EMCジャパン RSAセキュリティ本部は2019年1月29日、セキュリティの最新動向を説明するラウンドテーブルを開催し、攻撃者による攻撃手法のトレンドを説明した。罠を仕掛けて攻撃対象から電話をかけさせる「リバースヴィッシング」攻撃や、SNS(ソーシャルネットワーキングサービス)による詐欺の販促活動などが目立つという。
新しい攻撃手法の1つが、リバースヴィッシング攻撃である。ヴィッシング(Vishing)は電話音声(ヴォイス)とフィッシング詐欺を組み合わせた造語で、電話によるフィッシングを指す。ヴィッシング攻撃は昔からあるが、昨今では詐欺犯罪者から電話をかけるのではなく、攻撃対象から詐欺犯罪者に電話をかけさせるリバースヴィッシング攻撃が目立つという。
電話をかけさせる手法として、例えばGoogle Mapを悪用する。Google Mapに偽りの企業情報を登録しておく、というシンプルな攻撃である。企業名でGoogle Mapを検索した攻撃対象は、正しい企業情報ではなく、詐欺犯罪者が登録した偽りの企業情報を閲覧してしまうかもしれない(図1)。こうして偽りの電話番号に電話をかけさせ、個人情報を聞き出すという手口である。例えば、Netflixのサポートセンターを騙った情報などがある。
図1:リバースヴィッシング攻撃の例。Google Mapに偽りの企業情報を登録しておき、検索した人を偽りの電話番号にかけさせる(出典:EMCジャパン RSAセキュリティ本部)拡大画像表示
フィッシング攻撃では、二要素フィッシング攻撃と呼ぶ、ワンタイムパスワードなどの2段階認証(2要素認証)を設定したWebサイトへのアクセスをプロキシによって仲介する手口もトレンドだという。このためのツールが2018年にGitHubに登録されたことで、攻撃者はマルウェアなどを開発することなく簡単なスクリプトを記述するだけで中間者攻撃ができるようになったとしている。
写真1:米RSA SecurityのRSA Fraud & Risk IntelligenceでGeneral Manager of FraudAction BusinessとDirectorを務めるアロン・シミロヴィッツ(Alon Shmilovitz)氏拡大画像表示
攻撃ツールや、盗んだクレジットカード番号などの商材を販売する闇市場にも大きなトレンドがある。犯罪者は、FacebookなどのSNSを、販促に利用している。ラウンドテーブルでは、実際にFacebookにアクセスし、クレジットカードを販売しているコミュニティをリストアップして見せた。このほかにも例えば、TwitterやInstagramには盗んだIDとパスワードの情報が載っている。YouTube上には詐欺のチュートリアルが動画で載っている。
EMCジャパン RSAセキュリティ本部では、詐欺や犯罪から身を守るための方法を5つ挙げた(写真1)。(1)クリックする前に考える、(2)パスワードを定期的に変える、(3)スマートフォンにダウンロードするアプリに気を付ける、(4)ソーシャルメディアのシェアに注意する、(5)銀行やクレジットカードの取引明細書に必ず目を通す、である。
