メインコンテンツへスキップ
特集、論稿、出版物 | 企業リスク&リスクマネジメント ニュースレター

サイバーリスクFish & Tips:終わりなきサイバー攻撃

執筆者 足立 照嘉 | 2022年7月20日

とあるソフトウェアを販売することで、8ヶ月間に数億円を売り上げていた25歳の男がロンドンで逮捕された。
その男はどのようなソフトウェアを販売していたのだろうか。そして、終わりなきサイバー攻撃はどこまでいくのか。
Risk & Analytics|Corporate Risk Tools and Technology|Cyber Risk Management
N/A

圧倒的に有利

あるソフトウェアを販売することで100万ポンド(およそ2億円)以上を売り上げていた男が6月、ロンドン市警と英警視庁との共同犯罪捜査によって逮捕された。*1

この男が販売していたソフトウェアを用いると、標的とされた人は騙されてしまい個人の銀行情報を漏らしてしまう。そして、その情報を用いることで銀行のセキュリティシステムを回避できるというものだった。

この男は8ヶ月間で1,000人以上の犯罪者にソフトウェアを販売し、100万ポンド以上を売り上げていたとのことである。単純計算ではあるが、平均して毎日3~4人の犯罪者がこのソフトウェアを買っていたということになる。更に、このようなソフトウェアが月額600ポンド(およそ10万円)で利用できるということにも大きな驚きがあるのではないだろうか。

このソフトウェアを用いて犯行におよんだ人数や、それらの被害となった人数や損失などは現時点で不明である。しかし、ソフトウェアを販売していた男は1日で150人以上を欺くために使用したとソーシャルメディアで吹聴し、このソフトウェアを宣伝していたことも確認されている。

サイバー犯罪はそのコストが比較的安く、実行するのも簡単であるため参入障壁が低い。このソフトウェアのように10万円どころか、ランサムウェアなどは数千円ででも調達できる。攻撃の成功率が低かったとしても、成功した場合のリターンが大きい可能性もあるので、多くの攻撃を仕掛けてくる。

圧倒的にサイバー犯罪者のほうが有利な状況ではある。

主張のかたち

同じく6月、イランの製鉄所で火災が発生し操業が停止した。 これは製鉄所のシステムにサイバー攻撃を行うことによって引き起こされたものであるとしてハクティビストグループが主張しており、ソーシャルメディア上で製鉄所の防犯カメラに写った燃え盛る様子を公開している。*2

ここでは、このソーシャルメディア上の動画へのリンクを記載したが、検索サイトの画像検索で「Iranian steel facilities cyber」といったキーワードを用いても、その様子を確認することができる。

ハクティビストというのは、ハックとアクティビズムを組み合わせた造語であるが、意思表示や政治目的を実現する手段としてハッキングをする活動家のことである。政治色の強いハッカーグループが1996年に自らをそのように名乗ったことが始まりとされている。今回のサイバー攻撃では、被害企業が国際的な制裁の対象となっていながらも、事業を継続していることに対して行ったと主張している。

これまでにも、ハクティビストによってイラン国内にある刑務所の監視カメラがハッキングされその内部で行われていることが暴露されたり、ガソリンスタンドへの燃料配給システムや鉄道のシステムなどが攻撃を受けている。そして今回は製鉄所で火災が発生したのだ。

ハクティビストに限らずこのように工場などを標的としたサイバー攻撃は増加傾向にある。残念ながらイランに限らず日本企業などでも操業停止などが相次いでいる。

盗まれたデータの行方

FBIの最新の報告書*3によるとビジネスメール詐欺(BEC)などの詐欺行為による被害届が最も多く提出されている。2021年には米国でのBEC被害報告は19,954件で、被害総額約24億ドル(およそ3000億円)にものぼり、2017年からの5年間で米国の消費者と企業は187億ドル(およそ2.5兆円)にものぼるとしている。

その具体的な手口や、現在行われているAIを用いた手口などについては過去にも紹介したが*4、冒頭で紹介したような安価なツールを用いて容易に行われているのが現状だ。

このような詐欺の手口によって窃取されるのは冒頭の銀行情報だけでなく、システムなどに不正ログインするためのログイン情報なども窃取されている。そして、窃取された情報で不正ログインされることで、ランサムウェアに感染するきっかけを作ってしまうこともある。

もちろん悲観的な話題ばかりではないので、最後に一つ良い話題も提供することとする。

6月、FBIや米司法省などの共同犯罪捜査によって、氏名、生年月日、社会保障番号(日本で言うところのマイナンバー的なもの)などが販売されていたマーケットプレイスが閉鎖された。*5 

なんとここでは、米国の約2400万人の個人情報をリストアップし、1900万ドル(およそ25億円)以上を売り上げていた。

このように違法なマーケットが、法執行機関によって摘発されるということは世界中で行われている。しかし、これまで述べてきたように様々な思惑を持ったサイバー攻撃者が、世界中で次々と登場している。

サイバー攻撃との戦いはまだまだ終わらない。


出典

*1 https://www.cps.gov.uk/cps/news/it-fraudster-imprisoned-selling-ps1-million-software-attack-personal-bank-accounts

*2 https://t.co/BW7TR9Env7

*3 https://www.ic3.gov/Media/PDF/AnnualReport/2021\_IC3Report.pdf

*4 https://www.wtwco.com/ja-JP/Insights/2022/03/crb-nl-march-adachi

*5 https://www.justice.gov/usao-mdfl/pr/ssndob-marketplace-series-websites-listed-more-20-million-social-security-numbers-sale

執筆者

サイバーセキュリティアドバイザー
Corporate Risk and Broking

ロンドンを拠点に活動するサイバーセキュリティ専門家。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。


サイバーリスク・カルチャー・サーベイ

Contact Us