クレジットカードの危険性

セキュリティ問題は今や、“ビジネス・リスク”としてとらえるべし

関連トップページ：セキュリティ管理（CSO Online） | ネットワーク／ワイヤレス | 【特別企画】Technology Update

http://www.ciojp.com/contents/?id=00004559;t=31

昨今、オンライン犯罪の組織化と攻撃の巧妙化に伴って、サイバー犯罪の脅威はさらに高まっている。こういう状況下にあって、CIOは、スパム・メールやフィッシング・メールに対処するだけでなく、場合によっては業務が完全にマヒするといった事態も想定したうえで、情報セキュリティ対策を講じる必要がある。本稿では、実際に犯罪集団に狙われ、Webサイトが“昏睡状態”に陥らせられた米国金融機関の取り組みを通して、新手のサイバー犯罪に備える方法を明らかにするとともに、ビジネス・リスクの1つとしてセキュリティ対策を実行するためのポイントを探りたい。

クリストファー・コッホ ● text by Christopher Koch

ねらい撃ちにされたバンキング・サイト
サイバー攻撃によってCFEフェデラル・クレジット・ユニオンのWebサイトは“昏睡状態”に陥った。同社でIT／マーケティング担当上級副社長を務めるケビン・ドハーティ氏（左）は、問題に対処するなかで、CEOと役員にセキュリティをビジネス上の重要な問題だととらえるように進言した。また、フィデリティ・インフォメーション・サービスでCTOを務めるジョー・ナッカシ氏（右）は、「携帯端末の普及に伴って、企業はネットワークだけでなくデータを保護する必要も生じてきた」と語る photo by Preston Mack
　多くのCIOにとって、自社あてに届くスパムやフィッシング・メールの処理など手慣れたものだろう。米国・フロリダに本拠を置く信用組合CFEフェデラル・クレジット・ユニオンでIT／マーケティング担当上級副社長を務めるケビン・ドハーティ氏も、金融機関である同組合の名をかたったスパムやフィッシング・メールが多いこともあって、かねてからそうしたメールへの対応はお手のものだった。

　だが、そんな同氏も、2006年8月に届いた、手の込んだフィッシング・メールにはぎょっとせざるをえなかったという。

　そのメールは、同社に実在する役員を差出人としており、内容は、その役員が当時、実際に同社の顧客に対して行っていた新しいVISAクレジットカードへの移行キャンペーンに関するものだった。メッセージには、「新カードへの移行に問題が発生した」との記述があり、問題発生に至るまでの経緯や対応状況までが詳細に説明されていた。そして、発覚した問題を修正するため、メッセージに記載されたリンクをクリックし、リンク先のサイトで自分のアカウント情報を入力するように指示されていたのである。

　もちろん、リンク先のサイトは、CFEとは何の関係もない犯罪グループが用意した偽サイトである。そのため、もし顧客がメールから誘導された偽サイトでアカウント情報を入力すれば、顧客の金融資産がそっくり盗まれてしまうおそれがある。そこで、ドハーティ氏は即座に、CFEのWebサイトに掲載していたVISAクレジットカードへの移行キャンペーン情報を削除し、代わりに、フィッシング・メールが発生しているとの警告メッセージを掲載することで、顧客に注意を促したのである。

　そうして、いったん騒ぎは沈静化したものの、それからいくらもたたないうちに、ドハーティ氏は、再び度肝を抜かれることになる。

　対策を講じた金曜日の午後2時ごろ、「まるで野球のバットで叩き壊されでもしたかのように」(同氏)、同社のWebサイトが警告メッセージもろとも、忽然と消え去ったのである。

　ドハーティ氏は、このとき初めて、フィッシングやスパムといった従来の問題とは別の、今まで経験したことのない事態が起きていることを知った。そして、自分が勤務する会社が組織犯罪の標的になったことを理解し、そのことに強い憤りを覚えた。

　「これは無差別攻撃ではない。連中は、当社がクレジットカードの移行を進めていることを突き止め、集中攻撃を仕掛けてきたのだ」（同氏）

　実は、このとき、CFEのWebサイトは、分散DoS（Distributed Denial of Service：分散サービス妨害）攻撃によって“昏睡状態”に陥っていたのである。同社のWebサーバには、トロイの木馬が仕込まれた世界中のコンピュータから、最も多いときで1秒間に60万パケットを超える偽のサービス要求が一斉に浴びせかけられていた。IPアドレスよる制限をかけたところで、すぐに他のサイトから大量のサービス要求が届くため、再起動すらままならない状態が続いていたわけだ。

巧妙化するサイバー犯罪の手口
　CFEのケースは、最近のサイバー犯罪の特徴を示す典型的な例と言える。犯罪グループがCFEとその顧客に対して二面攻撃を仕掛けたという事実は、彼らがこの2、3年で技術力や先見性といった点で大きな進化を遂げたことを表している。

　ガートナーの調査によると、こうした巧妙なやり口のオンライン犯罪は、現在、28億ドルの規模を持つ“ビジネス”にまで成長しているという。そして、この非合法ビジネスの多くが、従来のように、金融サービス会社をメイン・ターゲットに据えるのではなく、新たな獲物をねらって対象を拡大させてきているという。

　例えば、フィッシング詐欺対策に奔走している業界団体アンチ・フィッシング・ワーキング・グループ（APWG）によると、「フィッシング犯罪者は、2007年1月以降、SNSやギャンブル・サイトなど、これまで標的にされなかったようなWebサイトにまでねらいを定めるようになってきた」という。

　また、犯罪グループが、標的に対して長期戦を仕掛けることも多くなった。例えば、大手小売店TJXで2007年に起こった大規模なデータ流出事件では、犯罪グループは、顧客のクレジットカード番号を抜き取るために、同社のシステムに1年以上にわたって複数回アクセスしていたことが分かっている。

　TJXが米国証券取引委員会（SEC）に提出した年次報告書によれば、それは、「ほとんどのファイルのデータは2006年に盗まれたと思われるが、どういった技術を使ったのか、彼らはその痕跡すら残していなかった」というほどの巧妙さだった。また、米国司法省のコンピュータ犯罪／知的所有権部で主席次官を務めるクリス・ペインター氏は、「人目を引くような大掛かりな攻撃を避けるようになったのが最近の傾向だ」と指摘する。

　このように犯行が巧妙化するにつれて、フィッシング攻撃の被害に遭う消費者の割合も増加している。ガートナーの調査によれば、偽サイトをクリックしたことのある消費者の割合は、2004年の18.6％から、2006年には24.9％にまで上昇した。また、「実際にフィッシング攻撃を受けた／受けたと思う」と回答した人の数も、2004年の5,700万人から、2006年には約2倍の1億900万人に達した。さらに、金銭的な損失を被った被害者数こそ減少しているものの、被害者1人当たりの損害額は、2005年から2006年までの間に4倍に跳ね上がっている。逆に、損失を取り戻すことができた割合は、2005年に80％あったものが、2006年には54％にまで減少した。

　このように、最近のフィッシング攻撃は、コンピュータに関する高度な教育を受けたことのあるユーザーでさえすぐには気づかないほど巧妙化しており、目立たないが確実に、脅威を拡大させているのである。

　また、フィッシング攻撃がやっかいなのは、たとえ直接的な被害は免れたとしても、コストは発生するという点だ。米国連邦取引委員会（FTC）の推計によると、個人情報の流出によって、消費者のクレジット・ヒストリー（クレジットカード利用歴）が傷つけられた場合、元の状態に戻すには、平均で30～60時間が必要だとされる。

　また、米国ポネモン・インスティテュートが顧客の個人情報を紛失したり盗まれたりしたことのある56の組織を調査したところ、攻撃の検出、顧客への通知、顧客の問題解決のサポートなどに、平均で40万ドル（1クレジット・ヒストリー当たり128ドル）もの費用がかかっていることが分かった。

　だが、被害者となった企業にとってサイバー攻撃の最大の脅威は、こうした金銭的に解決することが可能な問題ではなく、会社の信用などにかかわる修復するのが困難な問題なのである。オンライン証券会社スコットトレードでCIOを務めるイアン・パターソン氏は、「サイバー攻撃への対応を誤れば、データが消えたり、顧客に迷惑がかかったりするだけでは済まない。マーケティングやカスタマー・サービスをはじめとして、会社としての信用、信頼までもが毀損されるのだ」とその被害の大きさを強調する。

　こうしたことから、サイバー犯罪に対しては、IT部門やセキュリティ・ベンダー、セキュリティ・コンサルタントだけでなく、現場の従業員から役員に至るまで、地位や部門にかかわらず、社員全員の理解と協力、コンセンサスを得て、取り組むことが不可欠だということが分かろう。しかしながら、実際の企業では、そうしたことが全社的な共通認識になっていることは少ないと言える。

　では、CIOはそうしたなかで、どのようにサイバー犯罪に取り組んでいけばよいのだろうか。以下では、米国におけるいくつかの事例を通して、そのポイントを探りたい。