2016年7月11日8:06
クレジットカード情報を含む個人情報の漏えい事件が世界規模で多発しています。今回は海外で導入が進む「情報の無価値化」をはじめとする情報漏えい防止対策の動向と実効性の高い技術について紹介いたします。
公立大学法人会津大学 特任教授 山崎文明氏
クレジットカード業界の現況~
CNPを中心とした犯罪に巻き込まれる可能性が高まる
2015年5月にVisaがセキュリティサミットを開催しました。このサミットでVisaのチーフリスクオフィサー(Mahesh Aditya氏)が、2014年を振り返って今どういう状況にあるかというお話をされました。
現状認識ですが、1つは、カードの流通総数が80億枚を超えた、つまり、世界人口よりはるかに多い枚数が流通しているということと、また、加盟店決済をつかさどる加盟店総数が3,800万社、それから決済代行業者が4,000社を超えたということです。特徴としては小規模加盟店が非常に増えたということで、この背景にはmPOS、モバイルPOSの普及があるといわれています。
それから、情報漏えい件数が急増しているということ。2015年度は対前年比23%増だということです。ヨーロッパのPCI SSCのコミュニティで、会長(インターナショナルディレクター)のジェレミー・キング(Jeremy King)氏によると、北米とEUを比較した場合、今まで圧倒的に少なかったEUのクレジットカード被害金額が、2014年度では逆転したとのことです。PCI SSCの年次総会でも、かなり激しい口調で、参加者にもう一度セキュリティの強化を徹底しようと訴え掛けていました。
EMVの普及はヨーロッパから始まっており、ヨーロッパでは83.5%がEMVなのに対し、北米ではわずか7.3%と、圧倒的にチップ化が進んでいない状況であったことなどから、これまでEUは北米と比べてカード犯罪が少ないといわれていましたが、昨今、カード犯罪の主役がいわゆる偽造カードからCNP(Card Not Present)に移行して、ヨーロッパでもCNP決済比率が高くなったことで、結果的に被害総額が北米を上回ってしまったということです。
新しい現象としては、昨今、飛行機の中でもクレジットカード決済ができるようになりました。実は、飛行機の中でWi-Fiで決済データを飛ばしたりすると、結果的に情報が盗られてしまう現象が起こっているという話がありました。そのような状況で、カード会社は今、情報解析をできるだけ高度化、高速化することによって被害をミニマイズする、最小化するという取り組みをされているということです。その典型的な例が、Visa の例ですが、CPPの特定を30分以内に終えたいと言っています。
2016年に入ってから、江崎グリコの情報流出事件が発生し、8万3,000件のクレジットカード番号が漏えいしていますが、このケースで、カード会社からの通報で江崎グリコが認知するという事態、これがいわゆるCPP、Common Point of Purchaseというものです。クレジットカードの不正利用が何ヶ所かで起こると、その方のクレジットカードの購買履歴をカードブランドで突合します。すると、例えば3人の不正利用被害者があったとして、その3人がすべて江崎グリコにレジストしているということであれば、漏えい元は限りなく江崎グリコだということになるわけです。カード情報の流出元をできるだけ早く特定することによって、被害金額を抑えるということです。
3人の情報が漏れているということは、江崎グリコにクレジットカード番号を登録している他の人の情報も漏えいしているわけですから、当然悪用されるだろうということで、その決済を集中的にトラッキングして不正利用を防ぐわけです。このようなかたちで、CPPをできるだけ早く特定することが、クレジットカード犯罪の被害額の極小化に繋がるということで、Visaは30分以内という目標を掲げて取り組んでいらっしゃるということです。
もう1つ、各カード会社が声高に強調しているのが、データの無価値化です。英語でDevaluation、バリューをなくす、de valueという意味でDevaluationといいますが、これを進めようとしています。トークナイゼーション(Tokenization)はクレジットカード番号自体を無価値化するという意味で、別の番号に置き換えることでデータを無価値化する手法の1つです。
このようなところが、今、カード会社が置かれている状況です。確実にいえることは、非常に脅威が高まっているということ。改善方向には向かっておらず、むしろCNPを中心とした犯罪に巻き込まれる可能性が非常に高くなっています。
今、マスコミでたびたび報道されている、国内外を通して起こっている個人情報を中心とした漏えい事件では、クレジットカード番号が含まれているケースもあればそうでないケースもありますが、情報漏えいという意味では本質は同じです。したがって、すでに発生した事件の本質的な原因を理解するということが、結果的には効果的な対策につながると考えられます。
日本年金機構の個人情報漏えい事件で問われる脅威の認識
例えば2015年、日本年金機構が大量の個人情報漏えい事件を起こし、私たちが認知するところとなりました。この事案についての私たちの漏えいに対する脅威の認識は、果たして正しく行われているのかということを考えてみたいと思います。
この事件が報道され、マスコミが真っ先に批判を浴びせたのは、年金機構職員のパスワード管理が徹底されていなかったことです。ホストコンピュータからダウンロードしてきた年金受給者の情報に関しては、ファイルプロテクトという意味でパスワード保護しなさいというルールが決められていたのにかかわらず、職員が運用を徹底していなかった、ということが報じられました。
マスコミとしては、年金機構の職員、あるいは組織の体質が、いわゆる「消えた年金問題」の当時と一向に変わっていないのではないか、精神的に弛んでいるのではないかということを言わんがために、パスワード設定がされていなかったことを非常に強調して報道するわけです。マスコミの意図があっての報道ですから、それはそれとして、残念ながら年金機構の公式な調査報告書も、マスコミと同じような論調で、パスワード設定が徹底されていなかったことが厳しく指摘されていました。しかし、この問題の本質は、本当にそこにあったのでしょうか。
事件のおさらいをしますと、年金機構の職員がいわゆるフィッシングメール、偽装メールを開いてしまい、結果的にウィルス感染しました。パソコンがウィルスに感染したので、ウィルスが活性化し、活動し始めるわけです。すると、外部のC&Cサーバとよばれる遠隔操作命令を出すサーバに接続されて、遠隔操作が可能な状態になりました。ちなみにC&Cサーバは、Command & Control Server、つまりパソコンに対して命令、コマンドを出して相手のパソコンをコントロールするという意味です。こちらから操られる状況になったということで、年金加入者の個人情報がどんどんC&Cサーバに転送されて、結果的には中国に出ていくわけですが、外部流出したという事案です。
遠隔操作状態にあるということが何を意味するかというと、パソコンの中にどんなプログラムでも送り込むことができます。例えば、キーロガーという、キーボードのストロークの記録を盗れるようなプログラムを送り込めば、仮に年金機構の職員がパスワードをかけていたとしても、そのパスワード自体がキーボードのストローク履歴という形で読み取られてしまうので、パスワードをかけること自体がまったく意味をなさないのです。それ以前に、年金機構の職員がパスワードを入力した状態でファイル操作をしていれば、当然データを何もしないで持っていけるわけですから、このケースに関してはパスワードがまったく意味をなしません。
同じような事案で、北米アメリカ連邦政府の職員情報が2,000万件も大量漏出したという事件が、2015年6月に発生しています。そのデータが一部公開されているサイトを見ると、実際に画面がキャプチャされたものも公開されています。ということは、犯人側からは明らかに、乗っ取った画面が遠隔で見える状態になっていたということです。パスワードを入力する行為自体が筒抜けになっているのですから、パスワードの設定がなされていなかったという指摘自体が、本質的な改善にはつながらないということになるのです。
このような意味で、このパスワードに関する指摘は非常に本質的ではないと言えます。今回利用されたのはEmdivi(エンディビ)と呼ばれるウィルスですが、30数種のEmdiviの亜種のソースコードを解析すると、すべて都内のレンタルサーバに接続するようになっています。IPアドレス125.206.115.79で、実際にはIPアドレスがウィルスにコーディングされているわけではなく、URLがコーディングされています。URLをIPアドレス変換すると、今読み上げたようなアドレスになりますが、たまたま年金機構の職員が開いたEmdiviのバージョンにはSummit Shipping Agenciesという海運会社のURLがオンコーディングされていて、そこにウィルスが接続に行くわけです。
実は、このIPアドレスはセキュリティのリサーチャーの間ではよく知られていたアドレスであり、以前からC&Cに仕立てられている、つまり誰かから乗っ取られている状態であることは有名な話でした。今回、内閣官房のNISC(内閣サイバーセキュリティセンター)にあるGSOC(政府機関情報セキュリティ横断監視・即応調整チーム)が年金機構の不正アクセスを検知したということになっていますが、検知できて当たり前なわけです。つまり、IPアドレスのブラックリストであるIPレピュテーションテーブルに以前から登録されているアドレスですから、そのサーバに対する年金機構内部からの通信接続要求が出れば、年金機構内のパソコンがウィルス感染したことは明らかですので、セキュリティリサーチャーの立場からいえば、これは発見できて当然というわけです。
ネットワーク監視の効果で発見できたと思われるかもしれませんが、これはある意味、手を抜いた攻撃だったといえます。つまり、IPレピュテーションテーブルに登録されているC&Cサーバから遠隔操作されるということは、そのIPアドレス自体がすでにアンチウィルスベンダーに知られており、IPSやIDSといわれる不正アクセスの検知システムの監視対象になっています。相手が本気だった場合は、まだ世間のセキュリティベンダーに捕捉されていないIPアドレスを使うわけです。そうすれば、仮にそこと内部のパソコンから通信が始まったとしても、それが不正アクセスかどうかは誰にもわかりません。つまり、誰かがウィルスを捕捉して解析して、中に埋め込まれているURLを見届けたうえで、それをIPアドレスに変換して初めてIPレピュテーションテーブルがつくられるわけですから、相手が本気であれば未知のIPアドレスを使ってくるわけです。本日ご参加の金融機関の場合は、犯罪者が年金機構よりはるかに高いレベルで攻撃をかけてくるということを考えると、未知のIPアドレスを使ってくる可能性が高いということであり、そのような意味では、まだまだ発見できないアクセスがあるかもしれないということです。
また、今回のケースでは、NISCから不正なアクセスを検知したという表現で連絡が来たわけですが、実際にはNISCの担当者はおそらくそれを上司に伝えます。それを聞いた上司が、厚生労働省の情報政策参事官に伝え、それをまた部下に伝え、年金局に伝え、年金局が現場のネットワーク管理者に伝えるという伝言ゲームを繰り返した可能性があります。
昨今起こっているデータ流出事案では、C&Cサーバの向こうに必ず犯人が待ち構えています。ひと昔前であれば、ウィルスをばら撒いて、誰か引っ掛かった奴がいないかというかたちで、例えば翌日、遠隔操作できるパソコンがあれば、遠隔操作が始まりますが、今、私たちの身に降りかかってきている事態はさらに進んでおり、24時間スタンバイしている人がいます。添付ファイルを開いたということがわかれば、すぐさま遠隔操作に入り、そこに有効なファイル、価値のある情報があるかないかを見極めて、一般には10分以内に遠隔操作が始まるといわれています。ですから、理想からいえば5分以内に遮断しないと、監視していても結局は後の祭りになってしまうということです。
これを私たちが他山の石として考えなければいけないのは、今、仮に皆さんの会社でネットワークの監視をどこかに委託していた場合、通報が何分で上がってくるのかを再確認することと、その間に余計な伝言ゲームが入っていないかということです。
攻撃の端緒はフィッシングメール
例えば、2013年3月20日、韓国で大規模なサイバーテロが発生しました。金融機関を中心にATMが止まってしまう事態になりましたが、この事件も実は、システム管理者がフィッシングメールを開いたことに端緒があります。私たちはこれから伊勢志摩サミットを経験しますが、もしかしたらサミットに向けて金融機関を対象にした大規模サイバーテロが仕込まれているかもしれません。犯人は何カ月も前からウィルスを仕込みます。この韓国のサイバーテロも6カ月くらい前からウィルス感染させられており、そのいくつかが時限起動式のウィルスで、3月20日の14:00に活動開始するように設定されていたのですが、同じようなことが日本でも起こるかもしれません。
2015年12月にはウクライナで大規模な停電が発生しましたが、これも人事部に届いたフィッシングメールを開いたのが端緒だといわれています。また、2015年7月に発生した2,000万件以上のアメリカ連邦政府職員の情報流出では、ソーシャルセキュリティナンバーやCIAの諜報機関のメンバーリストも含めて漏えいしていますが、これも人事担当者に届いたフィッシングメールを開いたことが端緒です。先ほどご紹介した日本年金機構の事件も、フィッシングメールを開いたのが端緒だということです。
特に韓国の事案に関しては、システム管理者がクレジットカード会社から送られてきた月次明細のメールを開いたことに問題があったということです。何を申しあげたいかというと、メールアドレスの運用に関して、公私を分けることを今一度徹底しなければいけないということです。例えば、会社のメールアドレスを通販ショップに登録しているとか、韓国のシステム会社のように、クレジットカード会社の月次明細の送付先に職場のメールを登録しているということがリスクを拡大します。公私を分けて、業務用にあてがわれたメールアドレスはそれ以外に使用しないことを徹底する必要があるということを物語っています。
メールアドレスの運用に関してもう一度、スキがないかを十分点検しなければなりません。フィッシングメールに対する訓練をやっていらっしゃる金融機関もあろうかと思いますが、基本的には不審点がまったくない、完全に本物と思い得るような偽装メールがつくられているのが今の時代ですので、訓練したからといって必ずしも回避できるものではないという実態がそこにあるということを知っておいていただければと思います。
日本年金機構の事案は、メールアドレスがどこから漏れたのかが非常に大きなポイントになると思います。ひとつにはinfo@○○といった公開メールアドレスがあります。どの会社にも、個別のメールアドレスをご存じないお客様のために受付用のメールが用意されていると思いますが、ほとんどのケースで、@の後ろが通常の業務用と同じドメインです。管理人がそれを開封してしまうと、業務用端末パソコンに感染する可能性が非常に高いわけです。その意味では、受付用のメールアドレスは別ドメインで受けるといった工夫も大事だろうと思います。年金機構の場合も、最初に届いたメールが受付用メールアドレス宛てだったといわれています。受付用メールアドレスは、誰がどんな目的で送ってくるかわからない非常にリスクの高いアドレスですので、ドメインを分けることも検討されればいかがかと思います。
年金機構のメールアドレスがどこから漏れたのか。受付メールアドレスは別として一般職員にも届いていますので、どこから漏れたかは調査ポイントとして非常に重要だと思うのですが、残念ながら年金機構の公式な報告書はそのあたりにほとんど触れていません。その意味で、調査のポイントがずれているのではないかというのが、私の率直な感想です。
ハッキングの初手はWHOIS検索から
一般論としてですが、推測しやすい職員メールというものがあります。例えば私がハッカーだとして、年金機構にハッキングをかけようとするとします。ハッカーが100人いれば、100人が100人とも最初にWHOISデータベースを調べます。
WHOISにはドメイン管理者の情報を登録してあります。例えば、わけの分からない会社からわけの分からないメールが来たときに、攻撃を受けているのではないかと思いますが、もしかしたら相手のサーバコンピュータの故障かもしれません。そういうケースが多いわけですが、そのような場合、相手のドメイン管理者が誰かわからないと連絡の取りようがありません。お互いに連絡が取れるようにということで、WHOISという、ドメイン管理者情報のデータベースが用意されており、誰でもアクセスできるし、検索できます。
ハッカーはここから得られる情報を足掛かりにします。ターゲットを定めたら、まずWHOISデータベースを確認することからハッキングを始めるわけです。そういうわけで、年金機構のWHOISデータを検索してみたいと思います。
ドメイン名で検索できますので、検索キーワードとしてnenkin.go.jpを入力します。検索ボタンを押すと、日本年金機構の登録管理者や技術連絡担当者の欄にMHで始まる記号が出てきます。これはJPNICのハンドル名で、ここに実名登録しなくてよいということで、ハンドル名で登記することが許されています。年金機構の場合もハンドル名表記されていますが、これにアンダーバーが引かれているので、もしかしたらクリックできるかもしれないということでクリックします。すると実は、実名が表示されるようになっています。
ここまでわかれば、フィッシングメールをつくるのは簡単です。日本年金機構の職員録があれば、その職員録にメールアドレスの表示がなくても、同じパターンでアドレスをつくればいいわけです。私は山崎文明といいますが、yamasaki-fumiakiとnenkin.go.jpを組み合わせれば、もしかしたらメールが届くかもしれない。このWHOISデータの情報が、フィッシングメールをつくる最大の情報源になっている可能性があるということです。
実際、ハッカーはフィッシングメールをできるだけ地位の高い人に送ろうとします。例えば、社長に送れば、もしかしたらオールマイティなアクセス権限が得られるかもしれないと考えるわけです。フィッシングメールは現場担当者に来るだけではなく、基本的には職位の高い人、イコール、日本の企業文化でいうと高アクセス権限者に送られているということです。
そういった意味では、各サービスへの登録を制限する、公開されているメールアドレスは別ドメインにするといった対応が必要になります。また、今回のようなセミナーの参加者リストが売買された場合、同じ人がセキュリティ関係のセミナーにレジストしている情報があれば、間違いなくセキュリティ担当者だということが特定できてしまいます。その人のセミナーの参加カテゴリがどういう分野かということによって、その人の職種まで判るわけです。そういうことが行われている実態があるということで、もう一度メールアドレスの運用について見直しをかける必要があるということです。
フィッシングメールを防ぐDMARCという仕組み
日本では普及していませんが、DMARC(Domain-based Message Authentication, Reporting & Conformance)という仕組みがあります。フィッシングメールは一般に社内メールを偽造します。例えば定期健康診断のお知らせといったありがちなメールを、社内のメールだと思わせて開かせるのです。ですから、@から後ろは、年金機構ならばnenkin.go.jpで来るケースが多いわけです。実際の年金機構の事件の場合は、たまたま@から後ろがyahoo.co.jpだったわけですが、一般的なフィッシングメールはnenkin.go.jpで来ます。受け取った人は、それが毎年のように受け取っている健康診断の予定を確認するメールだと思って開いてしまうケースが多いのです。
ところが実際、社内のドメインサーバのIPアドレスと、社外から犯人が送ってくるメールサーバのIPアドレスは異なりますので、ドメイン名とIPアドレスの不一致があれば確実にフィッシングメールだといえます。それを確認することによって、偽装メールかどうか区別がつくのです。このSPF(Sender Policy Framework)という仕組みに、メールに対する署名を組み合わせたものが、DMARCという仕組みです。
昨年、Visaのセキュリティオフィサーとお話しをする機会がありました。Visaでは@にvisa.comという、フィッシングメールにとても使われやすいアドレスを使っており、実際、億という単位のフィッシングメールが飛び交っていたそうですが、2014年にVisa InternationalがDMARCに参加し、この仕組みを取り入れた途端、ドラマチックにVisaを騙るフィッシングメールがなくなったということです。Visaを騙れなくなるということは、Visaがお客様に対して加害者になる可能性が排除できるということですが、このように、基本的に自社のブランドに対して非常に高い意識を持っている会社からDMARCに参加しています。すべての企業がこのDMARCに参加すれば、フィッシングメールを送られなくなる時代が来るわけです。ちなみに、総務省は全国の自治体に対してDMARCに参加するように通達しています。
※本記事は2016年3月12日に開催された「ペイメントカード・セキュリティフォーラム2016」の公立大学法人会津大学 特任教授 山崎文明氏の講演をベースに加筆を加え、紹介しています。
