- 2023.11.15
- サイバーセキュリティ
具体的な攻撃シナリオ
セキュリティに課題を抱える企業を対象に独自のセキュリティサービスを提供されている、株式会社CISO 代表取締役 那須慎二様によるセキュリティコラム第6回。今回は、具体的な攻撃シナリオについてご説明いただきます。
前回の記事は以下よりご確認いただけます。
具体的な攻撃シナリオ【セキュリティコラム第6回】
前回は攻撃者の侵入経路について見ていきましたが、今回は具体的な攻撃シナリオについて説明していきます。
具体的な攻撃シナリオを説明するに当たって、初めにサイバー攻撃のビジネスモデル化に触れておく必要があります。
サイバー攻撃がビジネスモデルとして成立するためには、攻撃が成功することによって何かしらの金銭的な収益が生まれなくてはいけません。
サイバー攻撃で金銭を巻き上げる方法としては
・インターネットバンキングの不正送金
・暗号資産窃取を目的にした攻撃
・PCウィルス感染詐欺
・ランサムウェア
等があります。
インターネットバンキングの不正送金
インターネットバンキングの不正送金は、2023年で既に過去最悪の状況を辿っており、上半期で既に約30億円もの被害に。この被害額は、過去最悪の被害となった2015年の被害(30.7億円)をわずか半年で同水準になるというペース。このまま行くと60億円という最悪の状況になってしまう可能性があるほどに深刻です。
攻撃手法は至ってシンプルで、メールやSMS(スマホのショートメッセージ)を使ったフィッシングを用います。
攻撃のシナリオとしては以下の通りです。
①攻撃者が銀行の偽サイトを作成。本物のサイトをクローンするため見分けがつきにくい
②攻撃者が偽のフィッシングメール文章を作る
③予め取得していたメールアドレスや、スマホの電話番号にフィッシングメールを送る
④店番号や口座番号、ログインパスワードを入力させる
⑤ワンタイムパスワードが必要なものは、別途ワンタイムパスワードを入力させる
銀行がSMSやメールのURLをクリックさせて対応を促すようなことは行いません。
以下のようなことを参考にご注意ください。
・専用のアプリを利用する
・専用のPC端末を利用する
・正規のURL(予め登録したURL)からログインを行う
暗号資産窃取を目的にした攻撃
暗号資産窃取を目的にした攻撃は、主に「利用者からの窃取を狙う」「暗号資産取り扱い事業者を狙う」「端末を乗っ取り暗号資産採掘に協力させる(クリプトマイニング)」の三種類に分類されます。
「利用者からの窃取を狙う」攻撃は、暗号資産取引所のフィッシングサイトURLを送りつける、銀行の攻撃手法と似たような攻撃です。メール経由での攻撃にはくれぐれもご注意ください。
「暗号資産取り扱い事業者を狙う」場合は、暗号資産取引所を運営している事業者や、ゲーム内で遊んだ分が暗号資産に換金されるアプリ(NFTゲーム)運営事業者を狙った攻撃です。
素早く換金ができるようにとインターネットからのアクセスが可能な状態にした「ホットウォレット」に保存されている暗号資産がごっそりと持っていかれるリスクと常に向き合わないといけません。
攻撃者のシナリオ
暗号資産取引所の運営事業者やNFTゲーム運営事業者を狙う攻撃者のシナリオはいくつも存在しますが、一つの攻撃パターンとして以下のようなものがあります。
①SNS(FacebookやLinkedin等)で繋がる
②時間をかけて関係構築を行う
③-1 関係構築ができた時点で、メールアドレスを聞き、アドレスを入手する
③-2 入手したアドレスに対し、マルウェアつきメールを送る
③'-1 SNSツールから個別メッセージを送る
③'-2 URLリンクをクリックをするよう促す
④端末をマルウェア感染させ、遠隔操作ツールをダウンロードする
⑤遠隔操作に成功したら、ネットワーク環境を隈無く調査し、ホットウォレットを探す
⑥秘密鍵を探して入手する
⑦不正送金を実行し、暗号資産を盗み取る
このように、初期アクセスとしてはPC端末を乗っ取ることを目的とし、金銭窃取に至るまでの流れをシナリオ化していると想定されます。
PCウィルス感染詐欺
PCウィルス感染詐欺とは、ブラウザ画面上に「あなたの端末はウィルスに感染しました。至急サポートセンターに連絡してください」と不快な音声と共に突如表示させ、驚いて電話をしてきた人からAppleギフトカードやV-プリカのようなコンビニで購入できる決済手段のIDを入手する方法です。
この場合は、例えば以下のようなシナリオによって金銭窃取を試みます。
①PCウィルス感染詐欺サイトを準備する
②Google検索の広告枠(PPC広告)を買い取り、特定のキーワードを上位表示させる
キーワード例:Amazon、Adobeなど
③広告キーワードをクリックしてきた端末のブラウザ上に「あなたのPCはトロイの木馬ウィルスに感染しました。マイクロソフトサポートセンターへ連絡してください。」
と、明記してある偽サポートセンターへ連絡させる
④電話越しでオペレーター(日本語を喋れる外国人)から、市販されているリモート操作ツールのインストールをするよう誘導される
⑤遠隔操作でコマンドプロンプト画面を表示させ、Treeコマンドを走らせ、「今、診断しています」などと伝えられる。画面上で何かが動いていると勘違いさせる
⑥ウィルス感染しており、このままだと個人情報やクレジットカード情報、ネットバンキング情報が盗まれると脅す
⑦解決方法として、マイクロソフトサポートの加入が必要と伝え、サポート加入料をメモ帳等に入力し、金額を明示する。サポート金額としては5万円〜12万円程度
⑧コンビニでAppleギフトカードやV-プリカを購入してくるように促す。コンビニの店員に目的を聞かれた場合に、自分のためと言え、という言葉も添える
⑨Appleギフトカードや V-プリカ等に表示されている番号をメモ帳に入力するように指示。番号=金銭的価値のあるものを窃取して終了
サイバー攻撃、というよりも特殊詐欺の手口をサイバー空間で応用しているものです。
このような画面が表示された場合は、焦らずにブラウザを閉じ、念のためにウィルス対策ソフトでウィルススキャンをかけましょう。
ランサムウェアの攻撃シナリオについては、次回のコラムにて詳しく説明いたします。
セキュリティコラムトピック一覧
本コラム連載の掲載トピック一覧は以下のとおりです。ぜひご期待ください。
<掲載済>
【第1回】どうなる?2023年以降のサイバー攻撃情勢予測
【第2回】DXの発展とセキュリティリスク
【第3回】Web3.0の発展とセキュリティリスク
【第4回】Chat GPTの利用に伴うセキュリティリスク
【第5回】攻撃者の侵⼊経路
【第6回】具体的な攻撃シナリオ(今回)
<掲載予定>
【第7回】特に気をつけてほしいサイバー攻撃(ランサムウェア)
【第8回】特に気をつけてほしいサイバー攻撃(Emotet)
【第9回】セキュリティエンジニアに必須となる「ネットワーク」基礎知識その1
【第10回】セキュリティエンジニアに必須となる「ネットワーク」基礎知識その2
※内容は変更の可能性がございます。
筆者紹介
那須 慎二(なす しんじ)
株式会社CISO 代表取締役
国内大手情報機器メーカーにてインフラ系SE経験後、国内大手経営コンサルティングファームにて中堅・中小企業を対象とした経営コンサルティング、サイバーセキュリティ・情報セキュリティ体制構築コンサルティングを行う。
2018年7月に株式会社CISO 代表取締役に就任。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、長年の知見に基づく独自のセキュリティサービス(特許取得 特許第7360101号)を提供している。
業界団体、公的団体、大手通信メーカー、大手保険会社、金融(銀行・信金)、DX関連など業界問わず幅広く講演・執筆多数。近著に「知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)」あり。
