is702
ニュース

2019年の脅威動向、“これまでの常識を覆す攻撃”が個人でも法人でも顕著に

2020/01/14

トレンドマイクロは1月10日、公式ブログで「2019年『法人』と『個人』のサイバー脅威動向:サイバー犯罪が覆す『安全』の常識」と題する記事を公開しました。2019年1年間(1月~11月)に国内で発生したサイバー脅威を分析した内容です。2019年は“これまでのセキュリティの常識や利用者の思い込みを覆すサイバー犯罪”が顕著な1年間でした。

個人・法人それぞれの観点で見ると、まず個人利用者では、「二要素認証突破を狙う詐欺手口の急増」「SMSを利用する攻撃が拡大」「人気サービスに便乗するなりすましの横行」の3つがあげられます。なかでも、もっとも大きな衝撃を与えた脅威は、「二要素認証突破を狙うフィッシング詐欺」でした。
この攻撃により、二要素認証(2段階認証と呼ばれる場合もある)は、それだけでは必ずしも安全ではないということが明らかとなりました。実際、トレンドマイクロや警察庁の監視によると、フィッシングサイトの数や不正送金被害が2019年9月以降に増加しています。またネットバンキング以外に、携帯電話事業者のWebサービスやソーシャルメディアサービスへの攻撃も登場しています。

また、フィッシングサイトを含む不正サイトへ利用者を誘導する手段としては、人気サービスや有名企業になりすました電子メールがこれまで使われてきましたが、これに加え、「SMS(ショートメッセージサービス)」の悪用が2019年は活発化しました。トレンドマイクロの統計によれば、国内で不正サイトへ誘導されるモバイル利用者数が増加傾向にあり、SMS経由の誘導が大きく影響しているものと考えられます。

一方、法人においては、「マルウェア『EMOTET(エモテット)』の本格上陸」「より高度な攻撃手法を使用したランサムウェア攻撃」「利用者情報を狙うWebサービスやECサイトへの攻撃」等に注目が集まりました。そのなかで特に「利用者情報を狙うECサイトへの攻撃」において、常識を覆す攻撃が見られました。
2018年に改正割賦販売法が施行され、クレジットカード情報をECサイトに保持することができなくなりました。ECサイトにおいてカード情報を保持しない場合、「JavaScript(トークン)型」と「リダイレクト(リンク)型」の2種類の方法がありますが、サイバー犯罪者はECサイトを攻撃・改ざんすることで情報の詐取を可能としました。特に、2019年の日本では「リダイレクト(リンク)型」のECサイトでの被害が顕著でした。
「カード情報を保持していないから安全」というこれまでの常識が覆されたことで、日本サイバー犯罪対策センター(JC3)や経済産業省が相次いて注意喚起を出す事態になっています。一般利用者の目線で考えても、「正規サイトだから安全」という認識を覆す攻撃だと言えます。

近年のサイバー犯罪は人の思い込みや心理を悪用した手法が多くなっているため、最新の手口を知っておくことも対策となります。日頃から騙されないことを意識するとともに、利用しているパソコンやスマホには必ずセキュリティ対策製品を導入し、サイバー脅威によるリスクを下げましょう。また、法人においては、自組織のシステムに脆弱性や設定ミスがないかを定期的に確認してください。特にECサイトでは、早期に不審に気づける体制作りも重要でしょう。

  • フラウネッツ
  • セキュリティブログ
フラウネッツ
セキュリティブログ