サイバー攻撃の手口がより巧妙化、多様化 NTTデータ：「働き方改革、DXに付け入る攻撃に注意」

NTTデータはサイバーセキュリティのグローバル動向に関する四半期レポート（2019年10〜12月）を公開した。サイバー攻撃の手口がより巧妙化・多様化する傾向にある。クラウドサービスのアカウントの乗っ取りを狙う攻撃が増加すると予測しており、注意を促している。

[＠IT]

　NTTデータは2020年2月28日、サイバーセキュリティのグローバル動向に関する四半期レポート（2019年10〜12月）を公開した。ニュースリリースやWebサイト、新聞、雑誌などで公開された情報に基づいて、同社がサイバーセキュリティの動向を分析した。

Emotetの被害が継続、Office 365のOAuth脆弱性

　2019年10〜12月期のレポートでは、Microsoftの「Office 365」が採用しているアクセス権限を認可するための標準フレームワーク「OAuth」や、従業員の内部不正、POSシステムへの攻撃などが取り上げられた。

　NTTデータは「サイバー攻撃の手口がより巧妙化・多様化する傾向にある」と分析している。特に猛威を振るったマルウェア「Emotet」については、今後も被害が継続するとみている。NTTデータは「ユーザーにとって利便性の高いクラウドサービスは、攻撃者にとっても効率が良い環境だ」と指摘する。同社はクラウドサービスのアカウントの乗っ取りを狙う攻撃が増加すると予測しており、注意を促している。

　まず、Office 365のOAuthについては、その脆弱（ぜいじゃく）性を突いてOffice 365のアカウント乗っ取りを狙うフィッシングキャンペーンが展開された。OAuthやSAML（Security Assertion Markup Language）といったユーザー認証に関するプロトコルを使ったサービス連携は利便性が高いが、悪用された場合の被害は大きい。NTTデータは、クラウドを利用する企業のクラウドサービス管理者に対して、適切なセキュリティ設定を実施したり、クラウドサービスが連携しているアプリケーションのリストを定期的に確認したりするよう注意を促している。

新しいフィッシングメールの手口（出典：NTTデータ）

内部不正への対策が不十分な点も

　次に、従業員の内部不正については、神奈川県庁の行政文書が含まれるHDDがネットオークションで転売された事件や、トレンドマイクロの従業員が不正に持ち出した個人顧客の情報をブラックマーケットで売り、攻撃に悪用された事件が例として挙げられている。いずれも、セキュリティ専門企業での内部不正事件で、セキュリティ対策が実施されていた。

　ただし、NTTデータは次のように指摘する。

　「内部不正への対策が不十分で、運用に不適切な部分があった。内部不正を想定してリスクを分析したセキュリティ対策を立案して導入し、適切に運用することが必要だ」

　一方、POSシステムへの攻撃は米国の事例だ。POSシステムへの攻撃によって、クレジットカード情報が漏えいした。クレジットカードでは、磁気ストライプ決済から、ICチップによる決済に移行が進んでいるが、この移行が進んでいない業界が特に狙われた。