is702

2014/01/16

2013年猛威をふるった脅威は? ~2014年、私たちがセキュリティで注意したいこと~

印刷用を表示する

2013年は、オンライン銀行詐欺ツールや偽セキュリティソフト、ランサムウェアなどの不正プログラムを使ったオンライン詐欺の被害が相次ぎました。また、悪意のある第三者がサービス認証に使用するID/パスワードを盗み出し、アカウント利用者本人を装ってサービスに不正アクセスする犯罪も社会問題になりました。2013年の脅威を振り返り、2014年に出現が予想される脅威とその対策について見ていきましょう。

<ページ1>

  • 2013年の代表的な脅威を振り返ろう

<ページ2>

<ページ3>

2013年の代表的な脅威を振り返ろう

2013年に深刻化したのは、インターネットを経由してユーザから個人を識別できる情報や金銭をだまし取る“オンライン詐欺”に分類される犯罪です。認証用のID/パスワードや乱数表の情報といったオンライン銀行のアカウント情報が窃取されたことに起因する不正送金の被害が急増しました。2013年11月末までの被害額は約11億8400万円にのぼっています(警察庁発表)。実際、ID/パスワードを盗み出す不正プログラムとして猛威を振るったのは、「オンライン銀行詐欺ツール」です。主に、犯罪者によって改ざんされた正規Webサイトなどを閲覧することで感染します。この不正プログラムに感染すると、オンライン銀行にアクセスしたタイミングで偽の認証画面が表示され、乱数表の文字や秘密の質問の回答などの入力を促されます。万一、ユーザがそれに応じてしまうとアカウント情報が悪用され、口座に入っているお金を不正に送金されてしまいます。

オンライン銀行詐欺ツール国内感染台数推移(2013年11月トレンドマイクロ調べ)

また、偽の警告画面と有償のセキュリティソフトの購入画面を表示し、クレジットカード番号などを入力させようとする「偽セキュリティソフト」や、パソコン内に侵入してファイルやシステムの一部、もしくはすべてを使用不能にし、復旧と引き換えに金銭を要求する「ランサムウェア」も2013年の代表的な脅威になりました。

さまざまなサービスへの不正アクセスをめぐる問題もメディアで盛んに報じられました。たとえば犯罪者は、インターネット上の複数のサービスに同一のID/パスワードを使い回してしまうユーザの習性を逆手にとり、あらかじめ盗んでおいたID/パスワードを使ってさまざまなサービスの認証をかいくぐろうとします。あるサービスで一度認証されたID/パスワードの組み合わせを複数のサービスで試す「アカウントリスト攻撃」は、成功率の高い不正アクセスの手法として定番化しています。その中の一つとして4月に報道された不正アクセス事件では、779件の不正ログインのうち、94%が2回以内の試行でログインに成功していました。これは、パスワードの総当たり攻撃とは考えられない成功率の高さであり、攻撃者は、予めアカウントとパスワードの組み合わせ情報を持っていたことが予想されます。

アカウントリスト攻撃

前へ 1 2 3 次へ
  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ