Cloudmark is now part of Proofpoint. Learn More

About Proofpoint

Cloudmark 2014Global Threat Report(グローバル脅威レポート)

違法バイアグラ®

イントロダクション

Cloudmarkは、スパマーが販売した違法[1]バイアグラ®のサンプルの科学分析を依頼しました。これらのサンプルには真正品と同様の有効成分も含まれていましたが、品質管理体制が甘い中で製造され、処方、服用に際しての助言や健康に対する注意事項もなく販売されていたことが分析結果で示されています。これは、購入者の健康に深刻な問題を起こしかねません。

背景

Cloudmarkは、[2]Eメールスパムが宣伝活動を行っている3つの異なるドラッグストアのオンラインショップからバイアグラ®を取り寄せました。 しかし、3つのうち2つは、ウェブサイトのデザインこそ違えど販売元は同じ組織で、重複した注文の取消を希望するかどうかを問い合わせる通知を受け取りました。これは違法ドラッグストアが、アフィリエイトのネットワークを運営しており、スパムとウェブサイトは異なるアフィリエイトが作成したためと考えられます。この種のアフィリエイトによるネットワークは、スパムを悪用する企業の間ではよく見られます。サイバー犯罪者はこのネットワークに属することで、「スパムの送信」または「違法商品の注文への対応」のいずれかを専業にすることができ、「注文への対応」に携わる組織は、「スパムの送信」に関する一切の責任を否定することができます。

3つのサイトはいずれもバイアグラ®を販売していると主張していましたが、手続きが進んだある時点で、3つともジェネリック品を販売していることを示唆してきました。米国では、勃起障害の治療に用いられる成分、クエン酸シルデナフィルの使用に関する特許をPfizerが保有しています。Pfizerが保有していた同様の特許は、カナダでは2012年に無効になりました。つまりカナダでは、米国と異なり、この薬のジェネリック品が合法化されています。カナダ’では、ジェネリック品が合法化されているだけではなく、処方薬の価格や医療サービスの料金が安いという評判もあるので、3つのウェブサイトのすべてが“カナダのドラッグストア”を名乗っているのかもしれません。実際は、これらのウェブサイトの背景にあるロシアや東欧に拠点を持つ組織が[3],インドや中国から医薬品を出荷していると考えられます。

カナダブランドの違法ドラッグストア
カナダブランドの違法ドラッグストア

我々が注文した商品は両方とも、インドから出荷されていました。そのうちひとつはCombitic Global Caplet Pvt. Ltd.という企業のもので、同社のウェブサイトによると[4],中国から大量に医薬品を輸入し、梱包してアフガニスタンやリビア等の他国に輸出しているインド企業とのことです。米国は、同社が事業展開する地域のリストには含まれていませんでした。商品は、Combitic Global Capletが工場を持つSonipatから25マイル未満に位置する、インド、ニューデリーのChuna Mandiという場所から出荷されていました。2つ目のパッケージは、インドのグジャラートにあるCenturion Laboratoriesが製造し、インドのマハーラーシュトラ州のGhevarsha Internationalが出荷した薬のように見受けられます。インドは1972年から2005年までの間、医薬品の特許を承認していませんでした。2005年は、Pfizerが勃起不全の治療薬としてクエン酸シルデナフィルの特許を登録してから3年経っていたので、バイアグラ;reg;のジェネリックは、インドでは合法でした。現行法では旧来の特許の一部が承認されていますが、どうやらバイアグラ®には適用されていないようで、インドの医薬品メーカーはクエン酸シルデナフィルの製造を続けています。Centurion Laboratoriesのウェブサイトでも、同社の目玉商品のひとつとして紹介されています。[5]

Cenforceというブランド名で販売されている偽ジェネリックバイアグラ®
Cenforceというブランド名で販売されている偽ジェネリックバイアグラ®

それらの錠剤は気泡シートパック入りの封筒で出荷されてきました。箱には入っておらず、包装もありません。両方の気泡シートパックに、ブランド名の他、“用法・用量:医師の指示を守り服用してください” 、という印字がありました。Combitic Global Capletのパッケージにも、“注意:泌尿器科/精神科/内分泌科/皮膚科/性感染症の専門医の処方に基づいて小売販売を行うこと”と記入されていました。注文時、処方箋の有無が確認されることはありませんでした。

ジェネリックバイアグラ®には効用があるかもしれませんが、深刻な健康リスクを及ぼすおそれもあります

それらの錠剤は、形こそPfizer’がバイアグラ®として商標登録している丸みのあるダイアモンド型の青い錠剤を模していましたが、Combitic Global Capletの方が真正品よりも丸みがありました。いずれのパッケージにも健康に対する注意事項は全く記載されていませんでした。バイアグラ®が公式に出している健康に対する注意事項 [6]は数ページにも及ぶもので、他の薬物との併用で発生し得る相互作用や、クエン酸シルデナフィルの使用が危険を及ぼしかねない健康状態についての注意事項が記載されています。

Nizagaraというブランド名で販売されている偽ジェネリックバイアグラ®
Nizagaraというブランド名で販売されている偽ジェネリックバイアグラ®

それらの錠剤のサンプルを、質量分析その他の検査のために研究所に送りました。結果報告書にはどのような薬剤成分がどの程度の割合で含まれているかが示されていました。正確な服用量や非活性成分の一部については報告がありませんでした。両方の錠剤に、バイアグラ®の有効成分であるクエン酸シルデナフィルが含まれていました。Centurion Labsの錠剤には、パルチミン酸、ステアリン酸およびフタル酸エステルが含まれ、Combitic Global Capletの錠剤にはステアリン酸、ジクロフェナク、パルチミン酸、微量のアセトアミノフェン(タイレノール)が含まれていました。ステアリン酸とパルチミン酸は、クエン酸シルデナフィルの苦みを隠すために使われます[7]フタル酸類は、バイアグラ®等のPDE5阻害薬では水溶性キャリアとして用いられます[8]ジクロフェナクは抗炎症鎮痛剤です。ジクロフェナクとアセトアミノフェンは、製造プロセスの前工程の残留物と考えられ、この種の薬剤にアレルギーを持つ人が服用すると問題を起こしかねません。皮肉なことに、ジクロフェナクはまれに勃起障害を起こすおそれがあると示唆している研究結果もあります。[9]

一方のサンプルは、無関係な薬剤を含んでいたため、適切な品質管理が行われない中で製造されたものと考えられます。加えて、どちらのサンプルも、医師の指示や健康リスクに関する注意書きもなく配達されてきました。それゆえ我々は、スパム宣伝活動を行うドラッグストアで注文することは、重大な医学的リスクを発現することになりかねないと考え、このような店舗で注文しないよう強く勧めます。しかし消費者の中には、正規品を購入する余裕がなく’、違法ドラッグを買う以外の道はほとんどないと感じている人もいます。ある調査によると、[10]違法サイトで米国内から注文がなされた薬剤の33%は、勃起障害ではなく他の疾病の治療薬だったようです。米国では、カナダを始めとする他の多くの国々に比べて処方薬の価格がはるかに高額です。米国の消費者がカナダの合法ドラッグストアからの購入を法律によって禁止されている限り、薬の保険補償を持たない人にとっては、無免許でも‘カナダの’ドラッグストアからの購入に魅力を感じることになります。この政策は、違法ドラッグストアによるスパムの発生を促すことになり、消費者をいたずらに医学的リスクにさらすものです。

米国における偽造品 Pioneer iMessageスパム

2014年には、 Apple’の無料サービスであるiMessageを使った初めての大規模スパムキャンペーンがGSMA’のスパム報告サービスに報告されました。偽ブランド品の広告がiMessageを利用して、AppleのiPhoneや関連デスクトップのOSに直接送られました。この年の後半、Cloudmarkは、この新手のスパムにおいてスパマーが用いている手法やテクニックに関する調査を開始しました。

このキャンペーンは、スパムキャンペーンにおいて昔からおなじみの主力商品である — 大幅にディスカウントされたブランド品のセールでした。これは、OakleyやRay-Banのサングラス、Michael Korsのハンドバッグのセールで始まり、被害者をおびき寄せる餌と考えるのが妥当に思われました。被害者に貴重なクレジットカード情報や個人情報の入力を促し、それらは闇市場で転売されかねないのです。しかしながら、加害者はクレジットカード泥棒ではなかったのです。商品は、本当に顧客に向けて出荷されました。

あいにく、その商品は正規のブランド品ではありませんでした’。受け取った商品はどうみても偽物で、安っぽい模造レザーや粗悪なメッキのバックルを使用し、中国語のラベルも付いていました。以下は、そのようなバッグの一つで、品質のレベルや欠如を示しています:

中国語の刻印があるボタンで留める、いい加減にメッキされた金具:Dan Conway提供
中国語の刻印があるボタンで留める、いい加減にメッキされた金具:Dan Conway提供

偽ブランド品は、違法バイアグラ®がもたらしかねない健康上の問題に比べると危険性はかなり低いものですが、その割引価格に騙された米国の一定の携帯電話加入者にとっては問題を起こし始めています。この手のスパムに関する消費者の苦情から、被害額はおおむね50ドルから100ドルの間で、偽物の購入に200ドル以上の金額を支払った人もいることが分かります。残念なことに、被害者の多くは、いかがわしい店で購入する商品の品質が粗悪であることをほとんど意識していなかったことが明らかです。多くは返金を要求しましたが、補償を受けた人は一人もいませんでした。

図 1:米国におけるオークション/セールサイト関連のモバイルスパム、2014年の月別データ

サングラスやハンドバッグの出品なので、この手のスパムが5月と6月 — 夏にピークに達したのは、スパマー’の米国の標的にとっては驚くべきこと’ ではありません。その2ヶ月間に米国で報告されたSMSのスパムのうち40%超が、iPhoneユーザーに送られた偽物サングラスや偽物ハンドバッグの斡旋メールでした。夏の数ヶ月間にスパムiMessageを通じてこのキャンペーンが大々的に展開された後、9月には数が急減しました。割合でみると、この形式のスパムは件数の減少以降も一定の水準を保っているかのように見えますが、それは事実ではありません。

iMessageを利用したこのスパムは、それから年末まで’着実に増加を続け、数量ベースでは9月から12月にかけて4倍に増加しました。しかしながらこの増加数は、他のSMSスパムや詐欺に比べて見劣りし、割合的には、2014年の最後の数ヵ月に米国で発生したすべてのSMSスパムに対するiMessageやオークションサイトのスパムは、5–7%にとどまっています。

弁護士チームの取り組み

Greer, Burns & Crain, Ltd.(GBC)の弁護士チームは、今回の偽造品の販売急増の背後にある仮想市場の運営に使われていた関連ウェブサイトの閉鎖に、完全なる臨戦態勢で対応しました。スパマーが合法的なサイトをハッキングしそこに移動して市場を開設しても、この弁護士チームはスパム初期の数日内に感染サイトを割り出して閉鎖し、目覚しい手腕を発揮しました。フィッシング対策グループの中には数時間内にサイトを削除する能力を持つグループと数分内にそれを実行できるグループがありますが、これらの2グループを取り巻く状況の厳しさや法的プロセスには劇的な差があることに留意すべきです。

販売元の調査をさらに進めると、これらのバッグやサングラスを取り扱う業者のアカウントは、スパムの手法と偽造品の多様なポートフォリオに関わっていることが分かりました。たとえば、このようなアカウントの一つは、iMessage以外のチャネルの別のスパムキャンペーンで宣伝活動を行っていた[11]偽造時計の販売計画にも関与しています。我々の保有する資料を、現在GBCの管理下にあるドメインの公開リストと相互参照すると、GBCが、Michael Kors、Luxottica(Ray-BanやOakleyをはじめとする多数のサングラスの人気ブランドのメーカー)、 Burberry、Bulgari、さらにはLVMHグループの複数のブランド等、多くの高級ブランドの防御に成功していることが分かります。

多数存在するMichael Korsの偽サイトのひとつ
多数存在するMichael Korsの偽サイトのひとつ

2012年、GBCはUggブランドを展開するブーツメーカー、Deckers Outdoor [12],を代理して、200百万ドルの賠償を得る画期的な判決を勝ち取りました。GBCはさらにDeckersの弁護人として、スパマーが偽造フットウェアの販売に用いていた12,800ものドメインの差し押さえも実現しました。今年11月、iMessageを用いるスパマーが最新ブランドとしてUggブーツの偽造品のあっせんを始めたようです。これが先のスパマーと同じ偽造者グループかどうかは現段階では分かっていませんが、Uggブランドが強力な法的保護を受けているにもかかわらず攻撃対象となっているのは興味深い’と言えます。

このような衣装をシャットダウンする際の最大の問題は、中国、インドなどの知的財産権の執行が遅い類似の国々からこれらの業務が尽きることである。このキャンペーンを調査したところ、上海とその周辺地域からこの特定の運営がなくなったことが明らかになりました。

このような業者たちを封じ込める上で一つの最大の課題は、中国やインドなどの知的財産法制の施行が厳格ではない国々を拠点にオペレーションが行われていることでしょう。我々がこのキャンペーンについて調査したところ、問題のオペレーションは上海とその周辺地域を拠点に行われていたことが明らかになりました。

同様に、スパムiMessageの送信に使われていた当初のEメールアドレスの多くは、中国で非常に人気のある複数のウェブメールサイトのものでした。ピーク時には、スパムiMessageの送信に使われていたEメールアドレスの59%が中国のEメールに関係するアカウントのものでした。しかしながら、昨今のように’ 密接につながりあう世界においては、加害者が中国と無関係である可能性も捨てきれません。この手の犯罪を犯す個人あるいはグループが、地球上のどこかで細部にわたる指令を出しながら中国から商品を出荷する外国人である可能性も十分にあります。

インドのWhatsAppとは?OTTに移行するスパマー

スパムEメールと同様に事実上無料でスパムを送信するiMessageのようなOTTサービスに移行しているのは、中国の偽造業者だけでは’ありません。インドのモバイルスパマーは、インターネットを介して通話やテキストメッセージの送信ができるWhatsAppのようなOTTアプリケーションに移行し、インド’の携帯電話事業者が最近強化しているメッセージング・セキュリティを回避しています。[13]

この動き以前にも、インドの携帯電話ユーザーは、ひとり1日あたり20通を超えるスパムテキストメッセージを受信していました。インドにおける携帯電話事業者の監督機関であるTelecom Regulatory Authority of India(TRAI)がこれを受けて、この侵入型不正利用を止めるための対策を始めています。

まずは、SMSを介して送信される公認の宣伝メールを規制する厳格なポリシーを導入しました。インドのDo-Not-Disturbリストに登録されている利用者に勧誘を行った違反者に対しては、罰金を科し、最終的には営業停止にしました。ところがこれは、回避するのが簡単でした。スパマーは、公認の宣伝サービスを使わずに、通常のユーザー向けの激安で無制限の使用が可能なSMSパッケージ(Person-to-personまたはP2Pトラフィックとして知られるサービス)を使ったのです。目に余るP2P SMSの不正利用に応えて、TRAIは、スパム報告サービスを立ち上げ、迷惑なメッセージや電話に関する携帯電話ユーザーからの報告を可能にしました。最近では、すべてのMNOに対し、シグネチャベースのインテリジェントなコンテンツフィルタを用いて自社ネットワーク内から送信されたスパムメッセージをブロックすることが求められています。

そのため事業者は、スパム電話やスパムテキストメッセージを加入者に向けて送発信した場合、莫大な金額の罰金が科せられるようになりました。この金銭的動機付により、インドの携帯電話事業者は、無用な罰金の支払いを避けるためにサービスの不正利用を防ぐ対策を実行に移しました。インドの携帯電話事業者の上位4社のうち1社は、こうした変革のおかげで、TRAI’のスパム報告サービスに報告されるスパム関連の苦情の数が99.3%も減少しました。

結果として、モバイル環境では迷惑広告メッセージを送信するのが非常に難しくなっています。多くのスパマーは、SMSのスパム利用を諦め、迷惑スパムを防止するコントロールやフィルタの設定が格段に少ないOTTサービスへと移行しています。中には、相変わらずSMS経由のコンテンツ拡散にこだわり遅れを取っている業者もありますが、ソースの難読化という労力に加え、メッセージを変更するスピードも要求される’ことから、OTTのような優れたサービスへの移行が進んでいます:

lpca登録に関するスパムテキストメッセージの例不動産に関するスパムテキストメッセージの例

2014年のSMS全般の傾向

英国

英国では、2013年から2014年にかけて、SMSを取り巻く状況にほとんど変化がありませんでした。この国でSMSを利用して送信される主なスパムは、給料日ローンの広告であり、両年とも報告されたすべての事例の半数近くを占めています。2013年下半期、英国の給料日ローンセクターの詐取体質に、規制当局が切り込んで[4]2014年末までに同セクターの迷惑SMSを根絶するか、少なくとも送信量を縮小できることが予測されていました。しかしながら2014年は、給料日ローン業者の上位50社のうち19社が市場から撤退したにもかかわらず、同ローンのスパムレベルは、現実では予測に反して高くなったのです。

図2:2013年と2014年に英国で上位となったSMSスパムamp; 詐欺

英国’のプライバシー監視機関(Information Commissioners Office: ICO)の場合、スパマーに対して法的措置を講じています。英国の携帯電話の加入者からの7726番への報告を受け、2014年にはICOが先導してスパム業者への立ち入り調査を複数回実行しました。これまで最も効果的だった立ち入り調査は、ウェールズのラネリでクレーム処理を行うコールセンターの閉鎖だったと考えられます。このコールセンターは、イギリス国内で何百万通もの迷惑SMSメッセージを送信していました。8月末の数日間に警察が数名を逮捕したところ、翌9月には、スパム送信量が40%減少していました。あいにく、すべての対策がこれほど奏功したわけではなく、2014年前半にウォルヴァーハンプトンで実行された同様の立ち入り調査は、実行後の数週間こそわずかに沈静化を見たものの、英国の多量のスパムに対する持続的効果につながるものではありませんでした。

アメリカ合衆国

先述のとおり、2014年の米国のモバイルスパムは、夏季の数ヶ月間でiMessageによるオークションやセールサイトの数が一位になり頂点を極めましたが、通年では、銀行口座のフィッシング詐欺が圧倒的な多数を占めました。2014年に報告された迷惑SMSメッセージの実に4分の1を越す件数が、被害者’の個人情報や金融情報を盗み取ろうと送られたものでした。

図3:2013年と2014年に米国で上位となったSMSスパムと詐欺

年の変り目には、モバイルフィッシング攻撃は、被害者の’プリペイド・デビットカードの詳細情報を盗み取ることに最も集中していました。素早く現金をかすめ取れるこれらの攻撃は、1月にはすべてのフィッシング攻撃の54%を占めていました。こうした攻撃はデビットカードを使う2種類の人々、(たいていは)低所得の税還付の受領者、そして児童手当の受領者を狙い撃ちにしたものです。

2014年の年明け時点で、Wells FargoやBank of Americaといった大手金融機関を装うフィッシングメッセージの割合は非常に少なく、およそ3%程度にとどまりました。大手銀行は強大な詐欺対策の部門を擁し、莫大なリソースを投入しているため、こうした低い割合は予想しがたい’ものではありませんでした。一方、大手銀行よりは規模の小さいデビットカード発行会社は、強力な詐欺対策を講じている可能性は低く、詐欺を防止するモチベーションも高くないと考えられます。なぜならカード情報を盗まれたとしても、詐取される資金は被害者がすでに入金したものであり、銀行が損害を負うわけではないためです。

しかしながら、この傾向は、同年末までに変わりました。攻撃者はWells Fargo、Chase、Bank of America等の全米展開する大手金融機関を装うようになったのです。標的の変更に伴い、戦術も変わりました標的が変わる前のフィッシング攻撃は、口座が凍結された旨の警告をユーザーに発信して、所定の番号に電話して応じるよう求めるだけのものでしたが、数ヶ月後にはSMSフィッシング警告がポップアップするようになり、そこには本物と見まがう銀行’の商標ロゴの付いた偽の回復ページのリンクが貼ってありました。

2014年、米国におけるスパムSMSで、僅差の2位となったのは、抽選で賞品が当たったことを受信者に知らせるスパムで、米国で報告されたスパムテキストメッセージのおよそ4分の1に達しています。この賞品は、無料のチケットに始まり、iPhoneやカリブ海クルーズに至るまで、幅広いものでした。この年は、カリブ海へのいざないを約束する“無料の”クルーズのオファーが大部分を占めました。米国’の第2四半期に送信された、詐欺の賞品当選スパムのうち、無料クルーズのオファーは、70%超となりました。

残念ながら、こうした“無料”クルーズなど存在しません。そもそも、カリブ海クルーズ業者にとって収益源となるタイムシェアの売り込みに続いて、いわゆる無料クルーズにつけこんで儲けようとする者たちが待ち構えています。被害者は、数時間に及ぶセールスプレゼンテーションを経てようやく、そのクルーズが期待どおり無料で参加できるものなどではないことに気づくのです。多くの被害者が、様々な理由をつけて数え切れないほどの手数料を後から課金されたと報告しています。不透明な条件を提示し、疑わしい戦術を駆使する業者については、Better Business Bureauに多数の苦情が寄せられています。

ニュージーランド

ニュージーランドでは英国に似て、モバイルスパム攻撃は、ある単一のキャンペーンが主流となっています。2014年、この国で多くの携帯電話加入者を悩ませたスパムは、かなり一貫性のないナンバー宝くじの当選詐欺で、報告されたすべての事例のおよそ3分の2にのぼりました。このキャンペーンは、賞金総額が85万から250万の間を変動し、通貨もポンドからドルへと変わり、送信者も“World Welfare Grant”を名乗る場合もあれば、Red Bullの偽メールアドレスを使ったりと、随分と一貫性のないものでした。

多くの場合、この手の宝くじ詐欺では、詐欺師たちが手数料やそれに類似する費用をゆすりとることができるように、大金を餌に被害者を誘惑しますが、当選賞金が支払われることは決してありません — 前払い詐欺としても知られています。このような企みは、実際のところ社会規範から逸脱しており、個人情報や銀行口座の詳細を盗み取ることのみを目的としているのではと考えられます。スパムの受信者は、賞金を手にするために指定されたアドレスにEメールを送信するよう求められます。

Red Bullプロモーションを装うスパムテキストメッセージの例

指定されたアドレスにメールを送った被害者の多くの報告によると、返信を受け取ることは一切なかったとのことですが、その一方で1人のユーザーの主張によると、詐欺師が金銭を要求したことも一度もなかっとしています。しかしこれらは、詐欺師にとって、時間を浪費しそうな騙しづらい標的を間引くための簡単な方策であった可能性があります。

図4:2014年のニュージーランドとアルゼンチンで上位となったSMSスパム&と詐欺

アルゼンチン

アルゼンチンの今年のモバイルスパムは、一見して無害そうに見える自動車広告によって推進されたものがほとんどでした。しかしながら、さらに調査を進めると、これは巧妙に組み立てられた前払い金詐欺であることが判明しました。被害者は、広告で約束されたように、燃費効率が低く安価な車両を得られるのではなく、所有権を得る前に様々な手数料や輸入関税の支払いが必要となる車両をプレゼントされていました。ディーラーはその後、濡れ手で粟をつかむように手数料収入を得ることができるように、プロセスの完了を極めて難しいものとします。

中古車詐欺に関するスパムテキストメッセージの例

国別レポート

ナイジェリア

“Nigerian Gold(ナイジェリアの金)” は長らく、スパムの標準的な手口のひとつと認識されてきました。この手の前払い詐欺がナイジェリアを拠点に行われていますが、これらを宣伝するスパムが本当にナイジェリアから直接送信されることはめったにありません。

ナイジェリアの人口は1億7千800万人と、米国の半分を超えています。しかしながら、米国では16億個ものIPv4アドレス(1人当たり5個に相当)が割り当てられているのに対し、ナイジェリアは140万個、すなわち125人に約1個のIPアドレスしか割り当てられていないことになります。ナイジェリアのホスティング会社は、米国に拠点を持つホスティング会社のように、大量のIPアドレスを提供できる境遇にありません。最も簡単なスパムフィルタリングの方法のひとつがIPアドレスをブラックリストに入れることであり、ナイジェリアを拠点とするスパマーは、大量のIPアドレスを入手できないので、スパムの送信に必要なリソースを求めて国外に出ざるを得ないのです。

ナイジェリア国内では、インターネット詐欺師たちはYahoo Boysと呼ばれています。彼らの多くがフリーメールであるYahoo! Mailのアカウントを利用してスパムを送信しているためです。ナイジェリアの詐欺師たちは今でもYahoo! Mailを使用していますが、Yahoo!はここ数年でセキュリティを強化しており、他のウェブメールプロバイダーのフリーアカウントや他のISPのウィルス感染したアカウントが使用され、しばしばSendSafeというスパム送信プログラムによって管理されていることが分かります。メッセージのコンテンツには、金の延べ棒や宝くじの当選金、あるいは所有者不明の相続財産などを提供すると謳う、高度化した手数料詐欺が含まれます。ナイジェリア人詐欺師の中にはネット上の偽ガールフレンド詐欺に特化する者もいます。恋人募集中の独身女性を装い、欧米の男性から金銭的な支援を引き出そうとする詐欺です。

かつてYahoo Boysは、多くの場合、訴追を逃れるために腐敗した政府関係者に賄賂を渡すことができました。[15] しかしながら、ようやくナイジェリア政府は国際的圧力に反応し、サイバー犯罪に立ち向かう取り組みを強化しているように見受けられます。昨年は多数のYahoo Boysが逮捕され[16]今年はインターネット詐欺に科される罰金の金額も引き上げられました[17]米国の取締機関に強く促され、今年は、南アフリカでもナイジェリア人Yahoo Boysがさらに複数名、逮捕されています。[18]

過去2年間でYahoo Boysへの抗戦で順調な進展は見られましたが、おそらくナイジェリア経済が十分に発展するまでは、この問題に終止符が打たれることはないでしょう。現在のナイジェリアでは、知的レベルの高い学生や、テクノロジーに精通した学生は、自らのスキルに値する報酬の仕事が得られないのです。彼らが人並みの生活を送るためには、犯罪に手を染めざるを得ない現状があります。[19]

北朝鮮

Sony Pictures Entertainmentに対するサイバー攻撃は北朝鮮によるものだと安易に断定することはできません。北朝鮮国内でアクティブなワームが外国人ハッカーに対し北朝鮮のコンピューターにアクセスして攻撃を仕掛けることを可能にしているという事実があるためです。

北朝鮮では、インターネットへの接続がかなり制限されています。ISPは同国通信省とタイ’の Loxley Pacificとの合弁会社であるStar JV一社しかありません。[20] Star JVはChina NetcomとIntelsatというネットワーク2社との共同事業でインターネットに接続し、IPアドレスブロックははひとつ(175.45.176.0/22)しか割り当てられていません。このアドレスブロックは1,024個のIPv4アドレスを含んでいますが、人口2400万人の国への割り当てとしては非常に少ないものです。比較のために申し述べると、同数のIPアドレスがCloudmarkにも割り当てられています。

FBI(アメリカ連邦捜査局)は、Sony Pictures Entertainment(SPE)に対するサイバー攻撃の発信源は北朝鮮であると特定しています。 [21]しかしこの主張に懐疑的なリサーチャーもおり、攻撃者が侵入した階層は、会社に恨みを持つ元従業員の犯行であることを示唆しているとしています。[22]SPEへのサイバー攻撃への北朝鮮の関与を否定する理由として、北朝鮮はSonyから盗み出された大量のデータを受信できる処理能力を有していないことを挙げる人もいます。[23]しかしながら、データは北朝鮮以外の場所に盗み出された可能性があります。

FBIは、北朝鮮がSPEへの攻撃に関与したとする証拠の一部として、既知の北朝鮮のインフラに関係する“複数のインターネットプロトコル(IP)アドレスが、今回のサイバー攻撃で”使われていたデータ削除マルウェアにハードコードされていた、複数のIPアドレスと通信を行っていたことを述べています。 しかしながら、北朝鮮のIPアドレスから送信されたEメールを調べると、IPアドレスのうちの一つ、175.45.176.143がスパムを送信しており、ウィルス感染したマシンに典型的な兆候を示していました。アンチスパムの非営利組織、Spamhausが管理するComposite Block List(CBL)で、これが確認されています。2015年1月1日、175.45.176.143はWapomiワームに感染しているIPアドレスとしてCBLに記載されました。このワームは、USBドライブやファイルサーバの共有を通して感染します。このマルウェアにはソフトウェアダウンローダーが含まれており、これを使えば、操作を行う犯罪者はいかなる種類のマルウェアも、被害者’のマシンにダウンロードして操ることが可能になります。

CloudmarkはこのIPアドレスが2014年12月11日にスパムを送信したことを検出しましたが、これまでに犯罪ハッカーの管理下にあった可能性があります。これがFBIが「既知の北朝鮮のインフラ」とみなしているIPアドレスの1つであるかどうかは明らかではない。しかし、FBIが北朝鮮に対する事件の詳細を明らかにするまで、一部の専門家は、正しい。

ブロック済みIPv4アドレス(国別)

Cloudmarkは、2014年12月11日にこのIPアドレスがスパムを送信しているのを検知しましたが、それよりもかなり前から、このIPアドレスはハッカー集団の支配下にあった可能性があります。これが、FBIが“既知の北朝鮮のインフラ”とみなしているIPアドレスのひとつであるかは明らかでは’ありません。しかしながら、FBIがこの北朝鮮に関する事例についてさらに具体的な詳細を公表しない限り、何人かの専門家が、北朝鮮の関与が事実なのかどうか、引き続き疑問視することになるでしょう。

図5:数値が高い国々で2014年にブロックされたIPアドレスの数
図6:その他の国々で2014年にブロックされたIPアドレスの数

この異常値を除いても、昨年全体では、中国と米国の両方でブロックされたIPアドレスの数が、概ね増加傾向にあったと考えられます。これら2ヵ国には、IPv4アドレス空間の大部分が割り当てられているので、 これらの国でIPアドレスを取得するのは、比較的安価で容易です

ルーマニアは長くスパム源として最悪の犯罪国の一つでしたが、2014年後半に大きな改善を見せ、ブラックリスト入りしたIPアドレス数が同年初期のレベルの半分に減少しました。しかし、弊社は依然としてルーマニアの総アドレス空間の13.6%をブロックしており、割合としては最悪の国になっています。その次はパナマで約10%、そして4%のイランが続きます。ベラルーシはこの1年改善を続けており、年初は12%でしたが年末には1%に落ちています。スパマーへの効果的な取組みに対してベラルーシのCERTに感謝の気持ちを述べたいと思います。

図 7: 2014年にCloudmarkがブロックしたIPアドレス空間の割合
図8: 2014年にCloudmarkがブロックしたIPアドレス空間のより低い割合

ランサムウエアー: 成長する脅威

ランサムウエアーは、Windowsユーザーにとって重大で成長する脅威です。長いビットコインが犯罪者に匿名身代金の支払いを続けている限り、ランサムウエアーは継続され他のプラットホームへも拡大するでしょう。

最初の暗号化ベースのランサムウェアは、1989年にジョセフ·ポップが配布したエイズトロイの木馬がでした。暗号としては単純だったものの、1996年までにアダム· L.ヤングとモティヨンという2人の研究者がランサムウェア用の公式重要暗号の使用を提案しました。暗号化技術が高度化する中、このアプローチを使った実世界の攻撃が2005年から始まりました。しかし、この攻撃はまだ弱かったのです。いずれの恐喝形態も金支払われその金の流れを追跡することで犯人を突き止めることが可能でした。しかしビットコインという仮想通貨の出現によりこの状況は変わりました。両端で支払を完全に匿名化することを可能にしたからです。

ビットコインの利用を最初のランサムウェア成功例は、2013年9月に登場したCryptoLockerでした。CryptoLockerはマルウェアパッケージの一部として感染PCに送られました。このパッケージにはオンラインバンキングの認証情報を盗もうとするGame Over/Zeusやボットネットを送信するCutwailスパムが含まれていました。攻撃者が他の手段でPCからすべての価値を取り出そうとした後にのみ、彼らはランサムウェアをオンにしてコンピュータをロックしました。CryptoLockerの攻撃は、セキュリティ研究者や法執行機関が関与する共同作業により 2014年5月に解体されました。マルウェアバンドルは2つのコマンドと制御のメカニズムを使用していました。つまりバックアップ用ドメイン生成アルゴリズムのあるピアツーピアネットワークです。ピアツーピアコンポーネントのバグはそれが引き継がれることを許可し、事前登録やDGAからのすべてのドメインをブラックホール化することで攻撃者がボットネットを制御できないようにしました。

CryptoLockerが戻ってくることはないものの、弊社はランサムウェアを行う他の形態を多く見てきました。CryptoLockerのような搾取の長いプロセスの最終段階というよりは、新たな変種がそれ自体終わりを遂げているのです。最も成功したのはCryptoWallと Torrent Lockerの2つです。それらは、スパムメール、悪意のある広告、水飲み場型攻撃を含む様々な形態を配信します。トレントロッカーは、 ビットトレントとは関係ありませんが、それがビットトレントの一部であるかのようにWindowsレジストリ内の構成情報を偽装します。 CryptoWallの最新バージョンは、コマンドや制御用にTorネットワークを使い CryptoLockerを無効にした攻撃の種類に対してより強力になっています。

セキュリティの専門家は通常、システム全体のバックアップを確実に取るとともに、攻撃を受けても身代金を支払わないようにと助言します。支払えば、さらなる攻撃を招くことになるからです。しかしながら、バックアップを取っている企業であっても、プロセスが成功しない可能性を孕むシステムの回復に時間をかけるより、身代金を支払う方が費用効率が高いとみなす場合が多々あります[25] 取締機関ですら場合によっては、身代金の支払いを決断することがありました。[26]サイバー犯罪者がビットコインベースのランサムウェアを使って成功裏に収益を上げていることが明白であるとすれば、他のプラットフォームにもこれが拡大するであろうと予測されます。モバイル機器を狙うランサムウェアの例がこれまでいくつか確認されていますが[27]クラウドサービス、Mac、企業のネットワークに保管されたデータに対しても、同様の攻撃が起こることが予測されます。

ビットコインは、為替管理の回避、違法ギャンブル、違法ドラッグの購入、そしてこんにちでは恐喝と、主に犯罪目的で使用されています。ビットコインに対する大規模なDDoS攻撃もすでに1件確認されています。これは、トランザクション展性攻撃で、ビットコイン取引会社のMtGoxを破綻させただけでなく、他の企業にも一時的な問題を引き起こしました。[28]ランサムウェアが引き起こす問題は、国家がビットコインの存在を疎み、法律とテクノロジーの合わせ技でこれを完全な破たんに追い込むまで、解決には至らないおそれがあります。

DNS脅威

DNSは、組織の’s ネットワークインフラに必要不可欠なもので、以下を含む重要なサービスを可能にします。:

  • IPアドレス検索に対するドメインネーム
  • 企業に告知’s ドメインネームまたはメールサーバー
  • ドメインを告知’s 送信と認証メールを許可するためのポリシー

しかし、他のほとんどのネットワークコンポーネントとは異なり 、組織のn’sDNSサーバーはモニタリングも少なく セキュリティの脅威に対する保護も少ない傾向がある。これらの脅威は、架空のものではありません。 — Cloudmarkの委託によりVanson Bourne が米国と英国の300人の技術政策決定者に調査した結果、組織の四分の三はDNS攻撃をうけており、(DDoS )(74% )、DNSトンネリング/データの漏えい( 46% ) 、またはハイジャック( 33% )など様々でした。

DNS増幅を使ったDDoS

DNSは、長く分散型サービス妨害(DDoS)を行うためのベクトルーとして使用されてきました。攻撃を仕掛けるには攻撃者は2つの手段に頼ります:

  • 再帰的なDNSを行うオープンDNSリゾルバの収集。通常、これらはデフォルトでDNS検索を行う誤設定のDNSサーバーか加入者宅内機器(CPE)です。
  • スプーフィングされた送信元IPアドレスとDNS要求を送信する能力

攻撃者は、標的’のIPアドレスになりすました送信元アドレスで、大量のDNSリクエストをオープンリゾルバに送り付けます。DNSリクエストは、大量の応答を返すものとして設計されており、所定のドメインネームについて入手可能なすべてのレコード形式を返すANYリクエストか、大量のテキストで応答するTXTリクエストとなる可能性があります。

中間リゾルバは検索を行い、攻撃者ではなく標的に対してレスポンスを送信します。標的に大量のトラフィックのレスポンスが送信されると、通常の通信が妨げられます。これらの攻撃の容量は容易に1秒あたり10ギガバイトに達します。2013年にSpamhausが攻撃された際には75 Gbpsを超えていました。[29]

DNS増幅の概要
DNS増幅の概要

この攻撃は、DNSのリクエストと応答を使っていましたが、その量があまりに大きいので、実際のペイロード・データは重要ではありません。その結果、標的’のDNSサーバに対するDNS増幅攻撃(アンプリフィケーション攻撃)を緩和するのは難しくなりますが、送信元と中間ネットワークに対して取るべき対策があります:

  • ネットワーク事業者は、動作しないローカルネットワークで再帰的なオープンレゾルバにアクセスすることをを許可すべきではありません。
  • ネットワーク事業者は、動作しないローカルネットワークで再帰的なオープンレゾルバにアクセスすることをを許可すべきではありません。
  • ネットワーク事業者’s自身のリゾルバは再帰的な検索を実行するように構成されている場合、やるべきことは以下の通りです:
    • ローカルネットワークからのみ着信するリクエストに対してリゾルバへのアクセスを制限する。
    • DNSの増幅関連する要求およびレート制限応答のフラッドを識別する能力を持っています.

DNSリソース枯渇 別名:Water Torture Attacks(水攻め攻撃)

DNSリソース枯渇は、ウォータートーチャーアタックとしても知られますが、組織’のDNSサーバを攻撃対象に、悪意をもって作成した解決不可能なDNS検索リクエストを大量に浴びせるものです。こうしたリクエストは、2つの場所でDNSインフラに悪影響を及ぼします:DNSリソース枯渇は、ウォータートーチャーアタックとしても知られますが、組織’のDNSサーバを攻撃対象に、悪意をもって作成した解決不可能なDNS検索リクエストを大量に浴びせるものです。こうしたリクエストは、2つの場所でDNSインフラに悪影響を及ぼします:

  • リモートターゲット’sの権威ネームサーバは大量のリクエストを浴びせられます。
  • 中間リゾルバでは、エンドターゲット’の権威ネームサーバがリクエストに応答するための遅延やタイムアウトが発生します。それにより中間リゾルバのネットワーク、CPU、ストレージリソースが消費されます。

攻撃を実行するには、攻撃者がリモートターゲットとそのターゲットが所有するドメイン名を特定します(例えば500sf.com )。攻撃者はその後、感染したマシンのボットネットとオープンレゾルバを使ってそのドメイン名の中でランダム、固有、存在しないサブドメイン(例えば、 kbsruxixqf.www.500sf.com ,adujqzutahyp.www)に対し悪質な検索リクエストをターゲットに大量に浴びせます。

サブドメインは固有かつランダムであるため、中間ネームサーバのキャッシュからのレスポンス取得は不可能で、検索リクエストをリモートの標的’のネームサーバへと送ります。大量の検索リクエストがリモートネームサーバに押し寄せ、タイムアウトを引き起こします。

しかしながら、この大量の検索リクエストは、ウィルス感染したマシンとリモート標的との間のパスにある中間リゾルバの多くのリソースを凍結します。組織’の再帰的ネームサーバがタイムアウトするまで、各検索リクエストは1秒当たり10件アクティブになる可能性があります。

DNSリソース枯渇の概要.
DNSリソース枯渇の概要.

このような攻撃がいかに深刻であるかを理解するために、これらの攻撃のひとつが行われていた30分間の、大手ISPの未解決のDNSリクエスト数を示す’グラフをご覧ください。“未解決のリクエスト”とは、上流の権威ネームサーバからの応答待ちのリクエストを指します。応答を待っている間、タイムアウトまでは検索リクエストがネットワーク接続やキャッシュ空間を停止します。

図9: 2014年5月29日にサンプル搾取した未解決のリクエスト容量

独立軸は時間を示し、従属軸がその時点の未解決検索の数を示しています。人気のあるドメインのライン、残りのライン、および全体のラインがあります。ドメイン500sf.comへの攻撃は、他のすべてのドメインを合わせたより多くのリソースを消費していることがわかります。これは500sf.comクエリがタイムアウトするまでに長い時間がかかるためです。比較のポイントとして、 google.comのリクエストが表示されています。未処理のリクエストの数が500sf.comと同じボリュームのものはどこにもないことがわかります。

このISP’のDNSインフラはそれでもなお読み込みを処理することは可能ですが、未解決のリクエストがネットワークリソースをすべて消費し、正当な検索を阻止するティッピングポイントに到達までに’より多くのインフラを必要とすることはないでしょう。

DNSトンネリング/データの漏えい

DNSに関連するもうひとつの脅威は、組織’のDNSインフラを直接攻撃することはありませんが、DNSトラフィックのセキュリティとモニタリングを悪用して、比較的セキュリティ水準の高いチャネルを回避する脅威です。

DNSトンネリングは、DNSのクエリと応答を利用して、この手段を使わなけれDNSトンネリングは、DNSクエリとレスポンスを利用して、本来であれば不可能な従来型ネットワーク接続を利用してデータを送信するものです。トンネルは、制限されたネットワーク内のクライアントと、権威DNSサーバとして機能するサーバにより構成され、クエリおよびレスポンスの基盤として合意されたドメインネーム(例:dnstunnel.example.com)を使用します。クライアントは、クライアントからサーバへのデータ送信に際し、個別に構成されたDNSリクエストのホストネーム部分(例: .dnstunnel.example.com)を暗号化します。サーバからクライアントへのデータ送信に際しては、サーバはDNSレスポンスのペイロード内のデータを暗号化します

特に悪意のあるDNSトンネリングの使用は、データ情報の漏えいになります。 DNSトンネリング技術を使用すること内部機密情報がローカルネットワークを通過するためにDNSトレリングを使う。

従来型ネットワークコントロールを通過するためにDNSトンネリングを使う
従来型ネットワークコントロールを通過するためにDNSトンネリングを使う

DNSトンネリングを使う理由

DNSトンネリングは、制限されたローカルネットワークからの通信を別の手段で妨げるネットワークトラフィックやアクセスの制限を回避するために使用されます。DNSアクセスは、一般的に入手可能で、制限や監視がほとんどないので効果的な側波帯通信チャンネルです。

企業にとってDNSトンネリングは、不要なポートやプロトコルへのアクセス、企業にとっては、DNSトンネリングにより不要なポートやプロトコルへのアクセス、またはFacebookやYouTubeなどの職場では閲覧が制限される場合があるウェブサイトへのアクセスを制限するファイアーウォールを回避することができます。DNSトンネリング単独でポート 53を使用し、またほぼ常時UDPを使用しているため、いかなるtcp/アプリケーションレベルの制限をも迂回します。

DNSトンネリングはまた、イグレス・トラフィック(外に向かうトラフィック)のフィルタリングを行ってデータの盗み取りを防止するコンテンツ・ファイアーウォールや検査ゲートウェイを回避できます。コンテンツ・ファイアーウォールは通常、TCPやアプリケーションレベルのデータを検査しますが、DNSトラフィックについては検査しません。

DNSトンネリングは、このイグレストラフィックのフィルタリングを迂回して、 制限されたローカルネットワークから潜在的な秘密データを送信できるようにします。 ISPや他のサービスプロバイダの場合、 DNSトンネリングはWiFiネットワークにアクセスするため登録や支払いが必要な有料コンテンツを回避することができます。たとえば、空港やホテルがインターネットにアクセスするユーザーに頻繁に請求する例などです。

通常これらのネットワークではDNSへのアクセスはいまだオープンなので、潜在的な顧客は登録や支払いのプロセスを飛ばしてDNSトンネル経由でインターネットにアクセスできます。これはサービスプロバイダにとっては収入減となります。また、支払いを回避するDNSトンネリングは、インターネットアクセスを提供するのにとても非効率的なやり方で、許可されたアクセス方法を用いているユーザーからの負荷に比べて、DNS システムのCPUにはるかに大きな負荷をかけることになりかねません。

モバイル通信事業者にとって、 DNSトンネリングは、一部のユーザーがWiFi有料コンテンツを回避するよりさらに大きな問題となる可能性があります。世界でも規制の少ない国のモバイル通信事業者は、外部ネットワークにローミングするとき、すべてのトラフィックがDNS経由でトンネリングされる加入者の携帯電話にソフトウェアをインストールすることができます。加入者がローミングすることで、モバイル通信事業者は収入源を失います。しかしモバイル通信事業者は加入者にローミングアクセスを、請求できるでしょう。

DNSトンネリングはまた、データ消費量の測定と制限も回避できるので、クライアントは、DNSトンネリングを使用すれば、1週間、1ヶ月などの一定期間にダウンロードできるデータ量の制限を回避できます。

インターネットアクセスのためのDNSトネリングの例

その接続オプションの一つとして、複数のVPNプロバイダはDNSベースのトンネルを列挙しています。彼らはローカルネットワークの制限を回避する能力を具体的に宣伝しています。ウェプサイトからのいくつかの引用をご紹介します。:

  • 複数のサイト、例えば中国からのTwitterやFacebook、またはあなたのオフィス ― どこでもあなたのインターネットアクセスがフィルタリングされている場所からのHuluやiPlayerを“ブロック解除してください。により、接続できるようになります!” [30]
  • “手短に言えば、そうすることで、DNSサーバを経由してデータをトンネリングすることができます。他のものがすべてブロックされている時でも、データの盗み取りが可能になります。“ [31]
  • “ISPは職場や自宅でウェブサイトやプロトコルをブロックしましたか?YouTubeやFacebook、Twitterがお別れのあいさつのメッセージを送信しましたか?もはや問題は1つもありません—自由を謳歌してください。”a>[32]
  • “Wifiホットスポットなど、多くのISPが標準プロトコルを通じたアクセスを制限しているので、我々のテクノロジーは、サービスプロバイダが依然として制限していない可能性のある別のプロトコルを使うことで、あなたが我々のネットワークを使って通信できるようにします。“[33]

ラップトップかPCを保有する人ならだれでも、VPNクライアントを設定し、DNSトンネリングを可能にするソフトウェアを比較的簡単に’インストールすることができます。Androidデバイスでも同様のアプリケーションがあります。iOSを搭載する携帯電話やタブレットの場合は、最初にデバイスの改造が必要になりますが、その後ウェブサイトやYouTubeの動画の指示に従い、DNSトンネリングのアプリケーションをインストールすることは’可能です。

インターネットアクセスに課金するISPに対して、ネットワークに接続しVPNプロバイダーの1つを使うクライアントは、ISPが収入源としている認証や支払いメカニズムを避ける可能性が高いのです。

データー漏えいのためのDNSトネリングの例

他のセキュリティ企業は、マルウェアのパッケージを検知し、 DNSベースの漏えい方法を用いた概念実証を構築しています。ここではいくつかの例を示します。:

これらの各ケースでソフトウエアはDNSチャネルのセキュリティがないことを利用し、ローカルネットワーク、バイパスファイアウォール、アクセス制御、およびコンテンツベースの監視から機密データを送信します。

DNSは、30年以上インターネットインフラストラクチャの基礎的な部分を構成しています。当時Arpanet/インターネットにおけるホストは互い信頼している学術・研究機関で構成されていました。そのため、 DNSに多層構造の保護とセキュリティを加える必要はありませんでした。 30年たった今、その信頼ももはや正しいとは言えません。

現在’のインターネットインフラは、ネットワークのほとんどすべてのコンポーネントに強固な複層的セキュリティを備えており、DNSを取り巻くセキュリティや防護が相対的に不足していることが目立った弱点になっています。このセクションでは、DNSチャネルのセキュリティ不足に付け込んだ攻撃の例を紹介’してきました。こうした攻撃は、組織’のネットワークインフラに対するいくつかの深刻な脅威につながっています:

  • サービス妨害: DDoS攻撃は、悪意のあるトラフィックをターゲットに浴びせかけほぼすべてのネットワーク通信を妨げます。
  • 重要サービスの喪失:リソース枯渇により、所定のドメインの権威ネームサーバと、当該ドメイン向けに再帰的な検索を行う中間リゾルバの双方を攻撃するもので、組織’のDNSリゾルバとDNSに依拠した上流サービスの機能を損なう可能性があります。
  • 収益の損失: ISPにとって DNSトンネリングは、認証および支払いシステムを回避するのに使われます。
  • データセキュリティ: DNS漏えいは、攻撃者がローカルネットワークから、外部ソース、バイパスファイアウォールやコンテンツベースの保護へ機密データを送信するために使われます。

これらの脅威の深刻さを考えると、組織は他の重要なネットワークコンポーネントに合致するDNSインフラストラクチャーの保護レベルを上げる必要があります。

2015年セキュリティー予測

2014年は、コンピューターのセキュリティとその欠如の面で、いくつか興味深い展開がありました: 暗号化ベースのランサムウェアの増加、高度に洗練された国家支援サイバースパイ活動のマルウェアパッケージを用いた攻撃の被害、Silk Road薬物販売ウェブサイトの削除(2度にわたる)、米国の大手小売チェーンからのクレジットカード情報の相次ぐ大量流出、そして有名人のヌード写真の漏えいという形の私生活の甚だしい侵害といった事例がニュースの主な項目を飾りました。ここでは、2015年にこれらの脅威がどのような変異を遂げる可能性があるか、それを予測したCloudmark’sの見解を、新たに主要なニュースに上ると予想する2、3の項目とともに述べます

12月初旬、これらの予測の先行バージョンをCloudmarkのブログに掲載しました。 [37]下記のとおり、予測したことのうちいくつかはすでに起こり始めているのを確認しています。

ランサムウェアは企業、クラウド、モバイル機器など他のプラットホームに広がるでしょう。

2013年の秋から増加し始めたランサムウェアは、今では最も成功しているサイバー犯罪の一形態です。Cryptolockerは概ね無効化されていますが、 Cryptowall、Torrent Locker、その他のPCランサムウェアは多数の媒体で蔓延しています。しかしながら、価値あるデータが保管されているのはPCだけではありません。弊社では’、ランサムウェアがウィルス感染させた認証情報を不正利用してモバイル機器にも攻撃を仕掛けているのをすでに確認しており、こうした手法はますます巧妙さを増すと予測されます。有名人’のヌード写真の流出は、クラウドに保管されているデータのセキュリティがいかに脆弱かを示しています。クラウド上のデータが盗まれるのではなく暗号化され、その暗号化データがオリジナルのコピーすべてを自動的にオーバーライドしたら、いったいどうなるでしょうか?昨年ついに、攻撃者がいとも簡単に企業の防御を突破して、クレジットカードや顧客情報を盗み取るという事例が’確認されました。この場合も、顧客のデータベースが盗まれるのではく、バックアップシステムが無効化され、そのデータベースが暗号化されたら、いったいどうなっていたでしょうか。大企業であれば、このような事態に対処するのに十分強固なバックアップシステムを備えている可能性が高いのですが、中小企業の中には出来ていない企業が、多数存在する可能性があります。

暗号化は、より多くの消費者製品で規定値になりますが、技術的・政治的な攻撃を受けるでしょう。

データの暗号化は、ユーザーが意識的に選択するものでなく、機能のひとつとして装備されるようになるでしょう。ユーザーが暗号化を選択することはまず無い’でしょうが、一方でソフトウェアのセキュリティの強化は望むでしょう。しかしながら、すべての企業が顧客志向ではありません。近年も、米国内外の複数の大手キャリアが積極的に、暗号化されたEメールチャネルの使用を中止して[38]、こうしたチャネルをプレーンテキストにダウングレードしていることが発覚しました。これらのキャリア’は、STARTTLSの機能を妨害してこれを実行し、メッセージを強制的にプレーンテキストに戻しました。他のテクノロジーにもこのフォールバックの機能があることを考えると、2015年’には’ ISPがDNSリクエストからDNSSECを取り去る可能性が非常に高いと考えられます。 DNSは、ブラウザがURLに従ってウェブサイトを検出する方法などの背景となるテクノロジーで、DNSSECを追加的なセキュリティ機能として提供しています。DNSの使用を中止することは、似たようにDNSトラフィックのセキュリティも積極的に中止することになります。2015年はまた、顧客のセキュリティ需要を引き込もうとする競争の中で、大々的な不正手法で行われるものが出てくる可能性が’極めて高そうです。そして結果的には、ユーザーがウィルス感染させられることになりそうです。

残念ながら、セキュリティの掛かったデバイスのロック解除の方法が、フィンガープリントへと移行したことに落とし穴がない’わけではありませんでした。先般、バージニア州の裁判所は[39]、フィンガープリントは、知っているものではなく、所有しているものであるため、アメリカ合衆国憲法修正第五条(一般に、有罪証拠の開示から個人を保護する条項)はフィンガープリントに適用されないという判決を下しました。取締機関と判事はかようにして、ロックを解除しさえしなければ安全なデバイスのロック解除を、フィンガープリントや類似する生体認証情報による方法であれば、強制的に実行させることができるようになりました。これは、表面的には合理的な措置であるように見受けられますが、日常生活のすべてをデジタルで保管する個人がますます増加していることを考えると、問題が生じてきます。FBIのジェームズ・コミー長官は、電話の暗号化をめぐる議論に介入し[40]政府’の捜査能力に対する“行き過ぎた行為”であると主張しており、国家、地方およびセキュリティ上のニーズに直面してプライバシーやセキュリティの法的根拠に関する問題が解決されていく可能性が高い’と’と考えられます。セキュリティ体制は、いずれも成立に至らなかったSOPA法案とCISPA法案の特徴を受け継ぐインターネット関連の法制化を支援するという点で、知的財産業界と利害を共通化する可能性が高いと考えられます。

これらの予測のオリジナル版が公開されると、オバマ大統領は米連邦議会に対し、一連の新しく強力なサイバーセキュリティ法の制定に向けて、ホワイトハウスと連携するよう求めました。[41]

より多くの国々が、エリートサイバースパイチームを立ち上げ始めるでしょう

昨年は、軍事、政治および商業を目的とするサイバー諜報活動の拡大を示す証拠が確認されました。現在このゲームで目立つプレーヤーは、米国、英国、中国、ロシア、そしてイスラエルとなっています。これらの国々で開発された高度に洗練されたマルウェアをすべて挙げると、Regin、Flame、Stuxnet、Sandworm、BlackEnergyおよびHikitがあります。標的となっているのは、企業、活動家、工業用制御システムのほか、従来型の国家諜報活動の軍事上、諜報上のターゲットです。国家のサイバー諜報活動チームが、政治的目的を持つばかりでなく、自国の企業の商業的目的を推進するために活動しているのは明らかです。このゲームに参入する障害は非常に小さく、逮捕されても、最低限のマイナス面があるだけです。旧き悪しき冷戦時代のように、自国のスパイが異国の地で裁判に掛けられるのを目にして恥辱を感じることすら’ありません。スパイたちは、北京やチェルトナムにある自分のデスクを離れることは決してないのです。必要なのは、高速インターネット接続と、十数人の卓越したソフトウェアエンジニアだけです。卓越したソフトウェアエンジニアは、それほど多くはありませんが、原子物理学者ほど希少な存在でもありません。そのため、自国が他国に与える脅威を高めたい国家は、核兵器プログラムを考えるよりも、サイバー諜報活動チームを結成する方がはるかに有効であることに気づくでしょう。

弊社は、これらの予測のオリジナル版の公開を受け、核保有を追求する国家である北朝鮮やイランのことが特に懸念されると示唆しました。その後FBIは、 Sony Pictures Entertainmentへの攻撃は北朝鮮によるものであると言明し、イランのサイバー諜報活動における可能行動の進展について“警鐘を鳴らす”[42]メッセージを発しました。

政府は薬物市場の削除を続けるでしょうが、Torネットワークが存続する限り、インターネット上の薬物売買は続くでしょう。

Silk RoadとSilk Road 2の削除への取り組みが示すように、これが取締機関にとって極めて優先課題であることは疑う余地もなく、今後もそれが続くと予想されます。薬物闇市場もまた、ハッキングやビットコインの窃盗に対して脆弱ですが、オーナーにとっては、単に店舗を閉鎖して、すべてのビットコインを第三者に預託して[43]置いておくだけの話です。とはいえ、この仕事では大金が稼げるので、一つの店舗が削除されると、別の店舗が登場します。最終的に生き残る店舗(単数・複数問わず)は、米国の法的処罰が及ばないロシアなどの国を拠点に運営されるものになるでしょう。Torネットワークにより匿名を保証する通信が与えられ、ビットコインにより匿名の支払いが可能である限り、こうしたマーケットプレイスの運営は続くでしょう。

Torネットワークは、主要なDDoS攻撃を受けるでしょう

Torネットワークは、圧政が敷かれる国家の反体制派が匿名でインターネットにアクセスできるように作られたものです。この目的のために使われる一方で、薬物の売買、児童の不正利用(売春、ポルノ、人身売買など)の人材(児童)の共有やボットネットのコマンドと制御など、幅広い犯罪目的で使われています。私たちは興味深い時代に生きているもので、Torネットワークが重要人物たちの注目を引いています。いつかはこの重要人物たちが、Torネットワーク無い方が世界はより良き場所になると判断し、ネットワークを解体するよう命じるでしょう。Torネットワークがインターネットの他の部分と接続するエンドポイントの数は限られており、それらの一覧は公開されています。大型のボットマスターや国家には、こうしたエンドポイントへの組織的なDDoS攻撃をしかける能力が十分にあります。

これらの予測のオリジナル版を公開してから一度ほど、Torネットワークは、ゲームサイトにDDoS攻撃を仕掛けることで知られる悪意のハッカー集団Lizard Squadから、さほど有効でない攻撃[44]を受けました。

米国では、チップを埋め込んだクレジットカードがついに使えるようになる予定ですが、このカードは、販売ネットワークの感染した場所を経由して攻撃を受けるようになるでしょう。

米国では、チップを埋め込んだEMVクレジットカードが2015年から使用開始になる予定です。大部分の国では決済前にPIN(暗証番号)による本人確認が義務づけられていますが、米国は、チップと署名による、セキュリティ強度の比較的低い本人確認を標準にしました。そうだとしても、現在使われている磁気ストライプカードよりは偽造が難しく、このシステムによりセキュリティレベルは大幅に高くなります。このシステムに対する攻撃に使われる媒体として最も可能性が高いのは、店舗販売時点情報管理(POS)機器です。ハッカーはすでに、POSネットワークを感染させることによるクレジットカード情報の入手が、いかに簡単であるかを証明しています。たとえ不正なチップが埋め込まれた偽造クレジットカードのトランザクションでも同意されるように、POS機器の認証機能を無効にすることなどたやすい話なのでしょう。これにより、共犯者らがその店舗でダミーのカードを使って好きなだけ買い物ができます。この場合、損失の責任を負うのは、カードを発行した会社ではなく、その店舗になる可能性が高くなります。

IPv6アドレス由来のEメールスパムが一般化

大部分のISPと企業がスパムを送信するIPのブラックリストをリアルタイムで参照していたIPv4スペースとは異なり、IPv6パスにはほとんど、あるいはまったく保護がない場合がしばしばです。この弱点を突くスパマーが将来は増えるものと予想されます。ブラックリストに基づくフィルタリングの有効性が薄れ、政策に基づくIPブロックによる転送速度制限とコンテンツベースのフィルタリングの重要性が増すことになります。

サイトやサービスにおけるメッセージの不正利用が原因で、少なくとも1社のスタートアップが倒産することになるでしょう。

成長著しい多くのスタートアップは、ソーシャルネットワーキング・サービスやメッセージング・サービスを基盤にしています。スタートアップが十分な規模のユーザー基盤を築くやいなや、スパマーがその基盤に入ってきて不正利用を行おうと試みます。スパマーが’首尾よく不正利用を行っていないことを確認することが、成長を維持する上で欠かせません。インターネットで時間を過ごす方法は余りにもたくさんあるので、スパムに遭いそうな方法を回避しさえすればいいのです。しかしながら、これまでの履歴に基づくと、将来性のあるスタートアップの少なくとも1社がこれを読み間違え、ネットワーク上のスパムを制御’できずに消え去ることになると予想されます。

モバイル決済システムがさらに大きな主流になると、サイバー犯罪者からの攻撃にさらされることになります。

なぜ銀行強盗をしたのかと問われたWillie Suttonが、“なぜなら’sそこにカネがあるから”と答えたのは有名な話です。実際のところその発言は野心的なレポーターによる作り話でしたが、人々がメッセージを読むところにスパマーがいるように、送金がなされる場所に泥棒ありというのも’事実です。複数のシステム会社が顧客に対し、携帯電話を使った対面決済や遠隔地決済を行わせようと引き込み合戦を行っています。Apple、Venmo、PayPal、Square、Snapchatがこぞって、これに参入しています。PayPalはすでに世界で最もフィッシング詐欺の被害にあっているブランドのひとつですが、他の決済システムについても、認証情報の窃盗とマルウェアという双方による攻撃に遭うことが予想されます。

参照

  1. Viagra®(クエン酸シルデナフィル)は、Pfizer Inc.の登録商標です。
  2. 処方薬をオフショアのドラッグストアで購入し、米国内に配送するのは違法です。Cloudmarkは、この購入を容易にするために、米国外の代理店を使いました。
  3. Brian KrebsによるSpam Nation(Sourceebooks(2014))をご覧ください。http://www.cgcaplet.in/
  4. http://www.centurionremedies.net/
  5. http://www.drugs.com/cdi/viagra.html
  6. http://www.google.com/patents/WO2011030351A2?cl=en
  7. http://www.google.com/patents/WO2007002125A1?cl=en
  8. http://www.medpagetoday.com/Urology/ErectileDysfunction/25204
  9. http://cseweb.ucsd.edu/~savage/papers/UsenixSec11-SMTM.pdf
  10. https://www.scamguard.com/fad-watchesnet/
  11. http://gbclaw.net/cases/ugg-wins-case-against-1549-online-counterfeiters
  12. http://www.thehindu.com/sci-tech/technology/10-lakh-complaints-about-spam-calls-in-the-last-three-years/article6689376.ece
  13. http://blog.cloudmark.com/2013/08/26/summer-sports-and-sms-spam-in-the-uk/
  14. http://www.newscientist.com/blogs/onepercent/2012/02/meet-the-yahoo-boys.html
  15. http://www.voanews.com/content/arrest_of_nigeria_yahoo_yahoo_boys_angers_locals_internet_scams/1598442.html
  16. http://sunnewsonline.com/new/?p=87503
  17. http://msbusiness.com/blog/2014/05/21/members-nigerian-yahoo-boys-arrested-identity-theft/
  18. http://techcrunch.com/2011/05/15/the-chilling-story-of-genius-in-a-land-of-chronic-unemployment/
  19. http://www.northkoreatech.org/2012/04/08/dprk-gets-second-link-to-internet/
  20. http://www.fbi.gov/news/pressrel/press-releases/update-on-sony-investigation
  21. https://securityledger.com/2014/12/new-clues-in-sony-hack-point-to-insiders-away-from-dprk/
  22. http://www.buzzfeed.com/sheerafrenkel/did-north-korea-do-it
  23. http://zeninet.net/
  24. http://news.techworld.com/security/3582363/disaster-as-cryptowall-encrypts-us-firms-entire-server-installation/
  25. https://nakedsecurity.sophos.com/2013/11/19/us-local-police-department-pays-cryptolocker-ransom/
  26. http://threatpost.com/android-ransomware-first-to-encrypt-data-on-mobile-devices/106535
  27. http://www.coindesk.com/massive-concerted-attack-launched-bitcoin-exchanges/
  28. http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho/
  29. https://www.overplay.net/smartdns/setup.php
  30. https://www.vpnoverdns.com/
  31. http://www.vpnsolid.com/
  32. http://www.wi-free.com/how_it_works.html
  33. https://blog.gdatasoftware.com/blog/article/new-frameworkpos-variant-exfiltrates-data-via-dns-requests.html
  34. http://www.slideshare.net/stamparm/dns-exfiltration-using-sqlmap-13163281
  35. http://pentestmonkey.net/blog/mssql-dns
  36. http://blog.cloudmark.com/2014/12/02/predictions-for-2015/
  37. http://arstechnica.com/tech-policy/2014/11/condemnation-mounts-against-isp-that-sabotaged-users-e-mail-encryption/
  38. http://www.huffingtonpost.com/2014/10/31/apple-touch-id-ruling_n_6083920.html
  39. http://online.wsj.com/articles/fbi-chief-warns-phone-encryption-may-have-gone-too-far-1413489352
  40. http://www.whitehouse.gov/the-press-office/2014/12/19/remarks-president-year-end-press-conference
  41. http://www.reuters.com/article/2014/12/13/us-cybersecurity-iran-fbi-idUSKBN0JQ28Z20141213
  42. http://www.coindesk.com/sheep-marketplace-track-stolen-bitcoins/
  43. http://www.pcmag.com/article2/0,2817,2474219,00.asp

Cloudmarkの2014年版セキュリティ脅威レポート (2.7MB)

トップに戻る

Cloudmarkの2014年版セキュリティ脅威レポート (2.7MB)

Cloudmarkは、既知の攻撃や将来の攻撃に対するインテリジェントな防護を実現し、脅威対策を先導する信頼される業界大手として、全世界の受信トレイの12%を大規模な標的型Eメール攻撃の脅威から防護しています。

Cloudmark は、10年余にわたる世界最大のメッセージング環境の保護経験を持つ会社です。この経験を基にCloudmark だけが、10億人の加入者からのグローバル脅威情報と各地の行動状況の追跡を結び付け、金銭的損失に加えブランドやレピュテーションの棄損につながるデータの窃盗やセキュリティの違反に対する即時保護や予測防護を行っています。

Cloudmarkは、Verizon、Swisscom、Comcast、CoxおよびNTTを含む120社を超えるティア1のサービスプロバイダのほか、数万の企業を防護しています。

サイトマップ  •  プライバシーポリシー  •  ©2002–2019 Cloudmark, Inc.