スロバキアのセキュリティ企業ESETのCRO(ウイルスラボ総責任者) ユライ・マルホ氏に、インターネットバンキング利用者を狙う攻撃や、IoTセキュリティに関して聞いた。
2015年12月初頭から、いわゆる「vvvウイルス」などの「ランサムウェア」が日本国内でも大きな話題となっている。しかし、同時に忘れてはならないのが、「フィッシング」や「バンキングマルウェア」といったインターネットバンキングを狙う脅威、そしてIoTを取り巻くセキュリティリスクだ。
そこで本稿では、スロバキアのセキュリティ企業ESETのCRO(ウイルスラボ総責任者) ユライ・マルホ氏に、インターネットバンキング利用者を狙う攻撃、特にバンキングマルウェアについてと、IoTセキュリティにまつわる現状、今後について聞いた。
編集部 近年、バンキングマルウェアを用いた攻撃が増加している背景には、どのような状況があるのでしょうか。
マルホ氏 まず、この種の攻撃が登場したのは決して最近のことではありません。グローバルでは遅くとも2006年にはバンキングマルウェアが観測されていました。近年になって日本に対する攻撃が頻発したために、インターネットバンキングを狙う攻撃が増加していると錯覚してしまうのかもしれませんが、それは事実ではありません。
それを踏まえた上で、攻撃者がインターネットバンキングを狙う理由ですが、彼らはさまざまな組織をターゲットに、日々いろいろな方法で攻撃を仕掛けています。そして、その中で最もうまくいく攻撃、つまり最大の“収益”を得られる攻撃を探っているのです。インターネットバンキングを狙う攻撃は、現在こうした「最もうまくいく攻撃」の一つだということでしょう。
編集部 攻撃者はどのようなプロセスでターゲットを選ぶのでしょうか。
マルホ氏 彼らは初めにWebサイトなどからPCをバンキングマルウェアに感染させ、インターネットバンキング画面のスクリーンショットを取得するなどの方法で口座の残高情報をつかみます。それで十分な残高があると分かれば、そのターゲットに対して攻撃を実行します。ロシアなどでは実際にこの方法によって被害に遭った法人があります。
ここで注意すべきなのは、インターネットバンキングで取引を行わなくても、サービスにログインし、残高を表示しただけでターゲットにされる可能性があるということです。取引のトランザクションだけでなく、ログインの段階から保護することが重要になります。
編集部 バンキングマルウェア自体に変化はありますか?
マルホ氏 2015年に日本で拡散したマルウェア「Brolux.A」などは、偽画面によって情報を盗み取ろうとするある意味素朴な手法を用いるものでしたが、最近では、取引の発生時に入金先を別口座に変更してしまうようなより高度なマルウェアも出現しています。攻撃者は攻撃によって得られる“実入り”に従って、これらの攻撃手法を使い分けています。
編集部 ESETが2015年に発表した資料(参考リンク)によれば、米国やオーストラリア、インドネシアに比べて日本はバンキングマルウェアによる被害件数が少ないようですが、これにはどのような理由があるのでしょうか。
マルホ氏 言語が防壁となっているのでしょう。攻撃者は効率を重視しますので、できるだけ少ない労力で大きなリターンを得ようと考えます。多くのバンキングマルウェアは英語環境を対象に作られていますから、翻訳が不要な英語圏の国々がターゲットになりやすいのでしょう。また、攻撃の効率という点でいえば、似たような防御システムを採用している組織群がまとめてターゲットにされやすいという傾向もあります。これはMac OSよりもWindowsの方が攻撃されやすいのと同じことです。
編集部 日本に対するバンキングマルウェア攻撃は他国からのものが多いようですが、どういった理由があるのでしょうか。
マルホ氏 以前、ロシアの犯罪集団「Carberp」がロシア国内の銀行を狙った攻撃を行い、1500万ドルを窃取したことがありましたが、最後は簡単に身元がばれて逮捕されてしまいました。彼らが犯した最大の過ちは、自分たちと同じ国の銀行を狙ったことです。日本を攻撃する海外の攻撃者たちも、同様のリスクを懸念しているのでしょう。
編集部 サイバー攻撃全般に関して、ここ数年で見られる傾向などはありますか?
マルホ氏 大きな傾向としていえるのは、大勢を無差別に狙うような攻撃が減ってきており、特定のグループをターゲットにした攻撃が増えているということです。セキュリティ製品の進歩もあって、汎用的なマルウェアを使った大掛かりな攻撃は捕捉されやすくなっています。そこで攻撃者側も、攻撃に気付かれずに収益を上げるためには、ターゲットを絞り込み、限られたリソースを集中的に投入しなければならないと考えるようになったのでしょう。ビジネスと同じことです。
また、これは最近に限った話ではありませんが、相変わらず攻撃/防御側のいたちごっこは続いています。最近ではモバイル端末などを使った多要素認証が登場していますが、攻撃者もIDやパスワード、口座番号などの情報だけでなく、これらの認証情報を窃取しようと狙っています。当然、われわれセキュリティベンダーもこうした攻撃者の動きに対処しています。
編集部 最近、エンドポイントセキュリティの重要性がセキュリティベンダーによって強調されている印象がありますが、エンドポイント/ゲートウェイのセキュリティ対策に関しては、それぞれどのような考えをお持ちですか。
マルホ氏 エンドポイントとゲートウェイのセキュリティにはそれぞれ一長一短があると思います。ゲートウェイの短所は暗号化されたデータの中身が見えないことです。一方、エンドポイントではデータは復号されているので、中身を見てアクションをとることができます。従って、フィッシングなどに対してはエンドポイントセキュリティが有効です。ただし、エンドポイントのセキュリティ製品は、IoTで使われるような低スペックの端末にはインストールできないという弱点もあります。やはり多層防御が重要だということでしょう。
Copyright © ITmedia, Inc. All Rights Reserved.