ネットバンク不正送金急増　東京オリパラ詐欺サイトに要注意　NTTデータが「サイバーセキュリティ2019年総括と2020年予測」

　2019年。日本ではオンラインバンキングの不正送金被害が急増。世界的にはランサムウェア（身代金要求型のマルウェア）による被害が目立った。2020年は東京オリンピック・パラリンピックのような大規模イベントを悪用した詐欺サイト、詐欺チケット販売サイトに注意が必要。NTTデータは12月18日「サイバーセキュリティ2019年総括と2020年予測」を発表し、記者説明会を開いた。

ネットバンク不正送金が急増

　NTTデータの新井悠氏（Executive Security Analyst）が説明によると。

　国内では2019年8月から、フィシングによるとみられるネットバンキングの不正送金被害が目立ち始め、9月から急増した。警察庁によると、それまで発生件数30〜56件、被害総額は数千万円だったが、8月に105件7,400万円、9月に436件4億2,600万円、10月に397件５億1,900万円、11月は573件７億7,600万円となっている。11月の発生件数、被害額は2012年以降、最多水準という。

　新井氏によると、9月以降の急増は「ツールの出現と相関しているようだ」という。2019年１月にポーランドの研究者が、グーグルの認証ページを模倣したフィッシングサイトを自動生成できる「Modlishka」（モディスカ）を開発。利用者がユーザー名やパスワード、二段階認証コードを入力すると、その内容を窃取し、リアルタイムでアカウントを乗っ取ることが可能という。また、2019年6月にあったセキュリティ関連の国際会議では、なりすまし先のサイトが使用しているセキュリティの保護手段を迂回することが可能になるという「Muraena」（ムラエナ）と「NecroBrowser」（ネクロブラウザー）が公開された。

　新井氏はこれらツールが公開された結果「犯罪者側が『（二段階認証の突破が）可能そうだ』と気づき、7～8月にフィッシングサイトを作り始めたのではないか。技術的な目処がつき、成功し始めたのが9月ごろからとみられる」とみる。一方で「ただし国内の場合、フィッシングサイトをオリジナルでつくり、入力状況を人力で監視、窃取したIDやパスワードをリアルタイムで（正規サイトに）入力するという、ややスマートではない手口を使っていると思われる」という。

　新井氏は「他要素認証（2段階認証）は、パスワード盗まれても悪用を抑止できると言われていたが、中間者攻撃には歯が立たない」と指摘した。

ランサムウェア「Emotet」「Trickbot」「Ryuk」

　世界的には引き続き、ランサムウェアによる被害が目立った。2019年、特に流行したランサムウェアが「Ryuk」（リューク）。感染するとワードや写真ファイルなどが暗号化され、解除するためにキーを入手するには「身代金（Ransom）」が必要となる。

　米レイクシティ市では6月、警察や消防を除くすべての市のシステムが「Ryuk」などに感染したとみられ、メールや電話が使えなくなった。復旧のめどが立たず、ビットコインで46万ドル（約5,000万円）相当の身代金を支払い暗号化解除のキーを入手、復旧した。また、インディアナ州ラポート郡でも感染し、復旧のためにビットコイン13万ドル（1400万円）を支払った。

　これら被害は、最初に「Emotet」（エモテット）と呼ばれるマルウェアに感染することで発生する。Emotetはもともと銀行のIDとパスワードを窃取する目的で開発され、2014年に確認された。感染したパソコンのOutlookから送信元・送信先の名前やアドレス、送信したメールの件名や本文を収集。その結果を元に「返信型」のメールを関係者に送信し、誤認を誘発し感染を広げる。

　2017年ごろからは、ほかのマルウェア、ランサムウェアの「運び屋」として働くようになったという。現在、Emotetが「Trickbot」（トリックボット）と呼ばれるマルウェアをダウンロードし、Trickbotが「Ryuk」を展開する三段攻撃が典型になっているという。

Pay Per Install（PPI）

　こうしたマルウェアの感染を代行する「運び屋」の「ビジネスモデル」は「Pay Per Install」（PPI）と呼ばれる。ロシアなどの掲示板サイトで広告しているケースもあるという。感染させる地域と台数により価格は異なり、新井氏は「1000台を感染させるのに、地域指定なしだと150ドル、欧州限定で550ドル、北米で1500ドルといった価格で取り引きされている」という。

　PPIは犯罪者グループから依頼を受け、あらかじめマルウェアに感染させている企業や個人のパソコンにランサムウェアを感染させる。一般的なPPIは、感染させているパソコンを「事業継続性」の観点から保存しておきたいので、ランサムウェアの頒布代行は受け付けない。しかし、Emotetに感染しているパソコンを保有するPPIは、ランサムウェアの頒布代行も受けることが特徴的という。掲示板などで広告は出しておらず、新井氏によると「なんらかの連絡方法、協力関係がありターゲットを選定し、攻撃している可能性は否定できない」。

　2017年9月には「IceID」と呼ばれる、オンラインバンキングの利用時にブラウザの入力フォームを変更し誤入力を誘発、IDやパスワードを窃取するマルウェアが、Emonetが起点となって頒布されていたことが判明している。新井氏は「EmotetとIceIDはライバル関係にあるが、犯罪者グループが協調している可能性がある」と指摘した。

　Emotetは2018年夏を境に、標的を一般消費者から企業・組織へ目的をシフトさせているといい、日本でも11月に感染が確認されている。有効な対策は組織内への注意喚起のほか、ワードマクロの自動実行を無効化、セキュリティ製品の導入、メールの監査ログの有効化という。

2020年は？

　ラグビーW杯2019の無料視聴を騙り、個人情報を抜き取る詐欺サイトなどが確認されている。東京オリンピック・パラリンピックがある2020年。こうした大規模イベントでは詐欺サイト、詐欺チケットの販売サイトの展開が予想され「特に気をつけるべき」という。

　また、wikipediaがボットを使い複数のIPから大量のデータを送りつけるDDoS攻撃（Distributed Denial of Service attack）を受け、その様子がTwitterで実況される愉快犯的攻撃もあった。新井氏は「金銭目的の偽サイト発生には継続して注意すべき。愉快犯的な攻撃の兆候を早期に検出し、確認する体制も必要だ」と指摘した。

資料

NTTデータサイバーセキュリティに関するレポート（2019年4月～6月）

NTTデータイバーセキュリティに関するレポート（2019年7月～9月）

JPCERT/CC　マルウエア Emotet の感染に関する注意喚起