はじめに
580億円相当の仮想通貨のNEMが盗まれたということが契機となって、金融庁が仮想通貨交換業者7社に対しての行政処分を発表するなど話題になっている。本来なら盗んだ人間が加害者のはずなのに、新聞報道では盗まれたではなく、流出したと仮想通貨交換業者が加害者のように報道しているのが気になる。まあ、仮想通貨交換業者も仮想通貨とともに急成長したので、体制が整っていない面は確かにある。これを機会に体制の一新を期待したいところだ。今回は、仮想通貨というよりは、一般的なサイバー攻撃の現状とか動向とか、対策について調べてみた。

1. サイバー攻撃
1.1 サイバーテロ
日本語のWikiでサイバー攻撃を検索すると、サイバーテロと同義と出てくる。そして、サイバーテロ(cyber-terrorism)とは、ネットワークを対象に行われるテロリズムであり、電子計算機損壊等業務妨害罪、威力業務妨害、民事損害賠償請求訴訟の訴因行為となる可能性があるという。英語のWikiでは、もっと過激な説明で、利益を得るため脅迫等を通じて生命の喪失または重大な身体的害を脅かす暴力行為を行うためのインターネットの使用とある。サイバーテロに対する危機感の違いが感じられる。具体的には、コンピュータウイルスやコンピュータワーム、フィッシングなどのツールを使用してコンピュータの意図的で大規模な中断を含むテロ活動とある。今回のネムも従業員が利用するコンピュータにウイルスを感染させてNEMを搾取したサイバーテロだ。今回は、580億円という金額がクロースアップされているが、一般の金融機関でも相当の被害を受けている可能性があり、それが表に出ていないだけではないかとも危惧される。まずは具体的なサイバー攻撃の手法を確認してみたい。
（出典：Wiki、参考1）

1.2 ランサムウェア
ランサムウェア(Ransomware)とは、身代金(Ransom)とマルウェア(malware)の造語で、これに感染すると利用者はそのコンピュータ等を使えなくなる。そして、その制限を解除するためには身代金を払えと要求される。マルウェアとは、悪いを意味するMalとソフトウェア(Software)の造語だ。ランサムウェアの典型はトロイの木馬としてシステム内部に侵入してから繁殖する。悪質なマルウェアは、システムを暗号化し、身代金を払わなければ暗号を解除しないと脅かす。しかし、身代金を払ったからといって暗号が解除されるとは限らない。2013年には25万個以上のランサムウェアが見つかったという。最近では、次のランサムウェアが猛威を振るっている。

1) WannaCry
2017年5月から大規模なサイバー攻撃が開始され、150ケ国の23万台以上のコンピュータに感染した。感染すると、自分のPCやサーバーのデータが勝手に暗号化される。身代金として仮想通貨を要求するという。仮想通貨のマイニング処理をするPCは、サイバー攻撃のターゲットになりやすい。WannaCryは、特に古いWindowsシステムをターゲットにしたため、マイクロソフトは緊急パッチで対応したが、数百万から数十億ドルの損害賠償を受けたと推定されている。日本語のWikiには記載がないが、英語のWikiには、「セキュリティ専門家は、ワームの予備的評価から、この攻撃は北朝鮮から起きたものであると信じている」という記述まである。
（出典：Wiki、参考2）

2) GoldenEye
2017年6月にウクライナを中心に世界各地に拡大した。WannaCryと同様にWindowsの脆弱性を突いて感染を広げる新種のランサムウェアだ。2016年に出現したランサムウェアPetyaの亜種となる。ウクライナの国営電力会社やウクライナの首都キエフの国際空港に感染し、チェルノブイリ原子力発電所の周辺でも、ウィンドウズ・システムを使う放射線センサーが作動しなくなった。Petyaは、ハードディスク(HDD)を暗号化し、ビットコインで300ドルの身代金を要求するが、GoldenEyeは、ファイルの暗号化に加えて、ネットワーク内のPCにも感染する。チェルノブイリ原子力発電所の放射線モニタリングシステム、ウクライナの銀行、キエフの空港や地下鉄のほか、デンマーク、英国、ロシアにも感染が拡大しているという。Petyaの復号化ツールは存在するが、GoldenEyeのファイル復号ツールは開発中だという。
（出典：internet watch、参考3）

3) CryptoLocker
2013年9月5日から2014年後半に発生したランサムウェアCryptoLockerによるサイバー攻撃の被害が広がった。感染した電子メールの添付ファイルなどを介して感染し、RSA公開鍵暗号を使用して、特定のファイルを暗号化する。指定された締め切りまでにビットコイン等での支払いを要求し、締め切りを過ぎると10ビットコインに跳ね上がる。当時は安かったが、例えば昨年のピークなら240万円なので、2400万円の支払い要求と同じだ。CryptoLockerは、2015年5月末にOperation Tovarを介して隔離された。米連邦捜査局(FBI)によると、2015年6月までに1,800万ドルを超える被害が発生したと推定されている。
（出典：Wiki、参考4)

1.3 標的型攻撃
標的型攻撃とは、特定の組織または業界をターゲットにしたマルウェアだ。ターゲットとなる組織のメンバーにウイルスに感染したメールを送付するのが典型例だ。ターゲットとなるのは、政府機関、金融機関、公共サービス機関、製造業、知的財産を保有する組織などだ。通信事業者を対象にした標的攻撃も頻繁に発生している。一般的には、標的型攻撃(Targeted attack)というが、攻撃者が情報を盗み出すまで執拗に攻撃を繰り返す場合は標的型脅威(Targeted threat)という場合もある。攻撃には、電子メールでの攻撃、ポート攻撃、ゼロデイ攻撃、フィッシングメッセージなどがある。
（出典：Wiki、参考5）

1.4 D-DOS攻撃
DoS攻撃とは、Denial of Service attackの略で、サーバーなどのリソースに過剰な負荷をかけて脆弱性をつく攻撃だ。DoS攻撃には、ウェブサービスに大量のリクエストを送りつけるフラッド攻撃(Flood＝洪水)と、サービスの脆弱性を利用し、例外処理を強要して、サービスを利用不能にする攻撃がある。そして、この前者のフラッド攻撃では、大量の踏み台と呼ばれるマシンからターゲットとなるサービスに一斉にアクセスをする攻撃手法があり、これを特にDDoS攻撃(Distributed Denial of Service attack)と呼ぶ。DDoS攻撃には、さらに２つの類型があり、一つは攻撃者が数百万台にも及ぶ大量の踏み台を不正に乗っ取った上で、そこから一斉にDoS攻撃をしかける協調分散型DoS攻撃であり、第二の類型はDRDoS攻撃(Distributed Reflective Denial of Service attack)だ。このDRDoS攻撃とは、攻撃者が攻撃対象のマシンになりすますという卑劣な方法だ。具体的には、攻撃対象のマシンになりすましたマシンから一般の大量のマシンにリクエストを送信し、その大量のマシンからに一斉に返信させることで、対象の対象のマシンを攻撃する。DRDoSは、踏み台が必要でないため、攻撃が発覚しづらくより悪質だ。
（参考：Wiki、参考6）

1.5 フィッシング
インターネットの利用者からユーザ名やパスワード、クレジットカード情報などの経済的価値のある情報を盗む詐欺行為をフィッシングという。英語では、phishingという。sophisticated fishingの造語という説や、password harvesting fishingの略という説もある。イギリスのメッセージラボ社によると、2003年9月は月間約280件が2004年3月は月間約22万件まで増加したという。日本でも2004年12月に国内初のフィッシング詐欺の被害が確認された。2014年2月にリリースされたMicrosoft Computing Safety Index(MCSI)によれば、フィッシングの世界的な影響は年間50億ドルにも上る可能性があり、損害を修復するコストは約60億ドル、一件あたりの損害は632ドルと発表した。
（出典：news.biharprabha、参考7）
1.6 APT攻撃
APT攻撃(Advanced Persistent Threat)とは、標的型攻撃のうちでも特に、高度でかつ持続的な脅威だ。独立行政法人 情報通信研究機構(NICT)のによると、APT攻撃とは特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続するサイバー攻撃と定義している。そして、バックドア不正プログラムを投入する初期侵害、バックドアとの通信を確立する拠点確立、パスワードを抜き取る権限昇格、イントラネットの構成を調べる内部偵察、イントラネット内を移動する水平展開、バックドアの追加設置などの存在維持、そして最後に情報を搾取する任務遂行と長期的かつ悪質な行為だ。

1.7 ソーシャルエンジニアリング
ソーシャル・エンジニアリングを日本語で言うと社会工学だ。技術士の20部門に経営工学はあるが、社会工学はない。この社会工学とは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のことだ。つまり、人間の心理学や行動学を研究して、悪いことをする技術だ。これを研究するのはどうかと思うが、これを悪用する人への対策を検討するのは意味があるかもしれない。フィッシングやスキミングも人間の心理的な隙をつくという意味ではこの社会工学の研究対象だ。そして、社会工学技術は認知バイアスに基づく。認知バイアスについては事項で説明したい。悪質な社会工学は次のようなものだ。

1) スピアフィッシング
一般的なフィッシングは、不特定多数の人間にウイルスに侵された電子メールを送信するためその成功率は3%程度と低い。しかし、スピアフィッシングでは、ターゲットを定めて、事前調査をした上で周到に攻撃するため、その成功率は70%にも達するという。一度ターゲットにされるとそこから逃れるのは難しいのかもしれない。元々の意味は素潜りで銛や水中銃で魚を捕らえるスポーツのspear fishingだ。

2) 水飲み場攻撃
英語ではWater Hole Attackとか、Water Holingという。RSAセキュリティが2012年にその攻撃を認識した。普段アクセスするサイトを水飲み場に例えたものだ。攻撃者はターゲットが普段アクセスしているウェブサイトを特定し、ターゲットが改ざんしたウェブサイトにアクセスするように誘導する。そして、ターゲットがその改ざんされたサイトにアクセスするとターゲットユーザーのコンピュータにマルウェアが導入される仕組みだ。最近では、これの亜流だが、amazonのサイトを改ざんして、amazonのアカウントを乗っ取ったり、偽物を売りつける詐欺が増えているようだ。
（出典：amazon、参考8）

1.8 認知バイアス
いわゆる先入観や偏見、思い込みなどと同義だ。これが発生する原因は脳の機能や構造に起因する。具体的には次のようなものがある。
1) プライミング効果：先行する情報が後続の学習や連想に影響を与える効果だ。例えば、連想ゲームの前に果物の話をして赤というと、りんごやいちごを連想しやすくなる。
2) アンカリング効果：最初に提示された情報が消費者の行動に影響を与える効果だ。例えば、ランチで肉食べ放題980円と言うのぼりを見ると、ついその店に入ってしまうような効果だ。昨日もまんまとこのアンカリング効果で焼肉店に入ってしまった。まあ、肉の質はいまいちだったけど、久しぶりにたっぷりと焼肉を食べられたので良しとしよう(笑)。
3) 確証バイアス：確証バイアス(confirmation bias)とは、自分に先入観に基づいて自分に都合の良い情報だけを集めて、自分の先入観を補強し、正当化する効果だ。人間にはこのような効果があることを人間はある種謙虚に理解する必要があるのかもしれない。
4) 正常性バイアス：正常性バイアス(Normalcy bias)とは、自然災害や火事、事故・事件などで何らかの被害が予想される状況下においても、自分は大丈夫とか、今回は大丈夫とかリスクを過小評価する効果だ。正常化の偏見や恒常性バイアスとも言う。人間は、自分にとって都合の悪い情報を無視したり、過小評価したりしてしまう傾向があるという。

2. サイバー攻撃の現状と動向
2.1 サイバー攻撃の変遷
2000年の頃は単独犯による不正侵入が主だったが、これが組織化され、botnetが話題となった。2010年になると攻撃も体系化・多段化されている。そして、その動機もいたずら目的から金銭目的に変遷している。そして、その手口もソーシャルエンジニアリングを活用してより巧妙になっているので、注意が必要だ。

（出典：IPA/亀山社中、参考9）

2.2 サイバー犯罪の被害額
サイバー攻撃の被害件数は5年で10倍に増大しているという。また、2015年当時のサーバイ被害額が4000億ドル($1=120円として、48兆円)だ。もし、その後も5年で10倍に増大しているとすると、2020年には500兆円規模の被害になるという。NEMの580億円の被害など単なる一例ではないか。

（出典：マネックス証券、参考10）

2.3 増大する被害規模
下の図は、銀行を対象としたサイバー攻撃の規模を図示したものだ。

(1) RBS World Pay：2009年にエストニア、ロシア、モルドバの3人のハッカーがRBS WorldPayの米国のコンピュータに不正アクセスして、機密データを入手した。ATMの現金引き出しに必要なPINを解読し、米国、ロシア、ウクライナ、エストニア、イタリア、香港などの280都市2,000台以上のATMから約4400万ドル相当のデビットカードが盗まれた。
(2) RAKBANK事件：国際的な犯罪者団体が2012年12月にアラブ首長国連邦国立RAKBANK、2013年2月にオマーンのマスカット銀行を標的とした攻撃が行われた。RAKBANKでは12月22日のわずか数時間で20カ国4,500のATMから5百万米ドルを奪った。マスカット銀行では2月19日の10時間未満で24カ国36,000のATMから4,000万ドルを奪った。その後、マネーロンダリングの罪で米国のメンバー7人が逮捕された。
(3) JPモルガン・チェース：2014年10月にJPモルガンは7,600万の個人アカウント侵害を発表した。1年後に米国連邦当局は1億米ドル以上のネットギャンブルを運営する4人の男性を告発した。つまり、アカウントを盗んだ犯人は、そのアカウントで現金を搾取するのではなく、そのアカウントをダークネット等で販売し、対価を得ることで利益を得たということだろう。
(4) Anunak / Carbanak：2013年から2015年の間に、Anunak/Carbanakと呼ぶサイバー犯罪グループが約50のロシアの銀行を攻撃し、約10億ルーブル(2500万ドル)を搾取した。攻撃は、銀行のネットワーク内に潜入し、ターゲットとなるサーバーを特定した。攻撃者はATMソフトウェアの操作や電子財布、クレジットカード、プリペイドカード、携帯電話に送金する決済システムなどを捜査してキャッシュを得た。被害を受けた銀行２行は免許を剥奪された。
(5) バングラデシュ銀行：2016年2月にサイバー犯罪者はバングラデシュ中央銀行のFRB口座から951百万ドルを盗み出そうとした。5件101百万ドルの取引は成功し、2000万ドルが搾取された。この事件でバングラデシュ銀行総裁は辞任した。
（出典：Qure、参考11）

長くなったので、この辺りで前半(1/2)としたい。

後半(2/2)の構成
　3. 対策手法

　3.1 個人レベルの対応
　　(1) OSやアプリのアップデータ
　　(2) アンチウイルスソフトの見直し
　　(3) 詐欺メールを見破る
　　(4) 使わないPCはオフライン
　　(5) ワンクリック詐欺
　　(6) 踏み台にされない＝加害者にならない
　3.1 対策ツール
　　
(1) ファイアウォール
　　(2) UTM
　　(3) WAF
　　(4) IDS/IPS
　3.2 多層防御
　3.3 組織的対応

　　(1) SOC
　　(2) CSIRT
　3.4 分散型攻撃には分散型システムで対応
おわりに
以上

参考 1：https://en.wikipedia.org/wiki/Cyberterrorism
参考 2：https://en.wikipedia.org/wiki/WannaCry_ransomware_attack
参考 3：https://internet.watch.impress.co.jp/docs/news/1067653.html
参考 4：https://en.wikipedia.org/wiki/CryptoLocker
参考 5：https://en.wikipedia.org/wiki/Targeted_threat
参考 6：https://ja.wikipedia.org/wiki/DoS攻撃
参考 7：http://news.biharprabha.com/2014/02/20-indians-are-victims-of-online-phishing-attacks-microsoft/
参考 8：https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=202029300
参考 9：https://www.ipa.go.jp/files/000024224.pdf#search=%27サイバー攻撃+分類+IPA%27
参考10：https://info.monex.co.jp/news-archive/201602/news1602_11/
参考11：https://www.cqure.nl/kennisplatform/insights-learned-from-anatomy-of-cyber-attacks-targeting-banks