IPA「情報セキュリティ白書2019」刊行、仮想通貨を要求する脅迫メールなど最新動向を報告

独立行政法人情報処理推進機構（IPA）は、情報セキュリティに関する動向をまとめた書籍「情報セキュリティ白書2019」を刊行した。白書は、2018年度に情報セキュリティ分野に起きた出来事の具体的事例や攻撃の手口およびその対策方法について解説する。2018年度は、「制御システム」「IoT」「スマートフォン」「ITサプライチェーン」「AI」などが注目のテーマとなった。本稿では、仮想通貨関連の概要を紹介する。

2017年に世界中で急激に被害が拡大した仮想通貨の不正マイニングは、2018年には減少傾向に転じた。その要因は、仮想通貨の価値が急落したことにより、攻撃者が思うように金銭を獲得できなくなったことが考えられるという。

不正マイニングの具体的な手口は、コンピュータウイルスの感染によって他人のコンピュータを無断借用し、バックグラウンドで仮想通貨をマイニングするクリプトジャッキングと呼ばれる不正行為が急増した。件数だけを見れば、ウイルス検知ソフトが不正マイニングをブロックした件数は、2018年は前年の1600万件から6900万件へと増加した。しかし月ごとの件数遷移を見ると、2018年始めをピークとし、その後、年末には半減している。仮想通貨の価格が急騰した2017年末から2018年年始にかけてクリプトジャッキングのブロック件数は急増したものの、仮想通貨の価格が急落するにつれて減少する結果となった。

不正マイニングの減少とは逆に、2018年は取引先などになりすましたビジネスメール詐欺や、多くの人が利用するサービスの偽サイトへの誘導、偽不在通知SMSによるフィッシング、性的脅迫による金銭要求など、人の思い込みやうしろめたさを悪用した手口の事案が増えた。2018年の夏には、新しい手口として「ポルノ動画を見ている姿をウェブカメラで撮影した」などと根拠のない脅迫で、仮想通貨を要求するメールも確認されている。事実無根のメールであるにも関わらず、指定された仮想通貨の口座に多数の入金があったという（参考記事）。

白書では、手口のみならずその対処方法についても解説をしている。たとえば、仮想通貨を要求する脅迫メールが届いた場合は、メールの内容は無視し、削除すること。脅迫メールには、現在使用中のパスワードが書かれていることがあるが、その場合はすぐにパスワードを変更し、該当するサービスへの不正アクセスがないか確認することを推奨する。URLの記載や添付ファイルのあるメールについては、クリックしたりファイルを開いたりしてはならないとした。

また、白書は2018年1月に起きた仮想通貨交換業者のコインチェック社が運営する仮想通貨交換所「Coincheck」が、不正アクセスを受けて仮想通貨「NEM」が流出した事件など、2018年度に起きた事件についても、その詳細と対策について解説する。

第2章の個別テーマ紹介では、2018年2月には欧州の水道事業者の制御システムが仮想通貨のマイニングウイルスに感染、10月には米国ノースカロライナ州の水道当局のシステムがランサムウェアに感染した事例など、個別の事例について報告している。

「情報セキュリティ白書2019」は、印刷書籍版がAmazonや全国官報販売協同組合、IPA直販などにて有料販売中だが、IPAのウェブでID登録をしたのちアンケートに回答した人を対象に、PDF版を無償提供している。