Akamai、Guardicoreを買収。ゼロトラスト・ソリューションを拡張し、ランサムウェアの阻止能力を強化。 続きを読む

Blog

確定申告期間は犯罪者の数当てゲームの格好のターゲット

Written by

Steve Ragan

May 18, 2021

※本ブログは、Steve Raganによる4月6日付のブログ記事を翻訳したものです。

犯罪者は確定申告の時期に狙いをつけています。毎年この時期になると、人は多大なストレスを受け、慌ただしくもなるため、さまざまな犯罪手口に乗せられてしまう危険性が高くなります。確定申告の期間は、犯罪者がフィッシングに加えて、ローカル・ファイル・インクルージョン(LFI)、SQL インジェクション(SQLi)、Credential Stuffing (ボットによる大量の不正ログイン試行) などの各種の攻撃に力を注ぐ時期でもあります。

今年はアメリカ合衆国内国歳入庁 (IRS) が申告期間を 2021 年 5 月 17 日までに延長したため、犯罪者がこの日に狙いを定め、第 2 波が発生することが予想されます。

参考情報:

この記事では、2018 年、2019 年、2020 年の各年の 3 月 18 日から 4 月 29 日の期間に観察された攻撃のデータをもとにしています。その他に、2020 年 6 月 17 日から 7 月 29 日までのデータも調査対象にしています。

これらの期間を対象にした理由は、通常の確定申告期間とその前後の攻撃トラフィックを調査するためです。Credential Stuffing に関してはデータの量が膨大で複雑であるため、できるだけ単純になるように 2020 年のデータに焦点を当てています。データを検討するにあたって、行政機関と民間の支援組織を含む米国の公共部門にターゲットを絞っています。

Web 攻撃

確定申告期間になると、フィッシングが話題に上がります。これについては、この記事の後半で触れます。利用されている攻撃にはさまざまなタイプがあります。Akamai は、2018 年に 440 万件、2019 年に 1,800 万件のWeb アプリケーション攻撃を観測しました。2019 年には、まさに米国の確定申告期限の直後に 1,000 万件の LFI  (Local File Inclusion) 攻撃を検知しました。

2020 年には、Web アプリケーション攻撃の合計件数は 2,020 万件にのぼり、そのうち 6 月 17 日から 7 月 29 日までの間の攻撃件数は 1,090 万件に及びました。新型コロナウイルス感染症の影響を受けて、IRS は確定申告期限を延長し、犯罪者はこれに乗じてさらに攻撃を仕掛けてきました。

その理由は?

LFI 攻撃は、サーバー側で動作する各種スクリプト(通常は PHP)を悪用しようと試みます。しかし、その標的は ASPやJSP などの Web ベースのテクノロジーに及ぶこともあります。攻撃が成功すると機密情報が漏洩する可能性が高く、その場合、この情報は別の攻撃に応用される可能性があります。同時に、LFI によってクライアント側でコマンドが実行されることもあります(原因は JavaScript の脆弱性)。これが、クロス・サイト・スクリプティングやDoSにつながる可能性があります。

一方、SQLi は Web サイトやサービスに対する直接の攻撃であり、組織が保有している情報を盗み取ったり、データベース自体に直接アクセスしたりすることを目的としています。SQLi には、犯罪者が使用する手口の中でも特に悪質な側面があります。それは、コマンドの実行です。

2020 年 12 月に、ファイル共有ソリューションを提供するAccellion は、 Accellion File Transfer Appliance(FTA)にゼロデイの SQLi 脆弱性があることに気づきました。FTA は、行政機関だけでなく、医療、法務、通信、金融の各業界の民間企業でも利用されているファイル転送技術です。

ゼロデイ脆弱性は攻撃者たちにつけこまれ、世界中の組織のセキュリティ侵害に悪用されてしまいました。攻撃者は、SQLi を主な感染手段として利用し、root シェルの展開を開始した後、その root シェルを使用してデータを盗み取りました。被害者の中には、盗んだデータを世間に公表すると脅されて金の支払いに応じたところもあります。

この攻撃チェーンと、それに関連する 4 つの CVE の詳細については、こちらの Cybersecurity and Infrastructure Security Agency(CISA: 米国国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁)の Web サイトでご覧いただけます。

Credential Abuse

Credential Abuse(または Credential Stuffing)は、犯罪者が好んで使用する自動化された攻撃の一種です。これは一種の数当て (ナンバーズ) ゲームです。確定申告期間は、すべてが数当てゲームのようです。犯罪者たちは、オンラインで税申告する際に脆弱なパスワードや使い回しているパスワードを選ぶ人が多いという事実を悪用するのです。

2020 年には、公共部門で合計 2 億 9,500 万件もの Credential Stuffing 攻撃が記録され、そのうちの 56%(1 億 6,660 万 3,107 件)が 6 月 17 日から 7 月 29 日までの間に発生していました。

その理由は?

Credential Stuffing 攻撃がうまくいくからです。犯罪者がこのような攻撃を実行する理由はいたってシンプルです。犯罪者は、人々が脆弱なパスワードを使用したり、パスワードを使い回したりするという事実に基づいて、ログインの組み合わせのリストを作成し、複数のサービスでそれらをテストします。パスワードの使い回しという問題がある場合、アカウントあるいはサービスが 1 つでも乗っ取られると、他のアカウントやサービスも乗っ取られる恐れがあります。

Credential Stuffing 攻撃の件数は、2020 年の終わり頃に向けて著しく増加したため、SEC (米国証券取引委員会) の Office of Compliance Inspections and Examinations(OCIE)は、SEC に登録している投資顧問、ブローカー、ディーラー、登録者、企業に対して、攻撃増加のリスクに関する警告を発しました。

その警告で「OCIE のスタッフは Credential Stuffing 攻撃の頻度が増加していることを確認しており、その一部は顧客資産の損失と顧客情報への不正アクセスをもたらしている」と警鐘を鳴らしています。

納税シーズンにまつわる Credential Stuffing のリスクは、最近の出来事というわけではありません。2015 年に TaxSlayer, LLC (米国の税務準備および金融技術企業) は、その年の 10 月から 12 月の間に Credential Stuffing 攻撃により 9,000 件近くのアカウントが侵害されたと発表しました。この侵害を米連邦取引委員会 (FTC) は問題視し、個人情報保護規定とグラム・リーチ・ブライリー法のセーフガードルールに違反したとして TaxSlayer を告発しました。2017 年には FTC と TaxSlayer との間で和解が成立しています。 

フィッシング:

前述のように、フィッシングは、確定申告期間に犯罪者が使用するもう 1 つの典型的な手口です。犯罪者は、被害者をだまして機密情報を盗み出すために、IRSを含む、よく知られる税務関連機関や企業を装います。そして、その情報を使用して税関連の詐欺行為や、ID を悪用したその他の犯罪に及ぶのです。

ここで注意していただきたいのは、IRS が納税者との連絡に電子メール、テキストメッセージ、またはソーシャルメディアを使用して、PIN やパスワード、ユーザー名、または一般的に身分証明書に記載されている情報の開示を要求することはない、ということです。

同様に、IRS がそのような連絡手段を使用して、クレジットカードや銀行口座に関する詳細、その他の金融関連情報などの財務情報の開示を求めることもありません。

税金詐欺の被害に遭ったと思われる場合の対処方法などの詳細情報は、CISA の Web サイトに公開されています。



Written by

Steve Ragan

May 18, 2021