2018年のサイバー犯罪の現状

Transcription

1 ホワイト ペーパー 2018年の サイバー犯罪の現状

2 サイバー犯罪を取り巻く状況は年々進化しています 犯罪者はその戦略を変えながら 新しいツールと手法を開発し 消費者行動やビジネスモデルの変化をうまく利用しています モバイルはバンキングサービスや E コマースのチャネルとしての人気が高まり モバイルアプリで利用できるサービスがますます増えているため 従来からサイバー犯罪者に狙われています また サイバー犯罪者も IoT( モノのインターネット ) の流行に乗り パスワード管理の甘さを悪用して IoT デバイスを乗っ取ろうとしています さらに 業界標準とグローバルな法規制がデジタルトランスフォーメーションを推進していますが これは 悪用される可能性のある新たな脆弱性をもたらしています RSA は不正行為の検出とサイバー犯罪インテリジェンスの最前線に立ち フィッシング マルウェア アカウントの乗っ取り ソーシャルメディア上の脅威をはじめとする大きな影響をもたらす不正攻撃から 世界で 10 億人以上の消費者を守り 年間数十億ドルにおよぶ不正行為による損失を防いでいます RSA は 不正行為とサイバー犯罪活動 業界標準とグローバルな法規制に関する独自の知見に基づき 2018 年のサイバー犯罪に大きな影響を直接的に与えると推測される 4 つのトピックを特定しました [ 予測 1] 大規模データ侵害によりアカウントの乗っ取りが急増大規模なデータ侵害とフィッシング攻撃で数十億件ものユーザー名とパスワードが流出した事で サイバー犯罪の地下組織の中で金融関係以外の認証情報を売買する新たな市場が生まれています 同じユーザー名とパスワードの組み合わせを複数のアカウントで使い回す人が多いという事実を悪用し サイバー犯罪者は盗んだ認証情報の販売で金もうけをしています 当然のことながら 有効であることが確認されたアカウント認証情報はすぐに他のアカウントの乗っ取り たとえば 不正な購入や送金 ビットコインなどの暗号通貨ウォレットのハッキングなどに使えるため高額な値がつきます そのため認証情報のテストサービスといった新ビジネスも増えています しかしながら 盗難アカウントの認証情報の価格が上がる一因となっているのはブランドです クレジットカード情報が記録されているか 商品やサービスを再販しやすいかということが含まれます 最近では アカウント認証情報は 0.20 ドル ~15 ドルで売れるもようです 1 Sentry MBA などの自動化ツールによって サイバー犯罪者はユーザー名とパスワードを類推する攻撃を高速で実行できるようになりました これは認証情報リプレイ攻撃とも呼ばれる攻撃です これらのツールはほとんどコストをかけずに 場合によっては fraud-as-a-service( サービスとしての詐欺 ) を利用できます アカウント乗っ取りの成功率は最大で 5% にも上り サイバー犯罪者は有効な認証情報でかなりの収益を上げることができます 2 そして その認証情報を個人的に使用したり 転売したりします 2 1 RSA 2018 年サイバー犯罪者のショッピングリスト 2 出典 :451 Research Web Threat Detection Pathfinder Report 2016 年

3 WAF(Web アプリケーションファイアウォール ) のようなレガシーツールはこうした攻撃を検知する設計でないため 自動化された攻撃を特定することは難しいかもしれません 多くの企業は 承認されたユーザーと匿名のゲストが企業の想定どおりの方法で Web サイトを使用していると断言できるよう ふるまい分析テクノロジーに目を向け始めています ふるまい分析テクノロジーは Web アプリケーションとモバイルアプリケーションの両方で不自然な行動パターンを特定できます たとえば ユーザーがサイト内を移動しているのか わずか数分間で行われる何千回ものログインの試みなどのロボット的な動きかなどを特定できます 2018 年の見通し 2018 年には大規模データ侵害がさらに増え 盗まれた認証情報が市場に氾濫すると予想されます その結果 認証情報を換金したいサイバー犯罪者にとっては 認証情報の確認がいっそう優先度の高い事項になってくると考えられます ふるまい分析を活用した不正防止システムをバイパスするために ログインに成功するとすぐに取り引きを実行するようにプログラムされた認証情報確認ツールが開発されることも予想されます ビットコインの価値が 2017 年末に上昇し続けたことを振り返ると 盗んだ認証情報を巧妙に利用するサイバー犯罪者にとって ビットコインなどの暗号通貨が入っているデジタルウォレットはさらに魅力的な標的となるでしょう [ 予測 2] サイバー犯罪は新しいプラットフォームとインフラストラクチャへと拡大サイバー犯罪者は活動を維持する方法を常に探しています 2017 年には違法な商品を扱う最大規模級の地下市場 AlphaBay と Hansa が摘発され サイバー犯罪者は活動を維持するために別の方法を慌てて探さなければならなくなりました 新たな人気の選択肢は ソーシャルメディアプラットフォームとブロックチェーンでホストされている Web サイトのふたつです ソーシャルメディアプラットフォームサイバー犯罪者の多くはソーシャルメディアに目を向け ソーシャルメディアをサイバー犯罪者向けのコミュニケーションチャネルとして急成長しそうなものへと変えています ソーシャルメディアによりサイバー犯罪者は さらに多くの人を対象にすることができます これらのプラットフォームはグローバルで 使いやすく ダークウェブ上でのフォーラム運営や Web サイトのホスティングも費用がかかりません RSA はサイバー犯罪者のソーシャルメディアの使用状況を 6 か月にわたり調査しました その結果 ソーシャルメディアでは不正行為の件数が 70% 増加し その大部分が誰もが見れる設定であることを発見しました 不正行為を専門に働くグループは ほとんど労力をかけずに人目につかず活動しているようです 非公開のグループでも アクセスに必要なのは簡単な参加リクエストだけです ダークウェブ上のフォーラムへの参加に求められがちな確認プロセスや紹介は必要ありません 3

4 人気が最も高いチャネルである Facebook では 世界中のあらゆる地域で活動しているグループが 不正に入手した本物の金融情報 (PII や認証コードを含むクレジットカード番号など ) サイバー犯罪の手引書 マルウェア / ハッキング用ツールや換金 / 運び屋サービスに関する情報などを公然と共有しています 一部のサイバー犯罪者は 盗んだクレジットカードのデータやハッキング用のキットを自分の個人プロファイルで販売していることさえあります 図 1 は こうしたグループでの投稿や意見交換で 最もよく見られる一般的な不正行為のトピックを示したものです 16% アカウントの乗っ取り 53% カード詐欺 / カード詐欺サービス 9% 電信送金 8% マルウェアおよびハッキング用ツール 7% 換金および運び屋サービス 3% フィッシング / スパム / ボットネットサービス 2% DDoS 攻撃 2% モバイル 図 1:Facebook の投稿で最もよく見られる不正行為に関連する投稿 ブロックチェーンホスティングサイバー犯罪者の間では 新たに ブロックチェーンで自分たちの Web サイトをホストすることへの関心が高まっています 中には ブロックチェーンベースの DNS を使用してドメインを登録している者さえいます ブロックチェーンベースの DNS 機能を使用する利点は その Web サイトがブロックチェーンベースのドメインを保持できることです そうすれば そのドメインを再ルーティングしたり 中央のエンティティからその Web サイトにアクセスできなくなるなど 堅牢な防備ができます 結果として サイバー犯罪者はブロックチェーンテクノロジーの採用に意欲的で 確実に活動を持続できるというこのプラットフォームの利点を活用しています 図 2 は ブロックチェーンホスティングへと移行する闇市場の有名なクレジットカードストアの一例です 4

5 図 2 IOT( モノのインターネット ) デバイスドアホン 冷蔵庫 アクティビティトラッカー 活動量計 ) スマートウォッチ 家庭用暖房システム 医療デバイスなどの IoT デバイスは 毎日の暮らしやビジネスに欠かせないものとなっています それらはサイバー犯罪者にとってますます魅力的な標的になりつつあります サイバー犯罪者はこれらのデバイスをランサムウェアで乗っ取ったり 自分たちのインフラストラクチャに追加したりしようとしています Mirai ボットネット Mirai は IoT デバイスを悪用してサイバー犯罪者のインフラストラクチャをホストした最も有名な例の 1 つです Mirai ボットネットは セキュリティ保護が不十分な IoT デバイスを探し 工場出荷時にデフォルトで設定される 60 件を超える一般的なユーザー名とパスワードが入ったテーブルを使用して それらにログインします そうして マルウェアを感染させてボットネットの一部にします Mirai は IP カメラ ルータ DVR を悪用していることがわかっています より多くのデバイスが販売され 新しい接続デバイスが市場に登場する中で 標的となるデバイスはさらに増えると予想されます こうした接続デバイスはデフォルトパスワードを使用する傾向にあり どれも侵害するのが非常に簡単です たかが冷蔵庫じゃないか と思うかもしれません しかし実際にはボットネットの一部として DDoS 攻撃やフィッシング Web サイトのホスティングに使用できます 2018 年の見通しソーシャルメディアプラットフォームでは 運用者が不正行為にかかわる投稿 プロファイル グループを削除しているにもかかわらず サイバー犯罪者による使用は衰える兆しを見せません Facebook は今後もサイバー犯罪者に人気だと思われますが 不正行為の通信チャネルとして新しいソーシャルメディアプラットフォームが増えることも予想されます さらに サイバー犯罪者はブロックチェーンや IoT デバイスを活用して 自分たちのインフラストラクチャの拡張を続けています その結果 関連する fraud-as-a-service( サービスとしての詐欺 ) サービスが増加するでしょう 5

6 [ 予測 3] オムニチャネルの拡大 オープン API ファスターペイメントなど不正行為に悪用できうる新たな脆弱性が登場消費者取引はモバイルチャネルに移行していますが 不正行為も同様です 同時に オープン API エコノミーの出現やファスターペイメントの採用増加によりイノベーションが促進されていますが 不正行為にもいっそう さらされやすくなっています モバイルでの不正行為現在では モバイルでの不正行為が Web での不正行為を上回りつつあります 不正行為の 60% 以上はモバイルデバイスが起点となっています かつてはモバイルブラウザが不正行為の主役でしたが 現在ではモバイルでの不正行為の 80% がモバイルアプリに起因しています 3 多くの銀行や小売業者が自社のサービスをモバイルアプリで増やしていくと サイバー犯罪者がモバイルアプリに移行するのも自然なことです サイバー犯罪者が個人のモバイルバンキングアプリを乗っ取ると 新しい支払い先の設定や送金などの行為を実行できるようになります 図 3 に示すように RSA のデータでは モバイルチャネルからの不正取引額が本物の取引額の 2 倍以上となっています 133 ドル 292 ドル 平均取引額 平均不正行為による取引額 図 3 オープン API エコノミー金融機関は 競争の激しいフィンテック市場で競争力を維持する必要に迫られ オープン API エコノミーを活用してシステムを開放しようとしています それが義務付けられている場合もあります たとえば EU の PSD2(EU 決済サービス指令 2) では 欧州で事業を行う銀行に データアグリゲータと決済サービスへのアクセスを開放するよう義務付けています 米国やアジアでも同様の取り組みや法規制があります 6 3 RSA Adaptive Authentication Data Science Analysis 2017 年

7 実際には 消費者が自分の銀行アカウントを信用格付け機関や公益事業者などの他サービスに接続することができるようになります そして 銀行取引を行うだけでなく 銀行アカウントからシングルサインオンで自分のクレジットスコアを閲覧したり 電気料金の支払いといった利便性の恩恵が受けられます また サードパーティアプリケーションで銀行口座情報を表示することもできます これは 銀行口座情報が閉じたシステムで保持されていたこれまでの状況からの大きな変化です こうした変化で 消費者は自身の資産にアクセスしやすくなり 資産移動がしやすくなります イノベーションが促進され デジタルウォレットをはじめとする電子決済システム市場が拡大すると予想されます ただし 適切なセキュリティ対策が行われていないと 不正行為にさらされる新たなリスクも生じます 個人の銀行アカウントがさまざまなサービスのワンストップショップになると サイバー犯罪者が個人のアカウントに不正にアクセスできてしまうと 同じように利用できてしまいます こうしたリスクの対策として 顧客の資産とデータを適切に保護するために消費者認証に取り組まなければならず 銀行 ( またはその他の組織 ) にとっては負担になります ファスターペイメント昨年 消費者や企業の決済速度が向上しました このトレンドは今後も続くと予想されます 即時 同日内のリアルタイム P2P( 個人間 ) 決済サービスが始まるため 特に決済業界 そしてバンキングシステム全体にとって転換点といえます このようなサービスの成功例は 約 10 年前に始まった英国のファスターペイメント (FPS:Faster Payments) です このサービスは急速に普及し 消費者取引と請求支払いの方法を変革しています FPS は 2017 年に決済振り込みで 17 億件の決済と 1 兆 4 千億ユーロ以上を処理し 現在ではカードおよび現金以外の決済の 6 分の 1 以上を占めています 4 同様のサービスは米国 オーストラリア ニュージーランドでも実装中で ますますデジタル消費者から支持されるようになっています ファスターペイメントにおける不正行為に対するリスクは 発生すると決済の調査 取り消し 中止のための時間がまったくと言っていいほどないことです そのため 即時 同日決済で不正行為を防止するためには 適切な認証が非常に重要です これらのサービスは迅速でシームレスだからこそ顧客に使用されることを考えると 銀行や他のサービスプロバイダーはリスクを正しく評価し 効果的なセキュリティとスムーズなカスタマーエクスペリエンスをうまく両立させる必要があります 2018 年の見通し銀行 決済業者 小売業者は サービスをモバイルおよびその他のデジタルチャネルに拡張している中で 顧客や企業がますます増加する不正行為や新しいタイプの攻撃にさらされるという新たな課題と脆弱性に直面しています これらの組織はオムニチャネル戦略を評価し スピードと利便性に対する顧客の期待を見失うことなく 複数のチャネルにわたって効果的な保護と不正行為の検出を提供する必要があります 7 4

8 また 顧客認証プロバイダーが提供するソリューションがマルチチャネル環境に適しているか 特にモバイルユーザーのニーズに対応しているかという難問をこれらのプロバイダーに尋ねる覚悟が必要です 認証プロバイダーも 新しく制定される法規制や標準が 組織のビジネス戦略にどのように影響するのか明確に把握していることを示せなければなりません [ 予測 4] カード発行会社と加盟店による 3D SECURE 2.0 導入準備 E コマースでの不正行為は 1 時間あたりの損失が 66 万ドルと法外な金額になります 5 こうした損害が銀行 カード発行会社 販売業者に与える影響は大きいため 3D Secure 2.0 プロトコル (EMV 3D Secure とも呼ばれる ) の導入が強力に推し進められることになっています この予測は 単なる予感ではありません RSA の依頼による調査では 販売業者の 57% が 3D Secure 2.0 の導入を計画していることが明らかになりました これらの企業は より強力で多くのデータを使用するこのバージョンのプロトコルによって 顧客に優れた不正行為防止機能を提供できると見ています 全世界での E コマースの販売額は 3 兆 5 千億ドルに迫ろうとしています 6 サイバー犯罪者がこの成長著しいチャネルを視野に入れることは間違いありません 3D Secure 2.0 標準は より強力な不正行為防止機能を提供すると同時に カスタマーエクスペリエンスを支払い認証の中心に置くように設計されています 2018 年の見通しリスクベース認証が 3D Secure 2.0 の導入を促進する重要な動機となるでしょう リスクベース認証は高度な認証で不正行為も減少することが継続的に実証されています 導入の期限は世界的に迫っているため スムーズに移行できるよう カード発行会社と加盟店は 2018 年から対応準備を始めるでしょう しかしこうした対応の先導役となる早期導入のケースはごくわずかです カード発行会社は 自社の 3D Secure 2.0 戦略を欧州の PSD2 指令などの地域の法規制への準拠を計画する可能性が高いと考えられます 結論組織は 顧客と企業を不正行為から保護する取り組みの中 多くの面で課題に直面しています 小売 バンキングなどのサービスでのモバイル人気の高まりにより これらのサービスは特にサイバー犯罪者に対して脆弱になっています 組織はすべてのデジタルチャネルで効果的なセキュリティ対策を行う必要に迫られています 主要なダークウェブ市場は閉鎖されましたが サイバー犯罪者は馴染み深いソーシャルメディアチャネルからより専門的なブロックチェーンインフラストラクチャといった別のプラットフォームに順応することで活動を継続しています また 本物の顧客に利便性を提供するために設計された決済サービスの利点を悪用する新しいツールも開発しています 8

9 今や不正行為を防ぐアプローチには ふるまい分析の活用を進めて統合された脅威インテリジェンス機能を活用し モバイル環境やクラウド環境にも展開できるソリューションが必要です 何よりも重要なことは カスタマーエクスペリエンスを念頭に置いて設計されているということです 不正行為による攻撃をすべて阻止することはできませんが 攻撃に対する検出方法と対応方法を変えることで 被る損失や損害を最小限に抑えることはできます 5 出典 :RSA Mind-Blowing Cost of Cybercrime Every 60 Seconds 2017 年 10 月 6 出典 :Aite Group The Force for CNP Fraud Awakens 2016 年 3 月 9 RSA および RSA のロゴは Dell Technologies の登録商標または商標です Copyright 2018 Dell Technologies. All rights reserved.( 不許複製 禁無断転載 ) ホワイトペーパー 01/18 H16904-J RSA は この資料に記載される情報が 発行日時点で正確であるとみなしています この情報は予告なく変更される場合があります