされた国々
第3四半期に見られた変化は、豪州がトップ10から去り、その代わりに中国が復帰したことです。米国は全体の約48%の攻撃を占める最大の攻撃ホスト国であり続けていますが、それ以外の国々はさほど大きな比率を占めておらず、細分化の傾向にあります。

[画像3: リンク ]




消費者を狙った犯罪の傾向 2018年第3四半期

サイバー犯罪の数値化は決して容易なことではありません。大量のデータセットを持っていても、そこから人の目を欺いて攻撃を隠匿しようとする犯罪的攻撃の意図を理解し、防犯に役立つ深い洞察まで持ち合わせている組織は、ほとんどありません。RSA Fraud & Risk Intelligenceチームは、消費者を狙った犯罪に関するデータを分析し、主要な組織にセキュリティとリスク管理の意思決定に関する情報を提供すると同時に、消費者を狙った金融関連のサイバー犯罪攻撃を認知、防止、削減することで、公益にも貢献しています。

ここで紹介する内容は、現在の消費者を取り巻く犯罪的環境の枠組みを包括的に捉え、金融とeコマースという二つの領域を横断的に注視して、オンライン犯罪にかかわる幅広い指標を追跡するもので、オンライン犯罪の傾向の特定を目指しています。

【チャネル別に見る犯罪的取引の発生状況】

出典: RSA Fraud & Risk Intelligence Service, 2018年7月～9月

取引方法
消費者が金融システムを利用する方法・手段は、消費者や一般社会の技術への適合状況を大きく反映しています。また、利用者の振る舞いにおける全体的な変化も示唆しています。このことに継続的に注視するために、RSAでは、ウェブブラウザー、モバイルブラウザー、モバイルアプリケーションという3つの手段を、テクノロジーの不正利用の状況を把握するためのベースラインとして選んでいます。

2018年第3四半期、RSAが観測したモバイルブラウザーとモバイルアプリケーションを使った取引は、前四半期とほとんど変わらず55％でした。全体に占めるモバイルの比率*は一目してわかるとおり、徐々に増えてきていましたが、2017年第4四半期以降、落ち着きを見せ始めています。

(*モバイルブラウザーとモバイルアプリケーションを合わせた数字)

[画像4: リンク ]


不正取引の方法
こちらは不正な取引に用いられたチャネルの比率を示すグラフです。サイバー犯罪者が金融システムの攻略に使うチャネルの選択も、それぞれのチャネルのセキュリティレベル、あるいは、攻撃者の戦術、技術、流儀などの変遷を示唆しています。特に、ウェブブラウザー、モバイルアプリケーションやモバイルブラウザーを使った不正な取引の発生状況は、犯罪者がどのチャネルを使って攻撃するのが有効と考えているかを理解するための重要な指標だと、RSAは考えています。

第3四半期のトピックは、全体としてモバイルの比率が高まってきた結果、初めてウェブブラウザーの占める比率が30%を割り込んだことでしょう。一方で、モバイルの比率は、過去最高だった前回からさらに4ポイント増の73%に至っています。

[画像5: リンク ]


【クレジットカードを使った正規の取引と不正な取引の比較(eコマースの地域比較) 】

出典: RSA Fraud & Risk Intelligence Service, 2018年7月～9月

[画像6: リンク ]


盗んだクレジットカード情報は、転売・換金のしやすい高額な商品の購入に使われるため、不正な取引の1件あたりの平均値は、正規の取引よりもおおむね高額になる傾向があります。地域による額の違いはありませんが、地域間で比較することで、正規の取引と不正な取引の間の消費水準の違いから得られる洞察もあります。

正規取引と不正取引の1件あたりの金額が最も大きく異なっていたのは、第3四半期もEU (英国を含まない欧州)で、不正な取引1件あたりの平均は、正規の取引より90%高い420 USドルでした。南北アメリカでは前四半期から取引単価の違いは63%とEUに比べて小さく、不正取引の平均単価は403 USドルです。いずれも前四半期と比べて、正規取引の平均単価と不正取引の平均単価の差は小さくなっています。

[画像7: リンク ]


【デバイスエイジとアカウントエイジ】

出典: RSA Fraud & Risk Intelligence Service, 2018年7月～9月

分析
「デバイスエイジ」とは、デバイス(ノートPCやスマートフォンなど)が“本人によって利用された”と、RSA Fraud Platformが判断した期間の長さです。信頼できるデバイスは、デバイスエイジが30日以上のものです。逆に新しいデバイスとは、デバイスエイジが1日未満のものです。

同様に「アカウントエイジ」とは、そのアカウントが本人によって利用されたと、RSA Fraud Platformが判断した期間の長さです。信頼できるアカウントはアカウントエイジが90日以上のものです。逆に新しいアカウントとは、アカウントエイジが1日未満のものです。
ちなみに、ログインや取引の際に正しいユーザーを排除してしまうと、顧客との間でトラブルが生じます。こうした“偽陽性”は最小化しなければなりませんので、正確なデバイス識別は大変重要なポイントとなります。

eコマース
第3位四半期、eコマースにおける不正な取引の75.0％(18.0％+57.0％)が新規のデバイスでした。つまりそれまでユーザーが使ったことのないデバイスによって行われたものとなります。また、 本人が作成したことが確認されて一定の期間が経過しているアカウントを使って行われた不正な取引の57％が、新規デバイスを使って行われていました。つまり、この値は、犯罪者が複数の店舗に対して同一のアカウント情報を使って取引を企図するアカウント乗っ取りやクレデンシャルスタッフ *¹といった攻撃の発生状況に関する指標になるということです。

[画像8: リンク ]


オンラインバンキング: ログイン
正規の取引の中で、新しいデバイスから新しいログイン情報を使って行われたケースはわずか0.5%だけであったのに対し、同じ組み合わせで行われた不正な取引は第3四半期に観測された不正な取引全体の34%を占めています。このパターンは、犯罪者が、ログイン情報を活用して、現金化に必要なミュール *²アカウントの作成を企図していると考えられます。金融機関にとっては、不正な取引に占める比率が最も高かった新しいアカウントを保護するための対策を講じることが肝要であると言えるでしょう。
[画像9: リンク ]


オンラインバンキング: 支払い
ログインにおける不正と同様に、新しいアカウント、新しいデバイスの組み合わせは、正しい取引においては全体のわずか0.4%だったのに対し、不正な取引においては全体の31%を占めました。21.8%だった第１四半期から見ると、約7割増加したことになります。このことは、少なからぬ取引にマネーミュール的な存在が絡んでいる可能性を示していると言えるでしょう。信頼できるデバイスから信頼できるアカウントを使って行われた不正な取引は、第2四半期の28%から14%へ半減しました。金融機関の顧客を狙うマルウェアの関与が疑われるこの組み合わせによる不正の比率が大きく下がったことは、第3四半期に確認された攻撃全体に占めるマルウェアによる攻撃比率の減少傾向とも符合します。
[画像10: リンク ]

[画像11: リンク ]


【盗まれたクレジットカード情報とRSAが取り戻した情報】
出典: RSA Fraud & Risk Intelligence Service, 2018年7月～9月

[画像12: リンク ]


分析
2018年第3四半期、RSAは闇市場で流通していた550万件近いクレジットカード情報を、一定以上の根拠を持って信頼に足る地下市場のオンライン闇店舗で確認し、再発行手続きにつなげることで事態の回復に貢献しました。これは第1四半期に比べて約6割増加した第2四半期から、さらに7.8%増加したことになります。犯罪者にとって書き入れ時のホリデーシーズンにあたる第4四半期を迎えることから、犯罪者たちは犯行に必要なクレジットカード情報の入手に邁進する恐れが高く、闇市場で流通する盗まれたクレジットカード情報はますます増える恐れがあります

クレジットカード情報販の闇店舗の多くが同じデータベースを共有しているため、何度も同じカードの再発行手続きを促す恐れがあります。RSAでは監視対象を適切に管理することで、こうした事態を回避しています。従って、ここで紹介している値は、「のべ」の数字ではなく、ユニーク件数となっています。



特集 リバース・ヴィッシング～標的からの着信を待つ犯罪者：ヴィッシング詐欺～

今回取り上げるボイス・フィッシングことヴィッシング（Vishing）はフィッシング攻撃の一種で、犯罪者が自らの立場や所属を偽って標的に電話をかけさせるフィッシング攻撃です。後に行う犯罪の下準備として、標的からログイン情報や個人情報を聞き出すのが目的です。通常のヴィッシングの実行犯は、銀行、政府機関やサービス事業者などを騙って一方的に標的に電話をかけてきて、標的の個人情報（電話番号など）を聞き出そうとします。今や発信者番号を騙ることは犯罪者にとってさほど難しいことではありません。ソーシャルエンジニアリング詐欺のなかでも、電子メールに比べて人間味のある人の声でやり取りされるために、より、ひっかかりやすくなると言われています。

発信者番号の詐称は、ダークウェブで一般的に提供されている「犯罪サービス（Fraud-as-a-service） 」です。例えば標的が利用している銀行の名前を騙って電話をすることもできます。闇市場には、発信者番号サービスの実践方法を指南する犯罪者がおり、簡単にサービスの利用と対価の支払いを済ませられるウェブサイトが用意されています。下記の画像は、ある詐欺師が問い合わせてきた”詐欺師志望者”に、発信者番号の偽造を＄250で教えることを申し出て、「どれだけうまくやるか」によるが成功率は95%である、と伝える闇フォーラムのチャットの様子です。

[画像13: リンク ]



常套手段を変える
これまでヴィッシングと言えば、標的に電話をかけるものと思われていましたが、今はその逆の方法「リバース・ヴィッシング」が広まっています。つまり、犯人が標的に電話をかけるのではなく、標的が犯人に電話をかける、のです。

水飲み場の井戸を汚す
まず犯人は、インターネットを使って、検索結果の最上位に偽りの情報を押し込みます。一般的な方法は、正規のウェブページ、ソーシャルメディアの投稿、オンラインのヘルプ・フォーラムやメディアのコメント欄を使って、偽りの情報をばらまく「SEOポイズニング」と呼ばれる方法です。みなさんも、投稿やコメントの中に、珍妙でつじつまの合わない応答を見かけたことがあるかもしれません。

犯罪者は、自らの情報を検索結果の最上位に押し上げるために、偽りのページのSEO値を検索クローラーに伝えたり、金銭を払って偽のバックリンクやクリックを購入したり、ボットネットを雇って機械的にこうした仕込み作業をやらせていたりします。フィッシング犯は、“水飲み場攻撃”と呼ばれる攻撃(多くの人が日常的にアクセスする有名なサイトの内容を改ざんし、マルウェアに感染させる)の一環として、こうした手口を使って多くの不正なリンクを挿入しています。

リバース・ヴィッシング攻撃では、被害者を不正なウェブサイトに誘導する代わりに、偽の電話番号につなぎます。最近の例では、Googleマップ上に正しい所在地を表示しながら、偽の顧客サポート用の電話番号を表示していました。メーカーやサービス会社の問い合わせ先情報を検索している顧客は、犯罪者が用意した番号に電話してしまうのです。

このスキームはとても有効であることが証明されています。今では企業の問い合わせ先をGoogle検索を使って探す人が多いためです。検索結果に対する絶対的信頼ゆえに、電話をかけた相手に、迂闊に情報を提供してしまうのです。
ソーシャルメディアは、標的にリーチするためにしばしば使われるチャネルです。犯人が、Facebookを使って標的を偽のAmazon Prime会員向けサービス番号に誘導するケースもあります。


「私たちが電話をするのではなく、あなたが電話をするのです。」
犯人たちは、この新しいリバース・ヴィッシングにメリットを見い出しています。まず、最近難しくなった匿名のURLやメールアドレス、ソーシャルメディアのアカウントの作成に比べて、電話番号は簡単に、匿名でも容易に契約できます。

次に、電話を使うことで迅速な閉鎖活動を妨げることもできます。たいていの国で、特定の電話番号につながらないようにすることは、メールやウェブサイトなどにつながらないようにするよりも大変です。電話と電子メディアでは、監督部門や使用停止の申請要件が異なっているからです。例えば、米国では、不審なサイトの調査や閉鎖は、法執行機関と強調してサービスプロバイダーのレベルで行えますが、電話番号に対する調査や申請は連邦通信委員会の管轄で、他に関わっているのは、ほとんどリソースがないために、サービスプロバイダーで不正対策に関わっている部門とは権限も対応速度もまったく異なる民間の監視機関でしかありません。

対策すべきこととは?
SEOポイズニングも電話を使った詐欺も新しい手口ではありません。私たちはどのようにしてこうした新しい犯罪から自らを守ればいいのでしょうか？警戒心と知識こそが、被害者にならずにすむために最も必要なものです。

ウェブ上で重要な電話番号を検索する際に知っておくべきこと
問い合わせ先情報を見つける最も簡単で安全な方法は、その対象が出している公式情報を見ることです。取引明細、請求書などの伝票類や、クレジットカードなどに顧客サポートの問い合わせ先情報が掲載されています。オンラインで検索するのであれば、電話番号以外の内容も注意深く確認する必要があります。要領を得ない文章や一見して関連のない話題が記されていないか、電話番号以外の部分にも注意深く目を配りましょう。

だれにも教えてはいけない情報は教えない
たいていの人は、秘密の質問に対する答えや暗証番号、パスワードといった自らの個人情報を保護する習慣は身に付いています。しかし、ソーシャルエンジニアリングテクニックにかかれば、警戒心を持った人でさえ情報を聞き出されてしまうことは、繰り返し証明されています。多くの企業が注意喚起している通り、たいていの企業は、電話越しで大切な情報を顧客に問い合わせたりはしないということを忘れてはいけません。

電話で助けを求めましょう
金融関連の情報に関わる詐欺ではないかと疑われる場合は、すぐに金融機関に連絡を取りましょう。詐欺の可能性が疑われるなら、然るべき捜査当局に通報することも非常に重要です。例えば、米国では、FBIのIC3 (インターネット犯罪苦情センター)は、公式ホームページに簡単な通報手続きを用意しています。
サイバーセキュリティ対策の鍵を握るのは、意識と教育です。個人情報がサイバー犯罪者にとってとても価値があるということをしっかり理解することです。常にこうしたサイバー脅威に晒されている中で無頓着でいることは、あなたの現金をただ単に犯罪者に手渡すことと、なんら変わりないのです。



日本でホストされたフィッシングサイト(月次推移)

日本でホストされたフィッシングサイト数は、2018年に入って大きく減少していましたが、8月以降、急増しています。

[画像14: リンク ]


日本でホストされているフィッシングサイトの減少とは対照的に、フィッシング対策協議会に報告された国内のフィッシング攻撃件数は、2018年に入って一段と増加しています。昨年の累計9,812件も極めて高水準でしたが、今年は11月末の段階で18,076件と昨年の“累計”を8割以上、上回っています。個別の攻撃では、3D セキュア (本人認証サービス) の認証情報を詐取することを目的としたフィッシングメールに関する注意喚起が出た他、金融機関やAmazon、Apple、PayPalを騙った攻撃に対する注意喚起が引き続き出ています。

プレスリリース提供：PR TIMES リンク