デバイス が 感染 し て おり サイバー 攻撃。 iPhone「デバイスが感染しており、サイバー攻撃やデータ窃盗の被害を受けやすくなっています」の画面が表示される詳細と対処法を徹底解説

加害者にならないために

デバイス が 感染 し て おり サイバー 攻撃

Avast Software最高情報セキュリティ責任者(CISO)のJaya Baloo氏 東京オリンピック(東京五輪)が開催される予定だった2020年は、これまでの傾向と同様、開催国に対するサイバー攻撃の脅威が高まると予想されていた。 しかし、新型コロナウイルス感染症(COVID-19)拡大の影響により、東京五輪が延期になっている。 そのような状況の中、サイバー犯罪者たちはどのような動きを見せているのだろうか。 現地点で確認されている日本国内の脅威動向について、チェコのセキュリティベンダーであるAvast SoftwareのJaya Baloo氏(CISO:最高情報セキュリティ責任者)に話を伺った。 まずは、現時点で注目すべき日本国内の脅威動向について教えてください 2020年に入ってから日本で大きな問題となったのは「Emotet」です。 Emotetは2014年から存在している銀行系トロイの木馬でしたが、最近は被害者のメールボックスをスキャンして悪意のある添付ファイルを含むメールを返信することで、さらに多くのユーザーへと感染を広げようとしました。 Avastは日本国内のみで1月に1万1000人以上のユーザーを、2月には5000人以上のユーザーを保護しています。 このためか3月には攻撃件数が大幅に減少し始めました。 2020年に入ってから「Emotet」に感染させるメールが拡散されてるとして、 また、最近ではサイバー犯罪者が新型コロナウイルスに関連した「マルバタイジング」のキャンペーンを実施していることを発見しました。 マルバタイジングとは、マルウェアの拡散や悪質なウェブサイトへの誘導を目的に悪質なインターネット広告を配布することです。 サイバー犯罪者は、悪質な広告をウェブサイトに表示するためにアドネットワークから広告枠を購入しています。 彼らは新型コロナウイルスに関する情報を掲載しているようなウェブサイト名で広告枠を購入しているため、アドネットワークの運用元はそれがサイバー犯罪者であることに気付かず、広告枠を販売してしまうのです。 この新型コロナウイルスに関するマルバタイジング・キャンペーンでは、「Fallout」と呼ばれるエクスプロイトキットが利用されています。 Falloutは、旧バージョンのInternet Explorerの脆弱性を利用し、ユーザーに気付かれないまま、個人情報・パスワード盗用ソフトの「Kpot v2. 0」をインストールさせています。 Falloutは2018年に初めて検知され、その多くが日本と韓国のユーザーを標的にしてきました。 このマルウェアはウェブブラウザーのCookie、パスワード、自動入力機能のデータ、Windowsの認証情報、オンラインサービスのアカウントなど、あらゆる情報を盗みます。 Avastは、2020年4月中旬時点で日本の8438人のユーザーを標的とした、1万7306件の攻撃を阻止しています。 マルウェアの作成者はできるだけ多くのデバイスに感染させるために、一般的なマーケティングやソーシャルエンジニアリングの手法を活用する高度な亜種を開発し続けています。 個人データや銀行口座情報、オンライン活動などの情報を収集しながらユーザーのPCに潜り込むスパイウェアやクリプトマイニングマルウェアも普及している脅威の一つです。 また、スマートフォンを標的とした脅威にも注意する必要があります。 スマートフォンを標的とする攻撃には、アドウェア、スパイウェア、ランサムウェア、ダウンローダー、クリプトマイニングマルウェアなど、さまざまな種類があります。 これは防御側に有利/不利のどちらになるでしょうか? 通常、オリンピックのような大規模かつ国際的なイベントにはサイバー犯罪者が集まります。 今年はサイバー犯罪者が彼らの「オリンピックキャンペーン」を「新型コロナウイルスキャンペーン」に変更したのではないかと推測されます。 そのため、今夏は東京五輪が開催されたケースと同程度の脅威に遭遇することが予想されます。 サイバー犯罪者は単純に手口を変えているだけです。 過去のオリンピックでは、サイバー犯罪者がユーザーの金銭を詐取するという事件が発生していますが、東京五輪に関してはそのような事件がまだ発生していません。 攻撃者が簡単に実行でき、利益を得ることができるフィッシング詐欺にオンラインユーザーは注意する必要があります。 例えば、チケットに関する怪しいメールについては、いくつかのシナリオが考えられます。 ユーザーは信頼できるウェブサイトを模倣したサイトに誘導され、偽チケットを購入させられるか、個人情報を入力させられたりします。 それ以外の手口としては、ユーザーが携帯番号を入力させられた後、PCや携帯電話にマルウェアを自動的にダウンロードするサイトへの誘導、活動の監視、データの窃取などの被害に遭う可能性があります。 サイバー犯罪者は、新たにチケット詐欺を行うために、2021年に延期された東京五輪を利用しようと考えている可能性があります。 また、一般的なオリンピック関連詐欺が来年再浮上する可能性も考えられます。 一方、スマートデバイスはPCやスマートフォンのようにアンチウイルスソフトで保護することはできません。 2019年にAvastがスタンフォード大学と共同で行った調査によると、スマートデバイスのベンダーは全世界で1万4000社以上あり、さらに多種多様なデバイスを製造しています。 これら全てのデバイスに対応したエンドポイントセキュリティソリューションを作成することは不可能でしょう。 そこでAvastは通信事業者とネットワークベースのソリューションである「Avast Smart Life」を開発しました。 通信事業者がルータにAvast Smart Lifeを組み込み、セキュリティの問題をスキャンし、保護するとともにペアレンタルコントロール機能を提供します。 すでにイタリアの通信キャリアであるWindが導入しており、その他の市場での展開も予定しています。 より洗練された文面やパーソナライズされた攻撃に対して、注意すべきポイントがあれば教えてください 高度にパーソナライズ化された攻撃を防御する際、最も重要なのは「ユーザーの知識」です。 カスタマーサポートで使用されているAIベースのチャットボットを見かけることがありますが、サイバー犯罪者も同様のチャットボットの技術を使用し、ソーシャルメディアやメールで会話を行うことができます。 オンラインで誰かから連絡を受けたときには、自分のこれまでの経験や知識を総動員することが重要です。 例えばメールを受信した場合、添付ファイルやリンクを開く前に送信者のメールアドレスを確認したり、別のチャンネルを介して送信者に連絡し、実際にメッセージが送信されたかどうかを確認することが重要です。 また、セキュリティソリューションにおいてもAIは重要であり、防御に役立つと考えます。 Avastは長年にわたり、機械学習とAIを活用して脅威を検知し、阻止してきました。 AIは、リアルタイムでの脅威検知を可能にし、新たな脅威を予測する機会を提供してくれます。 既知の脅威データベースを利用して機械学習を進めており未知の脅威の攻撃パターンを特定しています。 サプライチェーン攻撃の動機はさまざまです。 私たちは、影響を受けたユーザーの一部が実際にサプライチェーン攻撃の標的になっているケースを確認しています。 2017年のCCleaner攻撃やがその一例です。 また、「NotPetya」のようにサプライチェーン攻撃の動機が大量破壊であるケースもありました。 サイバー犯罪者はウクライナの会計ソフト「M. Doc」を侵害することで、(正確にはワイパーと考えられる)NotPetyaを拡散させました(注:ワイパーはファイルの暗号化をストレージ消去目的で実行しており、犯人もファイルを元に戻すことができない)。 直近ではZoomがユーザーデータをFacebookへ転送していたことが話題になりました。 また、御社に関してましてはウイルス対策製品で収集されたユーザーデータをJumpshotを介して第三者に販売していたことでも話題になりました。 便利な製品やサービスが出回っていますが、プライバシーやセキュリティ面を考えたとき、ユーザーはどのような点に注意して導入するものを選べばよいのでしょうか 一般的に、アプリをダウンロードする前に、ユーザーはアプリがアクセスを要求するデータを確認し、そのデータがアプリの説明通り、機能として本当に必要なものかどうかを確認すべきです。 例えば、ユーザーはゲームアプリが自分の連絡先、位置情報、動画へのアクセスが必要かどうかを考えるべきであり、必要でない場合はダウンロードする前に再考すべきです。 また、ユーザーは新しいサービスにサインアップする前にその会社が個人データをどのように扱うかを理解するために、その会社のプライバシーポリシーを確認するべきです。 例えば、Avastは2020年1月にJumpshotの事業を終了する前から、プライバシーポリシー内だけでなく、製品上でもJumpshotについての説明を行っていました。 Avastのウイルス対策製品で収集されたユーザーの閲覧データがJumpshotを介して第三者に販売されているという情報が海外メディアによって報じられ、 企業に責任と透明性を持ってデータを扱うことを求める、欧州の一般データ保護規則(GDPR)とカリフォルニア州の消費者プライバシー法(CCPA)の施行は、ユーザーに大きなメリットをもたらしています。 Avastは、こうした規制の導入を歓迎し、欧州とカリフォルニア州という特定の地域に限らず、日本を含む全世界において同様の基準を適用しています。 例えば、CCPAではどのようなデータが収集され、どのように使用されているかを詳細に把握できるようにプライバシーポリシーを構成することを企業に求めています。 Avastは、その基準に応じてプライバシーポリシーを改定し、日本のユーザー向けに.

次の

サイバーセキュリティ対談 こんな企業が狙われる。 テレワークの土台となるセキュリティを固める

デバイス が 感染 し て おり サイバー 攻撃

「新型コロナウイルスに関連したサイバー攻撃は2020年1月から観測されるようになり、2月以降に急増した」。 セキュリティー会社である米ファイア・アイ(FireEye)日本法人の千田展也シニア・インテリジェンス・オプティマイゼーション・アナリストはこう話す。 その多くは新型コロナを題材にしたフィッシング攻撃で、企業ネットワークを狙った攻撃も増えているという。 政府機関やメディア、シンクタンクなどを対象としたサイバー攻撃も確認されている。 SNSの怪しいアカウントから「発生源は本当に中国・武漢市なのか」などといった情報が発信されるなど、世論操作を狙ったサイバー攻撃も観測されている。 「攻撃者は休んでいないという前提で、企業のシステム部門はセキュリティー対策を考える必要がある」と千田氏は言う。 新型コロナの感染拡大に伴い、多くの企業がテレワークを進めている。 これを悪用して企業ネットワークに侵入しようとする攻撃も観測されており、これからも増加するとファイア・アイは予測する。 システム部門はテレワークを拡大するために、これまでテレワークをしていなかった社員にもリモートのアクセス権を付与したり、個人所有のPCなど管理対象外の端末からのアクセスを許可したり、セキュリティーのチェックを限定的なものにしたりしているためだ。 ファイア・アイの千田氏はテレワークに関連して狙われやすい「弱点」を6つ挙げる。 [画像のクリックで拡大表示] 第1の弱点は従業員が使用する端末で、これを踏み台にしたリモートアクセスによって企業内ネットワークが攻撃されている。 フィッシングなどによって従業員の端末を乗っ取って、従業員が使用するVPN(仮想私設網)や仮想デスクトップなどのリモートアクセス手段を使って社内ネットワークに侵入する。 フィッシングを防ぐための電子メールのフィルタリングや端末の防御、管理者権限の削減など、端末の防御を強化する必要がある。 第2の弱点が脆弱な社内システムだ。 第1の手段の水平展開(横展開)をすることで、様々なアプリケーションに攻撃対象を広げる。 攻撃者が社内ネットワークに侵入した後に、他のユーザーのID・パスワードなども入手して、他のアプリケーションなどに侵入する。 こうした事態を防ぐためには、リモートアクセス経由で利用できる社内アプリケーションや社内システムを必要最低限のものに限定しておく。 多要素認証に関する教育が不可欠 第3の弱点が認証システムだ。 最近は多要素認証(MFA)を導入するユーザー企業が増えている。 しかしスマートフォンを使ったMFAを導入している企業において、攻撃者が試みたログオンによるプッシュ通知に対して従業員が「許可」を与えてしまっている事例があるのだという。 従業員に対しては、身に覚えの無いプッシュ通知に対して許可をしないよう教育したり、そうしたプッシュ通知があった場合にシステム部門に報告するよう呼びかけたりする必要がある。 第4の弱点が管理対象外のデバイスからのリモートアクセスだ。 デバイスに対するチェックが甘い場合に、攻撃者による侵入を招く恐れがある。 第5の弱点が「スプリットトンネリング」だ。 スプリットトンネリングとは、VPNを使用するデバイスの通信全てをトンネリングさせるのではなく、特定のアプリケーションの通信だけトンネリングさせる手法のこと。 通信全てをトンネリングさせるフルトンネリングはVPNのネットワーク帯域を圧迫しがちであるため、混雑を避ける目的でスプリットトンネリングを使用するユーザー企業が増えている。 しかしスプリットトンネリングには弱点もある。 フルトンネリングの場合はユーザーのネットワークアクセスは全て企業内のWebプロキシーを通過するため、ユーザーの行動を把握しやすいのに対して、スプリットトンネリングではVPN対象外のアプリは企業内のWebプロキシーを通過しない。 ユーザーの行動をデバイス側でモニタリングするといった別の対策が必要となる。 第6の弱点がリモートアクセス手段そのものだ。 リモートアクセス用のポータルサイトなどに対するDoS(サービス不可能)攻撃を仕掛けられると、テレワークができなくなるので、企業の業務に著しい支障が生じてしまう。 この記事は有料会員限定です。 次ページでログインまたはお申し込みください。

次の

IoTデバイスへのマルウェア攻撃の現状と対策

デバイス が 感染 し て おり サイバー 攻撃

忠鉢氏:サイバー攻撃はばら撒き型と標的型に二分されますが、ばら撒き型についてはメールを入口とした攻撃が増えています。 添付ファイルを開くとマルウエアに感染してしまうというものです。 最近はこの添付ファイルの多くが Word ファイルや Excel ファイルといった Office ドキュメントになっています。 exeファイルを対象とする従来のアンチウイルスソフトだけでは対処が難しくなっているのが現状ですね。 標的型攻撃についても同様で、Office ドキュメントが入口になっています。 攻撃者がここを攻撃すると強い意志を持って仕掛けてくるケースでは、さらにアンチウイルスに検知されないようにウイルスを作り込んできますから、攻撃を受けた時点ではなかなか気づくことはできません。 九嶋氏:つまりばら撒き型にせよ、標的型にせよ、アンチウイルスソフトでは対策できないということですね。 それは私たちの認識とまったく同じです。 現代のサイバー攻撃はテクニカルに防ぐことはできませんし、添付ファイルをうっかり開いてしまうという人の心の隙、いわば人間の脆弱性にも起因しています。 完全な対策は困難ということですね。 忠鉢氏:そういっていいと思います。 九嶋氏:それに加えてHPが注目しているのは、低レイヤーに入ってこようとする攻撃です。 アプリケーションやOSの防御は最近ではかなり強固になっていますが、対策があまりされておらず、かつ一度入り込まれると見つけにくく、マルウエアにとって居心地がいいのがBIOSやファームウエアといった低レイヤー領域なのです。 忠鉢氏:BIOSやファームウエアを狙った攻撃というのは、観測事例としてはそれほど多いわけではありません。 ですが、今はまだ多くないというだけで、今後増える可能性があるし、過去に観測されていないということは、今のアンチウイルスでは見つけられない可能性が高いという見方もできます。 過去にばらまかれていたものなら参照すべきデータがたくさんあるので、それらをベースにルールを作ったり学習したりできますが、それがないのですから。 九嶋氏:HPではこの問題に対して、自己回復型BIOS「HP Sure Start」という機能を用意しています。 もうひとつ、検知されないように作り込まれた攻撃、つまりゼロデイ攻撃も重要です。 1日に35万種もの新しいマルウエアが登場しているといわれる今、何を考えなければならないのか。 オペレーションを止めないという観点での施策が必要になっていると私たちは考えています。 忠鉢氏:インシデント対応の現場でも、お客様にもっとも要求されるのはシステムを早く再稼働させたいということです。 ところが、まずどこまで感染しているのかを調べなければ対処できません。 その間、ビジネスが止まってしまうのですから、中小企業にとっては大きなダメージになります。 九嶋氏:最近はオペレーション停止のためにシステムの破壊そのものを目的とした攻撃も増えてきています。 焦点になるのは攻撃を受けてウイルスやマルウエアに入ってこられた後にどうするのか、ということになるでしょう。 狙われてしまう中小企業とは 九嶋氏:HPでは2016年頃からデバイスのセキュリティが大事だというメッセージを出し続けており、重要インフラを担う大手企業のお客様にはそれが浸透し始めているという感触があります。 その一方で、中小企業のお客様には今ひとつ伝わっていないようにも思います。 忠鉢さんがコンサルティングをされている中で、中小企業のお客様のセキュリティに対する意識はどのように変化していると感じられていますか。 忠鉢氏:これは両極端ですね。 攻撃されて被害を受けた経験のある企業の中には、大手企業も顔負けのセキュリティ対策をとっているところもあります。 そうかと思えば、やられてしまってもPCやシステムを初期化すればいいじゃないかという企業もあります。 そういう考え方はなくはないでしょう。 でも、それで大丈夫だと思っているのは自分たちだけで、周囲の要求というものが認識できていないともいえます。 九嶋氏:そうですね。 NIST SP800シリーズのような国際的セキュリティのガイドラインの必要性が認知され、たとえば防衛関係の企業であれば、一定水準のセキュリティ要件を満たさない企業はサプライチェーンから閉め出されてビジネスができなくなるということも現実になりつつあります。 周囲の要求は今後高まる一方だと思います。 これはビジネス環境の構造を考えれば当然の話で、どんな企業も仕入先や納品先などとつながってビジネスを成立させています。 攻撃者は重要な情報を持つ大手企業を最終的なターゲットに、そこを攻撃する踏み台として中小企業を狙っています。 忠鉢氏:強固なセキュリティ対策を施した大手企業を直接狙うよりも、対策の甘い中小企業、サプライチェーンの弱い部分を狙うほうが費用対効果は高いですからね。 もし攻撃を受けて情報流出という事態になり、それがマスコミに取り上げられたりすれば、やられてしまうところなんかに仕事を出せるわけがないと思われて、次の仕事はなくなってしまうでしょう。 九嶋氏:中小企業の場合なら、いきなり資金繰りが困難になってしまうなど、会社の存続に関わりかねません。 ましてや、ずっと気づかずにいたら、自分たちが加害者として被害を拡大させてしまうケースも有り得ます。 忠鉢氏:そうですね。 セキュリティに対する意識が低く、周囲の要求が変わりつつあるという状況の変化にも気づいていない、そういった企業は絶好のターゲットになってしまうと思います。 九嶋氏:ところで、大手企業顔負けのセキュリティ対策をとっている中小企業は増えているのですか。 忠鉢氏:少しずつ増えてはいるのでしょうけれども、新しい会社がどんどんできているので、割合でいえばそう大きくは変わらないのではないでしょうか。 入口の防御を固める意義 九嶋氏:最後に、忠鉢さんの立場から、デバイスセキュリティの重要性をどう捉えているのか、お聞かせください。 忠鉢氏:やはりシステムの入口となるのはデバイスですから、そこで異変を検知できるように備えておくことは重要です。 端的にいえば新しいものを使うことでしょう。 当社の観測範囲内でも、Windows 7 には通用する攻撃が Windows 10 には通用しないというケースは非常に多く見受けられます。 Windows 7 は終売となり、サポートも終了していますが、残念ながら未だに Windows 7 を使っている企業は少なくありません。 新しいものであればあるほど、攻撃が失敗に終わるということはいえると思います。 九嶋氏:そのご指摘は非常に重要なことを示していると思います。 Windows 10 は標準機能でハードディスクドライブ暗号化、生体認証、ファイアウォール、さらにディフェンダーというアンチウイルス機能も搭載し、防御は強固になっています。 さらに、それだけではフォローしきれない部分や新しい脅威についても、HPビジネスPCが備えるセキュリティ機能でカバーできます。 たとえば「HP Sure Run」では、OSのセキュリティ機能がオフにされても、自動でそれを検知して再起動します。 箱から出した時点で安全なPCということで、コストと手間を掛けずにセキュリティのベースラインを上げることができます。 忠鉢氏:確かに「HP Sure Run」は有効な機能と思います。 それから冒頭でお話した悪意のあるメールの添付ファイルを、仮想ブラウザに封じ込めることができる「HP Sure Click」もデバイスを守るという意味ではおもしろい機能だと思います。 九嶋氏:米国国防総省では従来の境界防御ベースのものでは守ることのできない攻撃に備えて、新しい技術的な枠組みのひとつとして封じ込め技術を重視しています。 「HP Sure Click」はこの最先端の技術を中小企業向けにアレンジし、どなたにでも使える機能としてビジネスPCに組み込んだものです。 忠鉢氏:もはやアンチウイルスだけでは守りきれない、プラスアルファが必要ということははっきりしています。 その点、PCを入れ替える初期導入コストだけでそのプラスアルファが手に入るのはとても魅力があります。 それらの機能の運用コストはどうなっているのですか。 九嶋氏:Sureシリーズと呼んでいる一連のセキュリティ機能はビジネスPCに標準搭載しているので、追加投資はゼロです。 運用負荷も「HP Sure Click」はユーザーによる簡単な設定が必要ですが、「HP Sure Start」や「HP Sure Run」は機能を有効にするだけで、後は管理の手間もかかりません。 九嶋氏:何も対策せずにいるよりも、対策したほうがやられてしまうリスクは圧倒的に下がるのですから、会社を守る、ビジネスを守るという観点からも、取り組んでいただければなと考えています。 忠鉢 洋輔 氏 プロフィール 国立鶴岡工業高等専門学校から筑波大学に編入、仮想マシンモニタとそれを用いたマルウエア対策に関する研究を博士後期課程まで続ける。 2014年に同課程を退学、標的型攻撃対策製品を手がける研究開発ベンチャーに入社しその後、株式会社アクティブディフェンス研究所として起業し今に至る。 世界的に著名なハッカーカンファレンスであるBlack Hatなどで多数の講演を行う。 経済産業省が次世代を担う高度IT人材育成に向けた取り組みとして2004年に立ち上げたセキュリティ人材育成プログラム「セキュリティ・キャンプ」の2005年卒業生。 その後チューター、講師としても「セキュリティ・キャンプ」に関与し続けている。 33歳。 株式会社アクティブディフェンス研究所 サイバーセキュリティに関する攻撃・防御技術の研究と自社サービス開発をコア事業とするベンチャー企業。 最新のマルウエア対策研究、マルウエア自動解析、マルウエアによるサイバー攻撃の脅威情報収集、IoTセキュリティ診断をはじめ、サイバーセキュリティ領域において幅広い事業を展開中。

次の