- ロンドニングの最新レポート、実態と注意点
- セキュリティのヒントはつぶやける?
- PCサポートだけではない電話詐欺のさまざまなパターン
- キャッシュレス化とセキュリティ
- マルウェアランキングトップ10
- マルウェアランキングトップ10(グラフ)
- ESET社について
- ESETが提供するその他の情報源
「ロンドニング」と呼ばれる詐欺の手法は別段新しいものではありませんが、いまだ広く出回っており被害者が後を絶たない現状を懸念して、ESETではその実態についての啓発に努めています。この種の詐欺は、電子メール、Facebookのメッセージ、あるいは携帯電話のショートメッセージなど、さまざまな形でターゲットに忍び寄ります。最近確認されたサンプルメールも紹介しておきましょう。
図1
金品を強奪された友人が困っていたら、たいていの人は助けようと思うのではないでしょうか。しかし、そんな好意もサイバー犯罪の攻撃材料として悪用されてしまいます。数年前にこの種の詐欺が大流行したときに、手紙の主が頻繁にロンドンで強盗に「遭った」ために付いた「ロンドニング」ですが、適当な地名が選ばれる場合もあります。舞台は違っても要求する内容は変わりません。メッセージへの返信、そして送金です。単純明快な手法ですが、多くのケースで非常に高い効果を発揮しています。特に被害が多いのは、Facebookユーザーのログイン情報を取得し、本人に成りすまして、アカウントに登録されている実際の友人にメッセージを送信する手口です。
この種の詐欺は、悪名高い419詐欺(別名「Advance Fee Frauds(先払い詐欺))としばしば比較されます(いくつかの点で類似性も見られます)。ちなみに419という数字はこのような詐欺を扱うナイジェリアの刑法第419条に由来しており、その多くがナイジェリアから発生していると報告を受けています。実際、ロンドニングの一部はロンドンではなく、ナイジェリアのラゴスがメッセージの送信元とされています。一方、これまでこの詐欺について幅広く執筆してきたDavid Harleyは、手口の違いに目を向けています。419詐欺ではターゲットを騙して送金させようとするソーシャルエンジニアリングの手法を駆使したメッセージを多用する反面、ロンドニングの方がやや技術的に洗練されていると見られる、と指摘します。本当の送信元を偽った電子メールを作成することは困難ではありませんが、いわゆるこのロンドン詐欺が最大限の効果を発揮するのは、詐欺師が、ターゲットを騙す手段として本当の友人の電子メールやFacebookのアカウント(あるいは同様のもの)を乗っ取ることができる場合です。ただしこれは、ソーシャルエンジニアリングとフィッシングの2段階攻撃の一環として行われる可能性があります。詐欺師はまず個人情報を盗み出したターゲットからパスワードを騙し取り、それを利用して詐欺目的のメッセージを送信するのです。中には、私たちが予測する以上に洗練されている攻撃もあるかもしれません。こちらの記事では、筆者は、トラブルに巻き込まれたという知人とチャットサービスを介して会話をしたのですが、実際の会話相手はチャット機能を備えたボットだったのではないかと疑っています。
最後に、この種の詐欺を見分けるうえで注意すべき点を以下にまとめます。
- 前述したような電子メールは、誰から、どのように送られてきたものであっても、十分に警戒する。メールに「疑わしい」点がないか確認する。先のサンプルメールの場合はヘッダーが明らかに怪しい。複数のユーザーに送信されているが、送信者がアドレス以外には受取人について何も知らない可能性がある(個人的なやり取りはない)。
- 「届くメールは全部詐欺」と疑うくらいの用心深さを持ってしても、送信者を確認できない限りは、決して送金の要請に応じない。
- パーソナライゼーションが行われていない(メッセージに送信者と受取人の関係を示す個人的なやり取りの形跡がない)場合は、怪しむには十分である。これは一般的なフィッシング攻撃や419詐欺のメッセージに共通する特徴でもある (もし私が友人に金銭を工面してもらうよう依頼するとしたら、たとえどんなに私が動揺していたとしても、おそらくその友人の配偶者や子供たちに配慮した文章を加えていたと思います)。ただしソーシャルエンジニアリング攻撃は、ほとんどが標的型である点にも留意する。自分のFacebookアカウントが乗っ取られた場合は、アカウントの詳細情報や連絡先リストだけでなく、自分や登録されている友人のプロフィールも取得されていると想定する。
- 電子メールの内容が匿名的である場合(特に、普段と比べて違和感がある場合)、送り主が本来のアカウント所有者でない可能性に注意する。
- 「友人」(親密度合いによっては「ただの知り合い」)が、詐欺に利用されることの多い方法(ウエスタンユニオンなど)で海外送金するように求めてきた場合は、特に注意する。
- 419詐欺は、凝ったソーシャルエンジニアリングの手法を用いることもあるが、必ずしもハイテクを駆使するわけではない。したがって、ごく一般的な対策を確実に講じていれば、電子メールやソーシャルネットワーキングサイト(Facebookなど)のアカウント乗っ取りを防止できる。具体的には、「破られにくいパスワードを使用する」「複数のアカウントに同じパスワードを使用しない」「パスワードを聞き出そうとする行為に注意する」などである。もちろん、絶対確実というわけではないが、これらを徹底することで騙される確率を小さくすることが可能である。
チャーリー・ヒグソン(@monstroso)という作家をご存知でしょうか。ティーンエイジャーのジェームズ・ボンドの活躍を描いた『ヤング・ボンド』シリーズを執筆しています(私は読んだことはないのですが)。私のように未読の人を対象としているのかもしれませんが、彼はイアン・フレミングの長編小説12作品を140文字以下に要約したツイートの投稿も担当しています。一連のツイートは、ジェームズ・ボンドの最新映画『スカイフォール』の公開直前プレミアイベント用と見られます。英国のフリーペーパー「Metro(@MetroUK)」でも、公開に先駆けて一部のツイートを紹介しました。このフリーペーパーは地下鉄の座席に置き去りにされることが多いので、英国在住の方は簡単に見つけられるかもしれません。長編作品ではなく、短編の『Quantum of Solace(邦題:ナッソーの夜)』(この話は、短編集『For Your Eyes Only(邦題:バラと拳銃)』に収録されています)と、映画『Quantum of Solace(邦題:慰めの報酬)』について紹介しています (For Your Eyes Onlyも映画化されたことは知っています(映画版の邦題は「ユア・アイズ・オンリー」))。
興味がある方は、Metroの特集記事をご覧いただけます(おそらく雑誌を購読する必要があります)。ツイートも読むことができます(ハッシュタグは#BondTweets)。またMetroは、もっと上手に要約をまとめられると自負する読者にチャレンジを呼びかけています。そこでお恥ずかしながら、『ナッソーの夜』について私もやってみました。
Quantum of Solace: Fleming impersonates Somerset Maugham: 007 is passive audience to story of boring couple at Nassau dinner party(ナッソーの夜:サマセット・モームの短編の二番煎じ。ナッソーでのパーティに出席した007は、退屈な夫婦の話を聞かされる羽目になる)
実際のところ、サマセット・モームとイアン・フレミングはいくつかの点で共通しています。どちらも軍で諜報活動に従事していました(モームは第一次世界大戦中、フレミングは第二次世界大戦中)。モームは、『アシェンデン』という短編小説を発表していますが、これは明らかに実体験に基づいたスパイ小説であり、後にフレミングに影響を与えました。
いずれも非常に面白い内容ですので、ヒグソン氏のツイートに興味を持った方は、こちらで一連を読むことができます。では、それがセキュリティとどのように関係しているのでしょうか (セキュリティといっても国家安全保障といった類ではなくIT分野の話です。それでも最近では、Googleのサイバー戦争とサイバーエスピオナージュ(スパイ活動)などの間に密接な関係が見られますが)。
まあ、セキュリティそのものよりも、セキュリティに関する執筆と言った方が正確かもしれません。ときとして、椅子に座ってパソコンでやり取りするよりも自分の足で相手先まで出向いた方が情報を伝える手段としては有効な場合もある、という話です。
2006年にNHSを退職し、独立コンサルタントとして新たな道を歩むことになったばかりの頃、私は米国の某企業向けに短いセキュリティ関連の記事を執筆していました (実際のところ任された記事スペースは僅かでしたが、内容に関する執筆条件と比べるとそれほど問題ではありませんでした)。さて最近、私はある専門家委員会に加わりました(あるいは専門家陣「と」私)。その主な任務は、不定期に発信されるブログに使用される、時の話題に関する50語程度の文章を考案することです。プロのライターも決められた文字数内での執筆を求められることは多いのですが、ここまで制限されるとなかなか一苦労です。1回のツイートで長編小説の内容を完全に把握できるなどと大真面目に期待している人はなかなかいないでしょう(それほど好きではない作家であれば、140文字で十分かもしれません。だれでも1人ぐらいは思いつきますよね)。それにしても、役に立つセキュリティ上のアドバイスを50単語でまとめることは可能なのでしょうか。私が初めて投稿した50単語によるヒントはこちらでご覧いただけます。出来栄えについては皆さんで評価してください (ところで、私がさらに数単語を自由に含めるとしたら、CYOD(Choose Your Own Device)という頭字語を拝借したRighard Zwienenbergに対する謝辞を追加していたと思います。CYODについては、彼のプレゼンテーションを見れば、より明確になるでしょう)。
私はこのフォーマットに対してそれほど不満はありません。有用性で言えば、(願わくば)見識ある幅広い人たちからの短い引用ばかりの他の記事とおそらく変わらないのではないでしょうか。執筆するときのコツは、デビッド・シェンク氏が唱えるデータスモッグの11番目の法則、「すべての複雑性を解決するという話に気をつけよ(Beware stories that dissolve all complexity)」を肝に銘じておくことです (Data Smog: Surviving the information glut, by David Shenk: Abacus, 1997「邦題:ハイテク過食症窶買Cンターネット・エイジの奇妙な生態」)。場合によっては、文字数制限を気にせず自由に書いた方が好ましいこともあります。ただし、必要以上に長くなるのは避けたいところですが。
最近、インド系の英語を話す人物から電話が掛かってきました。従来の「あなたのPCでウイルスへの感染が確認されました。有料ではありますが修理サポートはいかがでしょうか」といった類のサポート詐欺とは若干異なる様相です。私の周りでもそんな電話を受けたという人がいます。その彼、Craig JohnstonはESETでの元同僚で、今でも付き合いを続けており、今年のVirus Bulletinでは共同で発表しました(もちろんサポート詐欺に関する論文です)。彼もまた、少し前にAustralian Refund Agencyの担当者と名乗る人物からの電話を受けました。Craigには5,349.27豪ドル相当の手数料と税金の還付金を受ける資格があると言うのです。「支払い手続きが行われるように、照会番号を控えておき地域の(詐欺師が指示した)担当者に連絡してください」と促されたそうです。とはいえ、Craigも長いことセキュリティ業界に入り浸っていますから引っかかりませんでした。たとえ、それまでにこの種の詐欺に遭遇したことがなかったとしても結果は同じだったでしょう。Googleで少し検索してみると、すぐにこちらのサイトが見つかりました。手口が非常によく似ています。Craigは今もなおその担当者に電話をしていませんが、連絡を取るようにと促す電話がいまだに掛かってくるそうです。
私が受けた電話は若干異なります(これはもちろん、私がオーストラリアではなく英国在住であるから、というわけではありません)。最も多いのは、偽の調査をでっち上げて参加を要請するといったものです。他にも、「(私は住宅ローンを抱えていないのですが)控除による還付金を受けられます」、「この消費者団体に登録すれば効率的に貯蓄できますよ」といったケースもあります。以下に代表的な手口を詳しくまとめておきます。
- 政府補助金が支給されたと偽って製品やサービスを提供するケース。私自身もこれまでに住宅ローンの提案からリフォームの補助金まで、さまざまな申し出を受けました。資金不足の政府に、キッチンの増築や温室設置に補助金を出す余裕があるとは到底考えられません。
- 過払い税金の払い戻しや銀行の手数料の返金、住宅ローン控除の還付金などを申し出るケース。私が最後に税金の還付を受けたのはいつ頃だったでしょうか。おそらく1970年代だと思います。「国民から金を搾取するつもりは毛頭ないが、だからといって還付できるだけの余裕もない」このご時世でも、頻繁でないにせよ実際にこの類の還付を受けている人もいるでしょう。それでも、担当の機関や組織は「あなたは還付を受けられます」などとわざわざ連絡を寄こすための時間やコストを確保できず、今後もインドのコールセンターに向けた多額の投資などあり得ないと確信しています。
- これだけではありません。先日、割と当惑しやすい年配の親戚から私と妻の安否を尋ねる電話がありました。どうも、私たちが大きな事故に巻き込まれたと誰かが連絡してきたようなのです。少なくとも、彼女はそのように告げられたと言っています。勘違いでなければ、私の認識している限り新しいタイプの詐欺であるといえます。ただ、事故調査局と名乗る詐欺師が、ターゲットや家族が過去に被った事故の補償を受けることができる、と切り出す既知の詐欺を彼女が誤解しているとも考えられます。
詐欺師との不毛な議論に一日を丸々費やすのは何としても避けたいので、私は「この電話番号は迷惑電話防止サービス(Telephone Preference Service:英国ではDo Not Callリストと呼ばれる)に登録している」と告げるようにしています。相手に電話を切らせるにはこれだけで十分です (以前は「そんなリストはない」、「自分のところは対象外だ」などと主張する詐欺師と激しく言い合ったこともあり、私が英国法やEC指令について簡単に言及すると相手は電話を切りました)。しかし、Do Not Callリストを悪用しようとする詐欺も存在します。実際、その一部は現在インドで多発するコールセンター詐欺の数年前から確認されています。
最も一般的なのは、「あなたの電話番号を登録しませんか」と持ちかけるケースです。もちろん有料です。こうしたリストへの登録は通常は無料ですので、相手の要求に応じてクレジットカード情報を提供するのは単なる浪費であり、しかもクレジットカードのさらなる悪用を招くだけでなく、いかなるリストに実際に登録されることもないでしょう。それどころか、米国の場合は連邦取引委員会が、第三者によるセールス電話無用リスト(National Do Not Call Registry)への電話番号の登録を許可していません。米国の読者の皆さんは、この点を頭に入れておいてください。ただし残念ながら、他のリストもすべて同様の扱いであるかは不明です。リストへの登録についても、現時点あるいは今後もすべて無料であるとは断言できません。それでも米国在住の方は、掛かってくる電話をいちいち疑うぐらいなら、セールス電話無用リストへの登録(https://www.donotcall.gov/)を検討するのをおすすめします。このページでは、自身の電話番号を有料で再登録するよう促すパターンの詐欺に注意を払うよう呼びかけ、利用者登録の有効期限はないと記しています。
- 発信者番号通知サービスを有効にして、国際電話や非通知着信であると確認できる場合は警戒してください。私個人としては、発信元の電話番号を非表示にする人物とビジネスを行うことはありません。とはいえ、明らかに地元から掛けていると見られる場合でも警戒心を緩めないようにしましょう。
- 電話の相手が名乗る企業について曖昧な点が見られる場合は非常に怪しいと考えられます。相手に熱意が感じられても、名称、企業または政府機関の連絡先の詳細、電話番号を尋ねてみてください。彼らの目的が正当なものであれば、自分で詳細情報を確認したうえで、折り返し連絡しても遅くはありません。突然掛かってきた電話の相手の言い分をそのまま鵜呑みにするのは危険です。
- 定期的にESETブログに目を通している方であれば、サポート詐欺を見分ける方法にはかなり詳しくなっているはずです。本記事を読んでいたら、Do Not Callサービスと名乗る相手にも疑いの目を向け、そのサービスが正当か自主的に確かめようとするでしょう。また、還付金や払い戻し、ホリデーキャンペーンと称した無料招待への応募など、予想だにしていなかった話が来ても「本当にもらえることはないだろう」と期待せずにいるのが賢明です。
- いきなり電話を掛けてきた相手に自分の金融情報を教えてはいけません。信頼に足る人物であると判明するまでは慎重に対応しましょう。
私たちの社会はキャッシュレス化に向かっているのでしょうか。最近、そんな疑問を北米のESETのチームにぶつけてみました。まあ、米国は間違いないでしょう。いまや現金で行われる取引は全体のわずか5~10%だと聞いています。しかし、セキュリティ問題を一切無視したとしても、特定種のクレジットや電子マネーの利用条件を満たしていない人たちはどうなるのかという疑問も残ります。停滞するグローバル経済ではなおさらです。残った10%については他の90%と比べてキャッシュレスへの移行は困難かと思われます。単純にクレジットを取得できない人たちがいるからです。
「現実」の通貨は、本質的には引換券といえます。すなわちそれを介せば商品と交換可能とされ、そして基準価値単位として仮に定義された具体的なオブジェクト(金本位制度の元での金塊)のほんの一部分、それが通貨なのです (「仮」としたのは、1米ドルの物的価値が発展途上国と米国との間で大きく異なるためです(米国の最も貧しい地域と比較しても異なるでしょう))。とはいえ、キャッシュレス化は単純に現金の廃止ということだけではなく、信用の話につながります。本質的には、健全な財務状態を維持している個人は信頼に値するということです。一般的に、債権者は素性の知れない依頼者にすぐにクレジットを提供することはなく、まずその人の包括的な財務情報を集めます。最初は、過去の取引履歴、生活環境、金融機関からの評価、前科の有無、病歴などが判断材料となります。しかし、依頼者が金融機関を利用すればするほど、金融機関側も依頼者についてより理解できるようになります。何をどこで購入しているのか、返済はどの程度信頼できるか、といった情報が蓄積されるからです。依頼主のプロフィールの詳細や信頼度は変化する場合がありますが、本来そういうものです。
キャッシュレス化は、自動的にセキュリティ面での悪影響につながるというわけではありません。確かに違法なクレジットを取得したり、他人のクレジットを盗んだりするよりも、(少なくとも怪しまれず、定期的に)硬貨や紙幣をねつ造する方が困難です。もちろん、有形物の交換を基盤とする物々交換経済では、詐欺行為を働くのははるかに難しいでしょう。一方で、現金の窃盗はクレジットや個人情報を盗むよりも容易となる場合もあります。また、紙幣記番号が記録されていない限り、流通の履歴を溯ることは一層困難となるでしょう。ただし、サービスの交換は信用の下に維持されるものであり、先進社会で行われる取引の量は有形、無形の間でほとんど差がありません。
制限はありますが、硬貨や紙幣はその物理的特性によって鑑識を行うことができます。類似したメカニズムでクレジットカードも鑑識を行うことができるかもしれませんが、(主に)キャッシュフリー経済では、カードの有効性だけでなく、顧客の信用力も問われます。顧客にとっては、カードを紛失した場合や個人情報をWebサイトや電話で提供してしまった場合に、信用力が損なわれないようにするのも難しい問題です。ただ残念なことに、こうした問題を認識しているからといって、実際に何か対処できるということにはなりません。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにしてこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何カ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。 リモートからコントロールが可能なワームの1種です。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2012年10月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち5.30%を占めています。
ESETは、セキュリティソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
この情報は、ThreatSense.net(※)の情報を元に作成しています。
- ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。