★☆★JNSAメールマガジン 第140号 2018.6.29 ☆★☆

こんにちは
JNSAメールマガジン 第140号 をお届けします。

関東甲信越地方は梅雨が明けたようで今日はすっかり真夏日ですね。
6月の梅雨明けは初めてのことらしく、今年は平年よりも20日ほど早いそうです。これから暑い夏がはじまりますが、熱中症などお気をつけ下さい。

さて今回のメールマガジンは、ファイア・アイ株式会社技術本部、小林聡氏に、「2億件を超える情報漏洩の発見とインテリジェンスの活用」をご寄稿いただきました。

【連載リレーコラム】
「2億件を超える情報漏洩の発見とインテリジェンスの活用」

ファイア・アイ株式会社
技術本部 小 林 聡

サイバー脅威インテリジェンス(以下CTI: Cyber Threat Intelligence)のサイバー攻撃対策への活用の重要性が高まっています。ファイア・アイ株式会社(以下ファイア・アイ)は2016年1月にサイバー攻撃組織のプロファイリング等を専門的に行う企業「iSIGHT Partners」を買収し、そのCTIをセキュリティ製品やサービスに活用すると共に、コンテンツとしても提供しています。今回は、ファイア・アイのCTI調査部門「iSIGHT」の活動の一環として、2億件を超える日本人の個人情報販売に関する事実の公表と、CTIの活用についてご紹介します。

2018年5月17日、ファイア・アイは、中国のアンダーグラウンドフォーラムで、延べ2億件を超える日本人の個人情報が販売されていた事実を確認し、公表しました(※1)。これらの情報が1,000人民元(約17,300円)という極めて少額で販売されていたことから情報の信憑性が疑われたため、販売されていた情報の中から、IDとして使用されているドメイン名をもとに複数の該当する企業に確認をするなどの分析調査を行いました。その結果、販売されていた情報は、過去に日本のWebサイトや企業から流出した可能性の高いものであることが分かりました。これらの情報は、個人や企業、組織のIDやパスワード、氏名、住所、生年月日、年齢、携帯電話番号など多岐にわたり、販売者は過去の情報漏洩事件で得られた個人情報を収集し、再パッケージ化して希望者に格安で提供しようとしたものと思われます。IDやパスワードは、様々なWebサービスに使い回しをしているユーザーが多く、一つのIDとパスワードが漏洩してしまうと、他のWebサービスに対しても本人以外がアクセス可能となるリスト攻撃などのリスクにさらされます。さらには、こうした情報をSNS等で得られる公開情報と照らし合わせて、より精度の高い情報に仕立てることによって、サイバー攻撃の初期侵入のきっかけとして悪用され、深刻な侵害事件へと繋がる可能性もあります。

これまでのサイバー攻撃対策では、攻撃者が使用するマルウェアをいかに検知し攻撃の成功を阻止するかに主眼が置かれてきました。しかし、実際の攻撃において、マルウェアはほぼ使い捨てであり、このような対策は「もぐら叩き」状態になっています。サイバー攻撃を実行するのはマルウェアではなく攻撃者という「人」であり、着目すべきはマルウェアではなく人の「行動パターン」なのです。より多くの情報を集め、事象の性質や特徴から行動科学的に分析し、攻撃者(グループ)の特徴を推論した結果、攻撃者(グループ)の行動パターンは似通っていることが分かっています。例えば、弊社がプロファイルを特定しその特徴を公表している攻撃グループAPT37(REAPER) (※2)は、攻撃発覚を回避するために、C&C(Command and Control)のインフラに「pCloud」や「Dropbox」などのクラウドストレージのAPIを用いたり、小規模なWebサイトにペイロードをホストしたりする傾向がみられます。この傾向をもとに、アプリケーションの利用制限や、Webアクセスの監視強化を行うことで、攻撃の事前対策が可能になります。このように、昨今の高度なサイバー攻撃に対して、より攻撃者に迫ったCTIを活用して、事前の対策や対処調査していくことが今後より有効な対策になっていくと考えます。

(※1) ファイア・アイのブログ記事
「日本人の個人情報2億件以上が含まれたファイルを 中国の脅威アクターが
販売目的で広告掲載」(2018年5月17日)
https://www.fireeye.jp/blog/jp-threat-research/2018/05/japan-pii-finding.html

(※2)ファイア・アイのリソース記事
「APT攻撃グループ」
https://www.fireeye.jp/current-threats/apt-groups.html

#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★セキュリティ被害調査WGでは「2017年 情報セキュリティインシデントに
 関する調査報告書【速報版】」を公開しました。
 (※JNSA会員企業限定で元ファイルも公開しています)
https://www.jnsa.org/result/incident/

★西日本支部|経営者のための情報セキュリティ対策実践手引きWGでは、
「経営者のための情報セキュリティ対策
-ISO31000から組織状況の確定の事例-」を公開しました。
https://www.jnsa.org/result/2018/west_tebiki/

★ゲーム教育WGで「ゲームファシリテーター派遣」を開始しました。
https://www.jnsa.org/edu/secgame/index.html#facilitatior

★サイバーセキュリティ小説コンテストの応募作品はカクヨムの特設ページで
読むことができます。ぜひご覧下さい。
https://kakuyomu.jp/contests/cyber_security
(カクヨム特設ページへ)

★6月12日(火)に開催しましたJNSA2017年度活動報告会の発表資料を
こちらで公開しています。ぜひご覧下さい。
https://www.jnsa.org/seminar/2018/0612/

【事務局からの連絡、お知らせ】
★JNSAインターンシップ情報を公開しています。
 [JNSAインターンシップ]
https://www.jnsa.org/internship/
インターンシップを実施されている企業の方はぜひ、ご参加ご検討下さい。

★サイバーインシデント緊急対応企業一覧を公開しています。
https://www.jnsa.org/emergency_response/
緊急対応可能な窓口をお持ちの会員企業様は、JNSA事務局までお問合せ下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第140号
発信日:2018年6月29日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.