「【注意喚起】コロナワクチン予約システムを狙うサイバー攻撃」
新型コロナウイルス感染拡大が続いている日々、ワクチン接種がとても重要になっています。
しかし、コロナワクチン予約システムを狙うサイバー攻撃や、接種予約が取れない人々の心理を利用し偽の予約サイトへ誘導することで個人情報を盗み取るフィッシングも増えてきています。この記事では、国内外のコロナワクチン接種予約に関連する攻撃を紹介し、対策と注意すべきことについて述べます。
イタリアで発生する最も深刻なコロナワクチン予約システムへのサイバー攻撃
イタリアの首都ローマのあるラツィオ州のITシステムが、2021年8月1日からサイバー攻撃を受け、コロナワクチン接種の予約サイトヘのアクセスが出来なくなりました。8月2日の記者会見でラツィオ州知事の発言によりますと※1、「イタリアでこれまで発生した中で最も重大な犯罪の標的となりました」と述べています。
CNNによりますと※2、『マルウェアが侵入した部分は隔離できたが、「入り口」がまだ特定できておらず、サイバー攻撃が再開される可能性がある。』とのことです。
また、ファイルを暗号化して全システムを遮断する「クリプトロッカー」と呼ばれるマルウェアが使われました。身代金の要求がありましたが、それ以上の要求はないと述べられています。
今回のサイバー攻撃を受けてワクチン接種にどれぐらいの影響があったのかに関して、ラツィオ州の保健当局によりますと※3※4、8月6日に予約システムを復旧しており、ワワクチン接種への強い影響はなかったようです。
しかし、ヘルスケア全般のオンラインサイトが攻撃されたため、他の医療サービスへの影響があると思われます。
日本で発生するコロナワクチン予約に関するフィッシング攻撃
新型コロナウイルスワクチン接種をめぐり、ワクチン供給不足や、予約システム障害が起こることにより、予約がなかなか取れない、或いは予約が取れてもワクチン不足で予約キャンセルに遭った人から怒りや不安の声が上がっています。
攻撃者がそういう人たちの心理を利用し、「予約を代行する」などと偽って、個人情報を聞き出そうとする不審な電話が各地で相次いで起こっています。
国民生活センターによりますと※5、6月中に受け付けたワクチン接種に絡む詐欺とみられる相談件数は計163件、2月ごろから急激に増えてきています。
「接種の予約代行」や「料金を払えば優先接種を受けられる」などと電話や訪問で勧誘するケースが多く、最近では携帯電話にショートメッセージ(SMS)を送り付けて偽の予約サイトに誘導し、IDやパスワードを盗み取る「フィッシング」も増加しています。
例えば、福岡県でコロナワクチン予約を装うフィッシングで確認されたケースは以下の2パターンです。※6
- ケース①:
「新型コロナウイルスワクチン接種が殺到しておりますので、早めにアプリにてご予約ください」というメッセージが表示され、勝手に他人にSMSを送信する不正アプリをインストールするよう誘導されます。
- ケース②
「アカウントは、安全異常があるので、再度ログインしてください」というメッセージが表示され、実在の企業を装った偽サイトに接続し、ID・パスワード等が盗み取られます。
最後に
コロナ感染者数が毎日増加している中で、まだワクチン接種の予約ができていない方がいらっしゃるかもしれませんが、あまり焦らず冷静にコロナワクチンを予約しましょう。サイバー攻撃やフィッシング詐欺被害に遭わないために、以下のような対策を心掛けてみましょう。
- 様々な事業者に偽装した通知やURLリンクを開かない
- 知人のスマホから送られてきたものであっても一度立ち止って真偽を確認する
- 不正アプリや不正サイトによる脅威のリスクを下げるために、正規アプリ、サイトを利用する
また、サイバー攻撃に関連するニュースを早めに入手するために、こまめに公式サイトを確認しましょう。早く新型コロナウイルスが収束するよう、いつもの生活に戻れるよう願います。
セキュリティニュース(国内編)「フィッシングサイト増加にご注意を 過去最多8000件の報告」
今年の夏は去年に引き続き(引き続いてしまった)コロナ禍や、その状況下でのオリンピック開催と、皆様も今まで経験したことのない夏を過ごされたのではないかと思います。
日々変化する状況や錯綜する情報に振り回されているような状態ですが、攻撃者側はこの状況変化に即座にアジャストし、様々な攻撃/詐欺を繰り出し活動を活発化しているようです。
今回はこのコロナ禍での国内のセキュリティニュースをいくつか事例を交えてご紹介します。
フィッシングサイト増加にご注意を 過去最多8000件の報告
7月にフィッシング対策協議会が報告を受けたフィッシングサイトのURLが過去最多の8000件超となりました。*7
フィッシングサイトの報告件数は2月以降5か月連続で増加してきていました。増加している直接の原因については分かりませんが、コロナウイルス感染拡大やオリンピック開催に際してこれらに関連するような攻撃/詐欺が増加していると考えられます。
全体の傾向としてはAmazonを騙るフィッシングメールが多く、それ以外だと大手クレジットカードブランドのフィッシングサイトが多くみられました。*8
やはりコロナ禍における巣ごもり需要を狙った攻撃/詐欺は去年に引き続き盛んなようです。
本記事では7月~8月で報告された実際のフィッシング事例について2点ご紹介致します。
・日本年金機構を騙るフィッシング
フィッシング対策協議会が8月2日に日本年金機構を騙るフィッシングの報告を受けていることを発表しました。*9
フィッシングメールの内容としては、「電子年金ファイル」という実在しないサービスを案内し、日本年金機構のサービス「ねんきんネット」(こちらは実在するサービス)を装ったフィッシングサイトに誘導しています。
メールの文面も日本語的におかしなところは少なく、フィッシングサイトも本物のサイトと瓜二つで、見分けるのは非常に難しそうです。
・厚生労働省を騙るフィッシング
こちらは厚生労働省を騙るメールを送り、コロナウイルス対策のための情報収集と称してフィッシングサイトに誘導するという事例です。*10
アンケートの中にはコロナウイルスの症状の有無のほかに、緊急連絡先などの個人情報や証明書を映した写真のアップロードを求める内容もあったとのことです。
サイト内の「厚生労働省」の「労」の文字に中国語の繁体字に使われる「勞」が使われている点や、メールの文章が若干おかしかったりとフィッシングであることに気づけそうな内容ではありますが、昨今の感染拡大による混乱/不安感によってつい情報を入力してしまう人もいるかもしれません。
このように、コロナ禍に便乗したフィッシングや政府機関を騙る事例などが複数件報告されております。今後もこのような事例は引き続き報告されていくことが考えられます。
デルタ株による感染の増加等も含め感染者数は高い水準で推移しています。
日本でもロックダウンを行うかもしれないという話も出てきていますが、このような状況の変化にあわせて新しいフィッシングの詐欺が出てくることも考えられますので皆様もより一層このような攻撃/詐欺にはご注意ください。
セキュリティニュース(国内編)「夏休みにおける情報セキュリティ対策と注意喚起」
この時期は、長期休暇を取得する人が多く「システム管理者の長期間不在」や「友人や家族と旅行に出かけ自宅を留守にする」等、いつもの日常とは異なる状況になりやすい時期です。
普段であれば情報セキュリティ対策の方針、規則を遵守し多様なリスクから企業や個人を守れていたとしても、長期休暇の間は、不正アクセスや個人情報の漏えい、SNSへの投稿により思わぬ被害を招く可能性も十分に考えられます。 *11
また、上記被害が発生した場合の対処が円滑に行えず、被害が拡大する恐れがあります。
この記事では、このような事態を避けるための情報セキュリティ対策を記載します。基本的な対策にはなりますが、再度徹底していきましょう!
システム管理者、利用者向けの対策 *12
- 緊急連絡網の確認
緊急事態発生時に備えて、緊急連絡先や連絡手段、および連絡が流れていくフロー等が明確化され、全社員に共有されていることを確認します。
- 端末の電源が切れていることを確認
長期休暇中に使用しない端末、サーバ等の電源を切ることで外部からの攻撃を受けるリスクが軽減できます。
- セキュリティ更新プログラムの確認
悪意のあるファイル(マルウェア)はソフトウェアの脆弱性を悪用して攻撃を行います。セキュリティ更新プログラムを適用することでソフトウェアに存在する脆弱性を修正することが可能です。
セキュリティ更新プログラムを適用し、最新の状態を保つことが重要です。
- 端末やデータの持ち出しルールの確認、遵守
社外に端末やデータを持ち出すことには様々なリスクがあります。盗難・紛失による情報漏えい、通信の傍受・不正アクセス、ウイルスへの感染等の被害が発生しないよう厳重に管理することが重要です。
SNS利用者向けの対策
- 外出前、外出先でのSNSへの投稿に注意
SNSには不特定多数の利用者がおり、利用者がどのような目的を持って閲覧しているかわかりません。
SNSに旅行期間等を投稿すると、自宅を留守にしていることを知らせてしまう可能性があります。SNSへの投稿にはいつも以上に注意を払いましょう。
長期休暇を安心して過ごすことができるよう、今一度情報セキュリティ対策の見直し強化を行いましょう。
セキュリティニュース(海外編)「あなたの"顔"は絶対的安全な"鍵"になり得ない?」
突然ですが皆さんはご自身のスマートフォンやPCへのログイン認証に何を使っていますか?
旧来からのID/Passwordやパスコード、パターン認証等を用いることが未だ多いかとは思いますが、近年、指紋や静脈、網膜等の生体情報を用いた認証方式の実用化により、私たちの生活にも高速に浸透・普及が進んでいることを実感しています。
その中でも、近年特に注目を浴びている認証方式のひとつに"顔認証"が挙げられるかなと思います。
直近の関連するトピックとして、現在もパラリンピックが継続中のTOKYO 2020。大会関係者約30万人の入場時の本人確認として、大会史上初、顔認証が導入されたのは記憶に新しいところですよね。*13
また、顔認証が高精度であり、かつ高セキュリティである点がアピールされる一方で、消費者団体からは生体情報は「生涯不変の個人情報である」とし、顔認証システムの導入・利用の中止を求める共同声明も上がっていたりと、何かと世間を賑わす話題の絶えない注目の認証方式でもあります。*14
そんな私たちの注目を集める顔認証。最近海外でそんな顔認証のセキュリティに関する気になるニュースがあったことを皆さんはご存知でしょうか?
私たち純粋な顔認証ユーザのみならず、サイバー犯罪企む攻撃者からの視線もより熱いものとなってきているようです。
あなたの"顔"は絶対的安全な"鍵"になり得ない?
前述の通り、私たちの身近なものになりつつある顔認証技術ですが、近年その顔認証システムを意図的に破る新手の詐欺が増加しているようです。
ただ、近年増加とはいっても、顔認証システムを騙すという試みは2017年から既に報告されており、例えば同年、" 保険会社Lemonadeの顧客である男性は、金髪のかつらと赤い口紅をつけて撮影したムービーをアップロードし、「5000ドル(約55万円)のカメラが盗まれた」と主張しました。
しかし、LemonadeのAIシステムはムービーに詐欺の兆候を見いだし、男性がニセのアイデンティティを作成していると判断。Lemonadeによると、男性は過去に通常の装いで保険金を得ることに成功しており、AIは「同一の人物が別のアイデンティティを主張している」と判断したそう"といった事例の報告もありました。*15
もちろん、顔認証システムもそれら詐欺に対処するべく、セキュリティの強化の試行を重ねてはいるのですが、これも他のサイバーセキュリティ対策と同様に当面攻防のいたちごっこから抜け出すことはそう容易な話ではないと考えられます。
続けて、顔認証突破に関連する話題として、「マスターフェイス」なるものを用いた手法を支えるAIの登場を報じるニュース記事から、トピックを拾ってみたいと思います。
あなたの"顔"も「マスターフェイス」でカンタンになりすまされてしまうかも?
近年の顔認証技術突破の詐欺が増加傾向にあるという話。
今年に入ってそれを助長する可能性を示唆するニュースが目に留まりました。今年2021年8月、イスラエルのテルアビブ大学の研究チームによる発表で、彼らは"マスターキーならぬ「マスターフェイス」を生成するAIを開発した"ことを公にしました。この「マスターフェイス」なるものとは一体何かというと、"たった9つの顔で全体の40%以上の顔になりすまして、顔認証を突破可能"とするという代物だそうです。*16
参考元の記事に「マスターフェイス」の生成方法のコンセプトや用いられるアルゴリズムについての言及もあるので、ご興味ある方は是非覗いてみていただけたらと思います。
まとめ
今回の「セキュリティニュース(海外編)」では"顔認証"を取り巻くサイバーセキュリティという側面で、非常に簡単にではありますが、いくつか記事をピックアップし紹介しました。
これまで、生体情報を個人を特定するための認証情報として取り扱うことの是非は先述の消費者団体の共同声明に代表されるような主張のようにサイバーセキュリティ断面とはまた別の視点に立ったものが多い印象でしたが、今後は生体情報を用いた認証そのもののセキュリティ上の欠陥・弱点、いわゆる脆弱性を憂うことからその使用を制限・禁止、ひいては永久的な廃止を求める、もしくは決断するといった流れが加速する可能性もあるかもしれない、といった近い将来の潮流も予感させます。
今後も引き続き関連トピックスを追いかけて、興味深い内容を皆様と一緒に共有できたらと思います。是非今後もご愛顧の程よろしくお願いいたします。
■ 関連リンク・引用
※01:ワクチン予約システムがランサムウェア攻撃でダウン、被害を受けたイタリアの州知事は「テロリスト」とハッカーを非難, Gigazine, 2021/08/24
※02:ワクチン予約システム遮断、「最も深刻なサイバー攻撃」 イタリア, CNN, 2021/08.24
※03:Lazio Region: vaccine booking system restored, GPI, 2021/08/24,
※04:Prosecutors probe terrorism among reasons behind Italy region hacking - sources, Reuters, 2021/08/24
※05:ワクチン予約で不審電話 SMSで偽サイト誘導も―消費者団体が注意呼び掛け, JIJI, 2021/08/24
※06:新型コロナウイルスのワクチン予約を装うフィッシングに注意, 福岡県警察, 2021/08/24
※07: フィッシングサイトが増加 - 1カ月あたり8000件超、過去最多,Security NEXT, 08/24
※08: 2021年7月のフィッシング報告件数、約3万5千件と増加の兆し|フィッシング対策協議会,Trend Micro is702, 2021/08/24
※09: 日本年金機構をかたるフィッシング確認、偽サイトに注意を,BIGLOBEニュース, 2021/08/24
※10: 厚生労働省をかたるフィッシング詐欺、件名「【重要】新しいコロナウイルスの発生の予防と管理」などの不審メールに注意,INTERNET Watch, 221/08/24
※11:夏休みにおける情報セキュリティに関する注意喚起,IPA 情報処理推進機構,2021/08/24
※12:長期休暇における情報セキュリティ対策,IPA 情報処理推進機構,2021/08/24
※13:東京2020オリンピック・パラリンピック競技大会にNECの顔認証システムを納入,NEC,2021/08/24
※14:【共同声明】東京オリンピック・パラリンピックにおける生体認証技術の使用を直ちに中止することを求める,日本消費者連盟,2021/08/24
※15:顔認証システムをだます詐欺が急増、詐欺師はどうやって突破しているのか? ,Gigazine,2021/08/24
※16:顔認証の40%以上をたった9つの顔で突破するマスターキーならぬ「マスターフェイス」を作るAIが登場, Gigazine,2021/08/24
