サイバー犯罪

中国のサイバーセキュリティ最新情報DNSの乗っ取りとIoT関連犯罪

中国のサイバーセキュリティ最新情報:DNSの乗っ取りとIoT関連犯罪 Brian King Director of Internet Policy and Industry Affairs, MarkMonitor   2019年1月25日 サイバーセキュリティを担当する皆様に朗報です。2018年12月25日、中国の最高人民法院は、中国政府が公布する判例集「指導性案例」最新版(第20号)の中で、DNSの乗っ取りに関する重要な判決を含む、サイバーセキュリティ関連の案例5件を取り上げました。   2010年11月以降、中国政府は、厳選した最近の重要判例に対する法的見解に注目させることを目的として、約100件の指導性案例を公布してきました。中国の指導性案例には、下級裁判所による将来的な判決のための有効な先例を確立するだけでなく、政府の法的処置および政策上の優先事項を一般向けに通告する目的があります。   これは、アメリカの連邦最高裁判所が、その管轄内で審理する訴訟を、連邦最高裁判所自身の裁量で最重要とみなす案件に絞り込み、裁量上訴を認める方法に似ています。ところが、中国の政府機構には西洋式の権力の「抑制と均衡」がないため、中国の体制では行政府と立法府の優先事項も反映させ、政府全体としての優先事項について明確な見解を提供することができます。   中国政府の優先事項 歴史的に、指導性案例には、民事、刑事、行政などさまざまな判例が含められてきましたが、今回出版された指導性案例第20号には、サイバーセキュリティ関連の案例しか含まれていません。おそらく、習近平国家主席がサイバーセキュリティを重視していることを認知させ、それを実行することを狙った動きだと思われます。周氏は、中国政府がサイバーセキュリティを重視していると明言しています。たとえば、2018年4月20日に開催された中国国家のサイバーセキュリティと情報化の取り組みのためのカンファレンス(Chinese National Cybersecurity and Informatization Work Conference)の演説の中で、周氏は「サイバーセキュリティなくして、国家のセキュリティはなく、経済と社会は安定せず、幅広い人民大衆の利益を保証することはできない」と宣言しました。   最高人民法院の指導性案例第20号は、この周氏の方向性を発展させ、DNSの乗っ取りに関する重要な判例を含め、5件の異なるサイバーセキュリティ事例に注目しています。巻頭を飾る案例は、被告人が、中国系検索エンジン「5w.com」の親会社から750,000人民元(100,000米ドル)以上の報酬を受け取ることを目的とした事例です。不正なコード使ってインターネットユーザーをその意図する移動先から転送し、ユーザーの知らないところで5w.comのウェブサイトに移動させたウェブトラフィックの窃盗事件でした。   ベストプラクティスの適用 MarkMonitorでは、SSL認証を適切に管理し、HSTSリスティングを調査して、サイバー攻撃の影響を緩和するようクライントに推奨しています。先ほどの判決が下される前、中国で発生したDNSの乗っ取りに関する同様の訴訟は、民事事件として扱われていました。今回、上海裁判所はこの行為を「コンピューター情報システムを破壊する犯罪」に昇格させ、被告人に3年の実刑判決を言い渡しました。こうした犯罪の例として、イギリスの雇われハッカーが2年8カ月の実刑判決を受けた事件では、あるリベリア系ISPにインターネットに接続されたIoTデバイスのボットネットを展開して、競合するISPのネットワークに対するDDoS攻撃を発動し、その結果皮肉にも、リベリア国内のすべてのインターネット接続が障害を受けたとされています。   最高人民法院が公布した他の4件の指導性案例のうち2件は、WeChatのような一般的に普及しているプラットフォームでの賭博営業のホスティングをサイバー犯罪として明示するものです。残りの2件は、電子的手段またはマニュアル手段を問わず、インターネットに接続されるIoTデバイスを妨害することも、中国における「コンピューター情報システムを破壊する犯罪」と見なすことを強調するものです。サイバーセキュリティ担当にとっては、IoTの指導性案例で取り上げられている判例の幅広さは喜ばしいことかもしれません。1件目のIoT案例では、被告人は、「GPSジャマー」を使い、コンクリートポンプ車5台をハッキングした罪で2年半の実刑判決を受けました。2件目のIoT案例では、大気質測定局の政府関係者が、「綿糸を使って採集分析器を塞ぐ」という稚拙な方法で、公的に報告される大気質の数値を歪めたなどの罪で、合計約1年の実刑判決を受けました。   今後の予想 この指導性案例が中国のサイバー犯罪に与え得る抑止力についてはまだ不明です。特にBloombergが2018年10月のレポートで伝えたように、中国のサーバー犯罪者が米国系大手企業が使用するハードウェアにスパイチップを組み込むことに成功していた等のニュースを見ると、サイバーセキュリティ担当者の中には、この指導制案件をまだ懐疑的に捉えている方も多いのではないでしょうか。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

広がるフィッシングキットのわな

広がるフィッシングキットのわな Stefanie Ellis Portfolio Marketing Manager, MarkMonitor   2018年7月10日 フィッシング攻撃による影響を見てみると、驚きのデータが飛び込んできます。MarkMonitorが実施した調査によると、2018年第1四半期のフィッシング攻撃数は、前年同期と比べ79%も増加したことが分かりました。   フィッシングが蔓延した主な理由は非常に明白です。フィッシングは成功すれば、サイバー犯罪者が違法行為に必要な顧客の機密データを手に入れる方法として、大変効果的な方法だからです。しかし、攻撃が増加した背景には、「フィッシングキット」のコモディティ化も挙げられます。このキットが登場したことで、フィッシングサイトを簡単に立ち上げることができ、サイバー犯罪者のさらなる蔓延を招いているのです。   フィッシングキットは、アーカイブフォルダー(通常は、.zipまたは.rar)で構成されています。コード、情報、グラフィックス、その他ファイルなど、必要なものがすべて含まれていて、比較的簡単にフィッシング攻撃をしかけることができてしまいます。通常は、ダークウェブ、プライベートオンラインマーケットプレイス、メッセージボードなどのどこかにあるホストにアップロードされています。   キット自体は、コーディングやフィッシングに詳しいプロのオンライン犯罪者が開発・作成していますが、ホストにアップロードされた後は、事実上、誰でも(技術的な知識がない人でも)入手でき、高度なサイバー犯罪を実行でてしまうのです。キットの普及は、今後もフィッシング攻撃が増加することを意味しています。これまで以上に広い範囲でわなをしかけ、増加するオンライン犯罪者の数に比例し、被害者の数も増えるでしょう。   MarkMonitorは、過去28カ月間で10万回以上のフィッシングキットの使用を確認しました。ひと月あたり約3,600点のフィッシングキットが見つかったという計算になります(同月内の重複を除く)。興味深いことに、サブセット内の重複を除くと、確認されたフィッシングキット数は約6万に減りました。これは、多数のフィッシングキットが使い回されていることを意味します。 サイバー犯罪者は、これらのキットが削除されたり摘発されたりしないように対策していますが、MarkMonitorはフィッシングキット関連のリスクを抑える非常に効果的な革新的テクノロジーを開発しました。MarkMonitor独自のフィッシングキット分析機能で、すべてのインスタンスを「フィッシングキットファミリー」と呼ばれる分類にまとめることで、それぞれの攻撃を特定し、フィッシングサイト閉鎖時にキットのコンテンツを除去あるいは回収する作業を容易にします。   スマートフォンのカメラで誰もが写真家になったのと同様に、フィッシングキットの登場で、悪意を持つ者なら誰もがサイバー犯罪者になることができてしまいます。世の中に出回るすべてのフィッシングキットを見つけ出すことは不可能かもしれませんが、MarkMonitorの専門知識と高度なソリューションで、貴社ブランドがマイナスの影響を受け続けることがないようサポートさせていただきます。MarkMonitorのフィッシング対策ソリューションの詳細については、こちらクリックしてください。   MarkMonitorのソリューションについてはこちら 英語原文はこちら