近年、PBXやIP電話対応機器などをご利用のお客さまに対し、かけた覚えのない高額な国際電話料金が請求される事象が発生しています。企業のお客さまの場合、とくにオフィスが無人となる土日・祝日や連休、深夜から早朝の間に被害に遭う傾向が見られます。
これらの被害は、お客さまが設置されているPBXやIP電話対応機器などの設定に問題がある場合やセキュリティ対策が不十分な場合に、悪意のある第三者がこれらの機器に不正にアクセスし、お客さまになりすまして国際電話を不正利用していることが原因であると判明しています。
お客さまにおかれましては、ご利用中のPBXやIP電話対応機器の設定状況をご確認のうえ、予め十分なセキュリティ対策を講じていただき、第三者による不正利用が行われないようご注意ください。
例えば以下のような方法で、お客さまになりすました国際電話の不正利用が行われるケースがあります。
なお、不正利用による国際電話の発信先として多い国/地域の例は以下の通りです。国際電話を利用されることがないお客さまは、後述の利用休止手続きを取っていただくことも可能です。また、国際電話を利用されるお客さまであっても、これらの国/地域へ電話をかけることがない場合、お客さまのご利用機器の設定を変更して、これらの国/地域への発信を停止することをお勧めします。
<発信先の国/地域例>
| 国番号 | 国/地域名 |
|---|---|
| 1-246 | バルバドス |
| 1-264 | アンギラ |
| 1-441 | バミューダ諸島 |
| 1-767 | ドミニカ国 |
| 1-876 | ジャマイカ |
| 7 | ロシア連邦 |
| 7 | カザフスタン共和国 |
| 32 | ベルギー王国 |
| 34 | スペイン王国 |
| 41 | スイス連邦 |
| 46 | スウェーデン王国 |
| 48 | ポーランド共和国 |
| 52 | メキシコ合衆国 |
| 53 | キューバ共和国 |
| 56 | チリ共和国 |
| 90 | トルコ共和国 |
| 212 | モロッコ王国 |
| 213 | アルジェリア民主人民共和国 |
| 216 | チュニジア共和国 |
| 220 | ガンビア共和国 |
| 221 | セネガル共和国 |
| 224 | ギニア共和国 |
| 225 | コートジボワール共和国 |
| 228 | トーゴ共和国 |
| 229 | ベナン共和国 |
| 231 | リベリア共和国 |
| 232 | シエラレオネ共和国 |
| 235 | チャド共和国 |
| 237 | カメルーン共和国 |
| 238 | カーボベルデ共和国 |
| 240 | 赤道ギニア共和国 |
| 241 | ガボン共和国 |
| 242 | コンゴ共和国 |
| 243 | コンゴ民主共和国 |
| 244 | アンゴラ共和国 |
| 245 | ギニアビサウ共和国 |
| 247 | アセンション島 |
| 248 | セーシェル共和国 |
| 252 | ソマリア連邦共和国 |
| 256 | ウガンダ共和国 |
| 257 | ブルンジ共和国 |
| 258 | モザンビーク共和国 |
| 260 | ザンビア共和国 |
| 261 | マダガスカル共和国 |
| 263 | ジンバブエ共和国 |
| 264 | ナミビア共和国 |
| 266 | レソト王国 |
| 269 | コモロ連合 |
| 297 | アルバ |
| 355 | アルバニア共和国 |
| 370 | リトアニア共和国 |
| 371 | ラトビア共和国 |
| 372 | エストニア共和国 |
| 375 | ベラルーシ共和国 |
| 376 | アンドラ公国 |
| 377 | モナコ公国 |
| 381 | セルビア共和国 |
| 382 | モンテネグロ |
| 383 | コソボ共和国 |
| 386 | スロベニア共和国 |
| 387 | ボスニア・ヘルツェゴビナ |
| 592 | ガイアナ共和国 |
| 593 | エクアドル共和国 |
| 597 | スリナム共和国 |
| 670 | 東ティモール民主共和国 |
| 675 | パプアニューギニア独立国 |
| 677 | ソロモン諸島 |
| 686 | キリバス共和国 |
| 678 | バヌアツ共和国 |
| 682 | クック諸島 |
| 685 | サモア独立国 |
| 960 | モルディブ共和国 |
| 967 | イエメン共和国 |
| 972 | イスラエル国 |
| 994 | アゼルバイジャン共和国 |
| 995 | ジョージア |
| 996 | キルギス共和国 |
<ご利用機器メーカー、契約中の保守事業者などへ必要に応じてご相談のうえお客さま自らで実施いただく主な対策>
<通信事業者へお申し込みいただくことでできる主な対策>
※長期間、国際電話を利用していないお客さまは、国際電話利用休止をご検討ください。
令和4年3月10日から6月8日までにヘルプデスクにお問い合わせいただいたメール情報。
総数 | 18件(17人分)※ |
流出情報 | メールアドレス、メール本文 |
※当該受託事業者の電子申請システムは、全国で約800の自治体が利用しているクラウドサービスであり、全国で2,312件の流出が発生し、うち船橋市電子申請システム関係で18件(17人分)のメール情報が流出したもの
日付 | 状況 |
5月20日 | ヘルプデスクに届いた不審メールを申請者からの問合せと誤認し、添付ファイルを実行し、マルウェアに感染。なお、この時点ではアンチウイルスソフトにより検知されず。 |
6月6日 | ヘルプデスクアドレスをかたった不審メール1件の申告を受託事業者が受領。以降、複数の利用団体から不審メールの申告を受託事業者が受領。 |
6月8日 | 受託事業者がアンチウイルスソフトによりマルウェアを無害化。 |
6月23日 | 受託事業者の業務パソコン1台が過去にマルウェア感染していた痕跡を検出し、5月20日に感染したことが判明。 |
6月29日 | 受託事業者の当該パソコンから情報流出したメール(2,312件)を特定。 |
6月30日 | 受託事業者より情報流出したメールに船橋市の情報も含まれる旨を受電。 |
7月1日 | 受託事業者より詳細説明(Web会議)。18件(17人分)のメールアドレス及びメール本文の流出があった旨、報告を受ける。 |
スコット・クイン・バーケット(25)は、嘱託殺人を犯したとして、1件の有罪を認めた。法廷文書によると、バーケットは2020年夏にオンラインで女性と知り合った。2020年10月、女性は被告とセクロスするためにロサンゼルスに飛んだ。
その後、女性はバーケットとの関係を絶とうとしたという。
2021年4月、女性の家族がバーケットのことをバーケットの父親に連絡した。
その後、バーケットはダークウェブで雇われ殺人と称するサイトを発見し、13,000ドルでヒットマンを依頼した。バーケットは注文書にこう書いていた
「事故に見えるか、強盗の失敗の方がうまくいくかもしれない。彼女が死んでいる限りは。彼女の携帯電話も回収して欲しいその過程で復元不可能なほど破壊して欲しい 彼女の死亡証明を送ってもらいたい。彼女の前腕の片方に特徴的な刺青があり、そのイメージがわかるので、遺体の写真と身元確認のための刺青の写真があればよい。加工された写真を避けるため、刺青の写真を送るのは控えることにします。できれば、アリゾナ州かアイダホ州かも教えていただければ、死亡記事で確認できます。
その後、ダークウェブ上の嘱託殺人のサイトを調査していた報道機関から、バーケットのヒットマンについて連邦捜査局に問い合わせがありました。その報道機関は、バーケットがサイトの管理者に提供した「被害者の身元と所在地、ソーシャルメディアのアカウント、ニックネーム、電子メール、被害者の特徴的なタトゥー」などの情報から、この女性が目的の被害者であると特定したのです。
ブロックチェーン分析ソフトウェアを使用し、捜査官は13,000ドルの支払い元としてCoinbaseを特定しました。Coinbaseの記録から、問題の口座の所有者がバーケットであることが確認されました。
FBIは、この女性にヒットマンとバーケットについて連絡した。彼女はFBIに対し、ロサンゼルスに飛び、そこで被告と寝たと言いました。彼女は彼の行動を "性的な攻撃 "と表現しました。ロサンゼルスを出た後、彼女はバーケットからのメッセージに返事をしなくなりました。彼女は、バーケットが「複数のソーシャルメディアや通信プラットフォーム」で自分に連絡を取ろうとしたことを不満に思っていました。
バーケットがダークウェブで雇ったヒットマンを装って、FBIの潜入捜査官がWhatsAppでバーケットに接触してきた。バーケットは潜入捜査官との会話の中で、何度も自分を陥れるような発言をした。
米国連邦地方裁判所のMark C. Scarsi判事は、2022年9月12日に判決公判を予定しています。バーケットは最高で10年の禁固刑に処されます。
出典:LA Man Tried to Hire a Hitman on the Darkweb
サイバーセキュリティの管理は、以前から多くの企業とその経営陣にとっての課題だった。そこにクラウドが加わったことで、多くの企業において、脅威にさらされる可能性のある領域が広がり、複雑さが増している。
これが特に当てはまるのは、クラウドサービスに関して自社のサイバーセキュリティの責任を認識さえしていないような”ザンネン”な組織だ。
”ザンネン”な組織は「いったん設定したら忘れていい」と考えていたり、「クラウドを使えばセキュリティとデータ保護に関するすべての責任を移譲できる」という考えが多いらしい。
しかし、これらの組織は今も多くの責任を負っており、適切な環境を整えて、クラウドを正しく設定し、きちんと保護されていないデータが「徘徊する」のを防ぐために、対策を実施しなければならない。
クラウドサービスの設定と保護に対する理解が不十分だと、機密情報が公開されたままになるおそれがある。さらには、オープンインターネットに直接公開されて、悪意あるサイバー犯罪者を含むあらゆる人の目に触れることにもなりかねない。
これは単なる理論上の問題ではなく、クラウド環境の設定ミスによって機密情報が公開されてしまう事例が頻繁に発覚している。
企業はクラウド環境を完全には理解していない。専門知識とスキルセットが不足しているため、一連の適切なセキュリティ制御を特定して実施し、クラウド運用を保護するのは難しい。
クラウドセキュリティを完全に無視しているように思える企業もある。その原因として考えられるのは、理解不足、スキルと専門知識の欠如、企業イニシアチブの競合に起因する時間的な制約、主要ツールに投資する予算の制約などだ。
しかし、クラウドセキュリティは無視してよいものではない。クラウドのアプリケーションやサーバーを使用しているなら、セキュリティ対策は必須だ。何と言っても、サイバー犯罪者やその他の悪意あるハッカーは、保護が不十分なサービスがないか目を光らせて、それを悪用して比較的少ない労力でネットワークにアクセスしようとしている。
たとえば、クラウドアプリケーションスイートを電子メールやドキュメント管理などの日常業務に使用する企業と従業員が大幅に増加している。これは従業員にとって有益だが、それらのアカウントが適切に保護されていなければ、攻撃者に簡単に侵入されてしまうおそれがある。
自社のクラウドセキュリティ戦略をしっかり把握していないと、情報セキュリティチームが不審な活動の初期の兆候を簡単に見逃していまい、手遅れになるまで気づけず、その頃にはすでに情報が盗まれているか、ネットワークがランサムウェアによって暗号化されているかもしれない。
クラウドサービスのサイバーセキュリティ防御を強化するために、情報セキュリティチームが実行できる追加の手順もある。たとえば、多要素認証を全ユーザーに展開するという対策だ。これを実施すれば、攻撃者が正しいパスワードを持っていたとしても、そのログイン試行が正当なものであることを確認する必要があるため、悪質な侵入を発生前に阻止して検出する機会が得られる。
IDアクセス管理と、権限を持つ関係者しかネットワークのデータシステムサービスにアクセスできないようにする機能は、本当に重要だ。重要なアカウントや重要なサービスでの多要素認証といった基本的なことを考慮しても、それらの機能は広い範囲で必要性が高まっている。
また、ソフトウェアがクラウドベースであるからといって、セキュリティパッチやアップデートが不要というわけではない。クラウドソフトウェアのセキュリティアップデートが提供されたら、できるだけ早く適用すべきだ。特に、サイバー犯罪者もその脆弱性を把握しており、全力で悪用しようとしているため、早期の適用が望ましい。そのためには、適切なクラウドベンダーを選ぶことが重要だ。
優良クラウドサービスプロバイダーは、自社製品のセキュリティ脆弱性を認識したら、できるだけ早く顧客にパッチを提供し、エクスプロイトを悪用する攻撃から保護された状態を維持する最大限の機会を得られるようにしている。ただ、それは顧客がアップデートを遅れずに適用する場合の話だ。
しかし、クラウドサービスプロバイダーの選択によって、クラウドセキュリティ戦略全体に大きな違いが生まれる可能性がある。多くのベンダーは対応が早く、クラウドソフトウェアの問題に関するアップデートや修正を迅速に提供するが、そうでないベンダーもある。契約書に署名する前に、そのベンダーが前者なのか後者なのかを見極めることが重要だ。
サービスの料金が非常に安くても、定期的なパッチ提供や攻撃対象領域の監視をしないクラウドプロバイダーは、選択する意味がない。結局のところ、漏えいのおそれがあるのは利用企業のデータだからだ。
クラウド関連のサイバーセキュリティ戦略を策定しても、それで終わりではない。クラウドサービスを最初に使い始めたときと同じように、セキュリティを無視して何も起きないことを祈る、というわけにはいかない。サイバーセキュリティは常に進化しており、新たな脅威が次々と出現する。ネットワークとユーザーを可能な限り安全に保護するために、新しい戦略を適用する必要がある。
出典:クラウドセキュリティを軽視しない--不十分な保護が招く多大なリスク -