Yahoo!ニュース

ドコモ口座事件は氷山の一角?犯罪組織が入手した情報を流通させるエコシステムの存在はないか?

大元隆志CISOアドバイザー
昨年から金融機関を装ったフィッシング被害が急増していた。(写真:アフロ)

 全国12の銀行で73件、1990万円の被害総額となり、大きな社会問題となったドコモ口座を利用した不正引き出し事件。今なお被害の全容は掴めておらず、今後被害が更に拡大することも予想される。

 今回の事件の犯行手口等は捜査機関によって今後明らかになっていくと期待されるが、筆者は今回の件を単独の事件と捉えてしまっては、本質的な対策にはならないのでは無いかと懸念している。あくまで筆者の推測でしかないが、昨年から国内の金融機関を装ったフィッシング攻撃が多発しており、こういった一見すると繋がりのない金融機関を狙った攻撃が、犯罪組織の間で共有されているのでは無いかと危惧している。

■フィッシング攻撃のレベルが格段に向上した2019年

 昨年、多くの金融機関を装ったフィッシング攻撃が急増し、フィッシング対策協会が「多くの金融機関をかたるフィッシング (2019/12/26)」として警告を出していた。

三井住友銀行をかたるフィッシング (2019/09/26)。出典:フィッシング対策協議会
三井住友銀行をかたるフィッシング (2019/09/26)。出典:フィッシング対策協議会

フィッシング攻撃の技術が格段に向上しており、ブランドイメージ等も再現した巧妙なフィッシングメールやフィッシングサイトが急増していた。

 こちらの画面は実際の攻撃に利用されたものだが、ひと目見ただけでは大半の人が三井住友銀行のサイトと勘違いしてしまうだろう。このような巧妙に作られたフィッシングサイト等を利用して要求される情報は様々であり、クレジットカード番号や、セキュリティコード、電話番号、銀行口座番号等が求められていた。

 こういったフィッシング攻撃を仕掛けて収集された情報はその後どのように利用されるだろうか?収集した犯罪者が利用することも勿論あるだろう。

 しかし、現在ではこういった犯罪者が集めた情報を売買するダークウェブのような「サイバー犯罪者のエコシステム」の存在が知られており、犯罪者同士が利用する「エコシステム」でこれらの情報が流通していた可能性も十分に考えられる。

■狙われる金融機関

 警視庁も昨年、不正送金被害の急増を警告しており、被害の多くはフィッシングによるものとみられている。日本国内の金融機関を狙ったサイバー犯罪が増加している状況がうかがえる。

 

2019年9月から急増している不正送金被害。出典:警察庁「フィッシングによるものとみられるインターネットバンキングに係る 不正送金被害の急増について」
2019年9月から急増している不正送金被害。出典:警察庁「フィッシングによるものとみられるインターネットバンキングに係る 不正送金被害の急増について」

■ドコモ口座も犯罪者のエコシステムが利用された?

 上記のような動向から、日本国内ではフィッシング攻撃を利用した銀行口座情報の収集は以前から活発化しており、金融機関を狙う攻撃も増加傾向にあったことがうかがえる。これらの一連の犯罪の増加は「単なる偶然」なのだろうか?筆者は、関連性があると考えている。

 今回発覚した「ドコモ口座を利用した不正送金」も、こういった金融機関を狙った攻撃の一部に過ぎないという可能性は無いだろうか?ドコモ口座「単独」の犯罪であると捉えてしまうと、犯罪の本質に辿り着けないような気がしてならない。

 あくまでも、筆者の想像にすぎないが、総当り攻撃のような手段は通常金融機関では特定IPからのアクセス試行制限がかかっていると推測されることや、一旦ドコモ口座にログインしてから口座開設の手続きを行う処理を実行するには、ドコモ口座専用の口座開設のシステムを準備しなければならないため、犯罪が発覚すれば無駄になるシステムをサイバー攻撃者が時間とコストをかけて作り上げるとも考えづらい。

 そう考えると、もっと楽な方法、口座情報一覧を入手し、足のつかない実行犯を募集し、短期間でてっとり速く換金して逃亡する手段を取るのではないだうか。

 

サイバー攻撃者のエコシステムが存在するとした場合の、ドコモ口座を狙った攻撃の推測図。
サイバー攻撃者のエコシステムが存在するとした場合の、ドコモ口座を狙った攻撃の推測図。

 筆者の想像を図にするとこのようなものになる。ドコモ口座とは別の犯罪組織が、フィッシング攻撃によって多数の銀行口座情報を収集。それをダークウェブ等で販売。あるいはその他の手段を利用してサイバー攻撃者間で共有されたのかもしれない。そして、今回のドコモ口座を狙った犯罪組織がそれらの情報を入手。口座名や口座名義人、生年月日等を組み合わせて、ドコモ口座で口座を開設。生年月日を暗証番号として利用していた人や、1234等の単純な暗証番号を利用していた人が被害にあったということは無いだろうか?

■捜査機関にはドコモ口座だけで終わらせないようにしてほしい

 ここであげた例はあくまで筆者の推測にすぎない。しかし、本件がドコモ口座への単独の犯罪と捉えられ、もし犯人逮捕後に捜査を止めてしまうと、犯罪の本質に辿り着けないような気がしてならない。

 サイバー攻撃は近年高度化しており、単純な攻撃の背後には、巧妙なシナリオが存在している可能性もゼロではない。捜査機関には犯罪組織の間に存在するエコシステムの可能性等も視野に入れて、捜査に取り組んで頂きたい。

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事