1 高度化・複雑化するサイバー攻撃 (1)情報セキュリティに関する脅威の動向 現在、情報セキュリティベンダのMcAfee社のデータベースに登録されるマルウェアの種類は、1月あたり約300万検体のペースで増加している(図表3-2-1-1)。また、近年発生した情報漏えい/侵害事例の原因としてマルウェア感染、ハッキング等の外部からの攻撃によるものが高い割合を占める傾向にある(図表3-2-1-2)など、我々を取り巻く情報セキュリティに関する脅威はますます深刻化している。 図表3-2-1-1 マルウェア検体の増加状況(データベースに登録されたマルウェア検体の合計) (出典)McAfee社脅威レポート(2012年第4四半期) 図表3-2-1-2 脅威の種類別のデータ漏えい/侵害事例 (出典)Verizon社 2013 DATA BREACH INVESTIGATIONS REPORT 近年のサイバー攻撃は、国家機密を標的とした攻撃から個人の情報・金銭を標的とした攻撃まで多岐にわたっており、政府機関及び企業のみならず、スマートフォン等の普及により、個人においても一層の情報セキュリティ対策を事業者任せではなく、利用者自身で講じることが求められる時代になったといえる。 以下、図表3-2-1-3において、2012年(平成24年)から2013年(平成25年)にかけて国内外で発生した主な最近のサイバー攻撃から特徴的な事例を紹介する。 図表3-2-1-3 2012年4月〜2013年3月の間に明らかになった主なサイバー攻撃 (出典)総務省「ICT基盤・サービスの高度化に伴う新たな課題に関する調査研究」(平成25年) ア 国家・企業の機密情報を狙った標的型攻撃 2012年(平成24年)も前年に引き続き、標的型攻撃は情報セキュリティ上の大きな脅威となっている。標的型攻撃とは、一般に情報窃取等を目的として攻撃対象に潜入し、情報システム内部から有益と思われる情報を窃取するものである。一口に標的型攻撃と言っても、単純に電子メールにマルウェアを添付したものから、巧妙に攻撃シナリオを練ったもの(例えば、攻撃者が攻撃対象者との間で電子メールのやりとりを数回行い、相手の警戒が解けた頃を見計らってマルウェアを添付した電子メールを送信するといった、ソーシャルエンジニアリングを活用した手法など)まで、多種多様である。2012年度(平成24年度)には、我が国の独立行政法人において、職員のパソコンがマルウェアに感染した結果、当該パソコン内に保存されていた情報が外部に漏えいしたおそれがあることが明らかになったほか、中央省庁においても外部への情報漏えいが疑われる通信が確認されたところである。 また、民間企業等における標的型攻撃の被害や脅威についても報じられており、通信、電力等の重要インフラ分野も例外ではない。制御系システムを狙った不正プログラムの代表例として、2010年(平成22年)にイランにおいて確認された「Stuxnet」 2 があるが、それと関連している不正プログラムは2012年(平成24年)も確認されており、官民及び国内外を問わず、標的型攻撃の脅威に引き続きさらされている状況にある(図表3-2-1-4)。 図表3-2-1-4 Stuxnetと関連する不正プログラム (出典)トレンドマイクロ なお、情報セキュリティベンダのシマンテック社が2013年(平成25年)4月に公表したレポートによると、2012年(平成24年)に発生した標的型攻撃は一日平均116件と前年より大幅に増加している。ただし、2012年(平成24年)上半期までは件数が伸長傾向だったのに対し、下半期には沈静化している状況にある。 また、攻撃対象を従業員規模別及び役職別でみると、より小規模の企業、研究開発及び営業等の機微な情報を取り扱う部署を標的とする傾向にあることがわかる(図表3-2-1-5)。 図表3-2-1-5 世界における標的型攻撃の増加 (出典)シマンテックインターネットセキュリティ脅威レポート第17号及び第18号より作成 イ スマートフォン等を標的としたマルウェアの急増 スマートフォン、タブレット端末の普及に伴い、これらを標的としてマルウェアが急速に増加している。情報セキュリティベンダのトレンドマイクロ社が2013年(平成25年)2月に公表したレポートによれば、2012年(平成24年)末には、Android端末向けマルウェアは累計で35万個に達した(図表3-2-1-6)。これは、パソコン向け不正マルウェアが約14年かけて到達した数を、3年かからずに到達したことになる(図表3-2-1-7)。 図表3-2-1-6 Android向けマルウェアの増加 (出典)トレンドマイクロ 図表3-2-1-7 Android及びパソコンにおけるマルウェアの増加 (出典)トレンドマイクロ 2012年(平成24年)4月には、「the Movie」という文字を含むスマートフォン向けアプリが、電話帳データを収集していると大きく報道された。動画コンテンツを閲覧できることを謳い文句に、Google社が運営する公式マーケット上で配布したところ、多くのスマートフォンの利用者がアプリをインストールし、その結果、約1,000万件の個人情報が窃取されたといわれている。 また、ウェブサイトの閲覧中に年齢認証等を求められ、クリックすると会員登録画面が表示され高額な利用料金を請求される「ワンクリック詐欺」についても、スマートフォン等を標的としたものが登場している。利用者の不安をあおり、画面に表示された連絡先に問い合わせるよう仕向けることにより、当該利用者の個人情報を窃取し、執拗な料金請求等につながるといった被害が発生している。 スマートフォン等は従前の携帯電話とは異なり、端末内には多種多様なデータを格納しているほか、最近では、個人の私物端末を業務に持ち込んで利用するBYOD(Bring Your Own Device)の浸透により、利用者本人だけでなく知人、所属する組織、取引先等に関係する情報まですべて窃取されるおそれがあるなど、新たな情報セキュリティ上の脅威となっている。 ウ ソーシャルメディア上における脅威 FacebookやTwitterに代表されるソーシャルメディアの急速な普及に伴い、これらの利用者を標的とした攻撃も登場している。例えば、Facebookの「いいね!」ボタンを悪用することで、プライバシー情報の非公開設定を公開設定に変更されるなどのクリックジャック攻撃やTwitterの公式アカウントの乗っ取り、偽のアプリケーションの配布など、ソーシャルメディアの機能を悪用した攻撃が相次いで出現している。 エ いわゆる「ハクティビズム」の我が国での顕在化 政治的な活動、企業への抗議活動等の手段としてサイバー攻撃を行う、いわゆる「ハクティビズム」も活発となっている。「インターネットの世界」の自由を掲げ、規制反対の立場からサイバー攻撃を行う集団「アノニマス」は、その代表例であり、海外の政府機関、企業等に対し、DDoS(Distributed Denial of Service)攻撃 3 、個人情報の漏えいにつながるサイバー攻撃等を行っている。2012年(平成24年)6月には我が国の政府機関等に対し、DDoS攻撃及びウェブサイトの改ざんを行った。攻撃と前後して、「アノニマス」は改正著作権法 4 の内容に抗議し、政府機関等へ攻撃を行う旨の声明をインターネット上に掲載するなど、我が国においても「ハクティビズム」がクローズアップされた年でもあった オ 遠隔操作型マルウェアによる攻撃 2012年(平成24年)に個人を標的としたマルウェアで大きな注目を集めたのが、いわゆる「遠隔操作型マルウェア」事件である。本件では、マルウェアに感染した第三者のパソコンを遠隔操作することにより、公共機関のウェブサイト及び掲示板に犯行予告を書き込んだものであり、マルウェアに感染したパソコンの所有者が逮捕される結果となった。 本件では、掲示板への書込み及びマルウェアに感染したパソコンに対する命令の送信等について、発信元を隠ぺいする匿名化技術 5 が使われていることが特徴であり、送信元及び通信経路を追跡することが非常に困難な要因となっている(図表3-2-1-8)。 図表3-2-1-8 遠隔操作ウイルス事案の構図 (出典)「個人を狙ったウイルスの最新動向」(ITUジャーナル 2013年3月号) カ インターネットバンキングを狙った情報窃取 個人を標的とした攻撃でもう一つ特徴的な事例として、利用者がインターネットバンキングサイトにログインした際、偽装したポップアップ画面を表示し、第二暗証番号、秘密の質問等を窃取するものがある。その結果、一部の金融機関においては、顧客の口座から別口座に対して不正送金・出金が行われていたことが確認されている。 従来のフィッシングとは異なり、マルウェアにより利用者が正当な手順でインターネットバンキングサイトにログインしたにも関わらず、不正なポップアップが表示される点が本事例の特徴である(図表3-2-1-9)。 図表3-2-1-9 インターネットバンキング情報窃取事案で取られた手法 (出典)「個人を狙ったウイルスの最新動向」(ITUジャーナル 2013年3月号) 2 Stuxnet(スタックスネット)とは、ドイツのシーメンス社が開発した産業用機器の制御システムを攻撃対象とし、インターネット及びUSBフラッシュメモリー等を媒介して感染活動を行うマルウェア。物理的な機器破損・稼動停止を引き起こした初めてのマルウェアであるとされており、実際にイランの原子力施設における1,000台近くの遠心分離機がStuxnetの侵入を受けて稼動停止に陥った。Stuxnetは、Windowsの未知のぜい弱性を複数利用しており、コードの分量が一般的なマルウェアの数十倍に及ぶなど、複雑・高度な技術によって作られているとされている。 3 分散型サービス妨害攻撃。多数のパソコンから一斉に大量のデータを特定宛先に送りつけることにより、当該あて先のネットワークやサーバを動作不能にする攻撃。 4 著作権法の一部を改正する法律(平成24年法律第43号) 5 Tor(The Onion Router)と呼ばれる接続経路の匿名化を行うフリーのソフトウェアを利用していたとされる。Torは、無作為に選ばれた複数の中継ノードを経由してあて先との通信を行うが、中継ノード上にログを残す機能がない、出口以外の通信路が暗号化される、一定時間ごとに通信経路も変更されるなどの特徴より、発信者の特定は困難となっている。