【ニュースリリース】RSA Quarterly Fraud Report Vol.111

フィッシングという言葉が1996年に出現して以来、手口は進化し続けており、被害総額と被害者数は上昇の一途をたどっています。RSAは2003年よりオンライン犯罪対策サービス「RSA FraudAction」を提供しており(国内提供は2006年から)、トロイの木馬などマルウェア攻撃を検知し、フィッシングサイトを閉鎖しています。FraudActionの中核であるAFCC(Anti-Fraud Command Center:不正対策指令センター)は、今年で設立16年目を迎え、フロード・アナリストが24時間365日体制で数カ国語を駆使してマルウェア解析、犯罪手口の解明に従事しています。

本ニュースレターは、AFCCが定期的に公開しているインテリジェンスレポートからフィッシングやオンライン犯罪情報、統計情報をまとめたものです。犯罪者による金銭などの経済的な利得を目的とした攻撃、消費者を標的とした攻撃に関するデータと、RSA® Fraud & Risk Intelligenceチームによる分析を掲載しています。多様な業種、規模の消費者にサービスを提供している企業が効果的なデジタルリスクマネジメントを実現するために役立つサイバー犯罪環境のスナップショットです。(2019年第4四半期版: 2020年3月26日発行)


  1. エグゼクティブサマリー
  2. 犯罪の攻撃傾向: 2019年第4四半期
    • 攻撃のタイプ別発生状況
    • フィッシング攻撃の対象国と攻撃がホストされた国
  3. 費者を狙った犯罪の傾向:2019年第4四半期
    • チャネル別に見る犯罪的取引の発生状況
    • クレジットカードを使った正規の取引と不正な取引の比較(eコマース・地域別)
    • 盗まれたクレジットカード情報とRSAが取り戻した情報
  4. 特集:サイバー攻撃がグローバル組織の最優先で管理すべきリスクに
  5. 日本でホストされたフィッシングサイト(月次推移)

 

1. エグゼクティブサマリー

サイバー攻撃トレンド2019年第4四半期

RSAが第4四半期(2019年10月1日から12月31日)に、グローバル規模で観測した犯罪の傾向です。

  • 2019年の1年間、RSAは世界全体で255,095件の攻撃を検知しました。これは、1時間あたり約30件に相当します。
  • フィッシング攻撃は、サイバー犯罪者による攻撃方法の支配的な地位を保ち続けており、この第4四半期にRSAが認知したすべての攻撃の約60%を占めています。全体的に、フィッシング攻撃件数は前年比で54%増加しています。
消費者を狙った犯罪の傾向: 2019年第4四半期
  • すべての攻撃方法で攻撃件数は前年比で増加を続けており、金融機関の利用者を狙うマルウェアを使った攻撃は41%、ブランドの不正な使用は62%、主なアプリストアで発見された不正なモバイルアプリケーションにいたっては175%も増えています。
  • 第4四半期にRSAが検知した不正な取引の5件に3件は、モバイルブラウザーからのものでした。
  • RSAは、この一年で3250万件を超える盗まれたカード情報を取り戻しました。2019年に入って取り戻したカード情報の総量は2600万件を超えました。RSAが取り戻すことができたクレジットカード情報の漏えいが多かった上位5ヵ国は、米国、インド、スペイン、ブラジル、英国となっています。
特集:サイバー攻撃がグローバル組織の最優先で管理すべきリスクに

2020年は、クラウド、AI、IoTなど長年注目を集めるテクノロジーに大胆に投資を続けてきた企業において、デジタルトランスフォーメーション(DX)が価値のある成果をもたらし始めた年として記憶されるように、広く期待されています。
デジタルトランスフォーメーションは、無限の機会の可能性に加えて、従来のリスク管理に固有のリスクを生み出すと同時に、従来型のリスク管理に革新的な変化をもたらしています。この記事では、最近公開されたRSA Digital Risk Reportからの抜粋を紹介しながら、企業などの組織がどのようなデジタル化手法に投資しているのか、そのことがリスク管理の優先順位にどのような影響を与えているのか、さらには、デジタルリスク管理におけるセキュリティ、リスク、ビジネスの各リーダーの役割について説明します。

 

2. 犯罪の攻撃傾向: 2019年第4四半期

攻撃のタイプ別発生状況

2019年第4四半期、RSAは全世界で前四半期比約7%増にあたる59,267件の不正行為を検出しました。
攻撃手法別では、フィッシング攻撃の増加が増加しています。ソーシャルメディア上での不正やブランドの悪用件数は、全体の17%で前期からほぼ変わってませんが、不正なモバイルアプリケーションは大きく減少しています。トロイの木馬は若干の増加にとどまっています。各攻撃手法別の比率は以下の通りです。

出典: RSA® Fraud & Risk Intelligence Service、2018年7月 - 2019年12月

フィッシングの攻撃対象となった国

カナダを標的としたフィッシング攻撃は、前々四半期比でほぼ倍増、全体の7割を占めたことで、今期も最も多くフィッシング攻撃を受けた国となりました。インドの被フィッシング攻撃数は、前四半期比で30%増加した一方で、フィリピンやスペインを狙ったフィッシング攻撃は、それぞれ52%、30%、前四半期に比べて減少しました。

出典: RSA® Fraud & Risk Intelligence Service、2018年7月 - 2019年12月

フィッシング攻撃がホストされた国々

第4四半期、オランダと英国が再び上位10ヵ国に名を連ねた一方で、豪州と香港が圏外に消えました。ドイツでホストされた攻撃件数はおおむね倍増し、全体に占める比率も第3四半期の3%から5%に増え、全体の2位となりました。

出典: RSA® Fraud & Risk Intelligence Service、2018年7月 - 2019年12月

3. 消費者を狙った犯罪の傾向:2019年第4四半期

不正取引の発生状況

 

出典: RSA® Fraud & Risk Intelligence Services、2016年10月 - 2019年12月

取引方法

モバイルブラウザーとモバイルアプリからの取引は、RSAが観測した取引全体の53%を占めました。

出典: RSA® Fraud & Risk Intelligence Services、2016年10月 - 2019年12月

不正取引の方法

ウェブブラウザーから実行された不正取引が急増した第2四半期から6ヶ月が経過した第4四半期、再びモバイルチャネル*は不正取引方法における主役の座を取り戻しました。この第4四半期にRSAが確認した不正取引の72%は、モバイルチャネルから行われたものでした。特に、不正な取引全体のほぼ5件に3件にあたる59%は、モバイルブラウザーから行われていました。この59%という比率は、モバイルブラウザーから行われた取引の数字としては、RSAが調査を開始して以来、最も高い数字になりました。

なお、モバイルチャネルを使った不正金融取引の平均額は480ドルでした。

*モバイルブラウザーとモバイルアプリケーションを合わせた数字

 

クレジットカードを使った正規の取引と不正な取引の比較(eコマース・地域別)

盗んだクレジットカード情報は、転売・換金のしやすい高額な商品の購入に使われるため、不正な取引の1件あたりの平均値は、おおむね正規の取引よりも高額になる傾向があり、地域による違いはありません。地域間の比較は、消費水準の違いも示唆しています。

第4四半期に起きた最も大きな変化は、豪州とニュージーランドで観測された正規の取引と不正な取引の差額の増大でした。不正な取引の平均額414ドルは、正規取引の平均額(140ドル)の約3倍にあたります。北アメリカでは、不正取引の平均額が前四半期比40%減少し、正規取引と不正取引の平均額の差がかなり接近しました。店舗と金融サービス事業者が(クリスマスの)ホリデーショッピングシーズンから不正取引の事案とチャージバックを解決したので、この数字が次の四半期にどのように変化するか、注目しています。

 地域

取引の平均単価

不正取引の平均単価

差額

比較(%)

EU (英国を含まない欧州)

$135

$214

$79

+59%

南北アメリカ

$214

$239

$25

+12%

英国

$158

$242

$84

+53%

豪州/ニュージーランド

$140

$414

$274

+196%

出典: RSA® Fraud & Risk Intelligence Service、2019年10月~12月

 

盗まれたクレジットカード情報とRSAが取り戻した情報

出典: RSA® Fraud & Risk Intelligence Service、2019年1月~2019年12月

分析

RSAは、前四半期比で19%増となる、重複無しで600万件を超える漏えいしたカードの情報及びカードのプレビューを取り戻しました。RSAが2019年でオンライン犯罪ストアやソーシャルメディアなどの信頼に足る情報源から取り戻した漏えいしたカードの情報及びカードのプレビューは、重複無しで3250万件を超えました。RSAが取り戻すことができた漏えいしたクレジットカード情報の83%は、米国、インド、スペイン、ブラジル、英国のわずか5ヵ国に紐付いています。

 

4. 特集:サイバー攻撃がグローバル組織の最優先で管理すべきリスクに

2020年は、クラウド、AI、IoTなど長年注目を集めるテクノロジーに大胆に投資を続けてきた企業の間で、デジタルトランスフォーメーション(DX)が価値ある成果をもたらし始めた年として記憶されることが広く期待されています。デジタルトランスフォーメーションは、無限の機会の可能性に加えて、従来のリスク管理に固有のリスクを生み出すと同時に、従来型のリスク管理に革新的な変化をもたらしています。

本特集では、最近公開されたRSA Digital Risk Reportからの抜粋を紹介しながら、企業などの組織がどのようなデジタルイニシアチブに投資しているのか、そのことがリスク管理の優先順位にどのような影響を与えているか、さらには、デジタルリスク管理におけるセキュリティ、リスク、ビジネスの各リーダーの役割について説明します。

IDCは、企業などの組織が、デジタルトランスフォーメーションへの取り組みに、2019年には推定1.18兆ドルを 、今後4年間では6兆ドルを超える投資を実施すると予測しています。幅広い領域のテクノロジーシフトをカバーするデジタルトランスフォーメーションには、いくつかの異なるタイプがあります。RSA Digital Risk Reportによると、回答者の78%が3つ以上の分野での投資を選択しており、多くの組織で異なるトランスフォーメーションが進行していることがわかりました。

 

複数のテクノロジーのイニシアチブが組織に同時に影響を与えているという事実は、デジタル領域のビジネスオペレーションがますます複雑になっていることを示す強力な指標です。例えば、61%の回答者がクラウドに関する取り組みを自社の重要なテクノロジーイニシアチブとして挙げているということは、単にテクノロジーのランドスケープを形成するというだけでなく、SaaS、IaaS、およびPaaSなどの外部事業者との関係の中で、「サードパーティ・リスク」の複雑さが増すということを意味します。 

もう1つの例は、顧客やパートナーに対するアプリの拡張(自分たちが提供するアプリケーションを利用するよう求める)と、組織のデジタルフットプリント(履歴情報や位置情報などの収集)の拡大です。こうした取り組みは、サイバー脅威の攻撃対象領域が拡大するだけでなく、(その一環として採用されることが多い)アジャイル型の開発ライフサイクルやDevOps(開発と運用が混然一体となったソフトウェア開発手法)が、リスク対応部門とセキュリティ部門に、対応力向上を求め続けることで緊張を強いています。

 

図1:業界別に見るリスク管理の最優先事項 (今後2年間)

今後2年間、デジタルトランスフォーメーションにより発生または増加する可能性のあるリスク管理としての戦略は何ですか。企業にとって最重要の目標は何ですか。1つ選択してください。

調査対象の組織が挙げたデジタルリスクの優先順位の種類は業界や地域により異なりますが、全体ではサイバー攻撃のリスクと、“動的な労働力(日本でいうところの働き方改革)”が急激に進むことでもたらされるリスクが最上位を占めました。これに、サードパーティ・リスク管理が続いています。

今後2年間のリスク管理目標を見ると、業界別に見た回答者の視点は、各セクターで醸成されている市場の力が、組織のデジタルトランスフォーメーションに伴うリスク管理の優先順位に最も大きな影響を与えることを示唆しています。上の図は、今後2年間、各業界が最も優先するリスク管理項目が何かを示しています。 

デジタルリスクの優先順位付けだけではなく、説明責任の履行と意思決定に適切な人材を関与させることも、とても重要です。RSA Digital Risk Reportも指摘しているように、デジタルリスク管理は、依然としてITおよびセキュリティ部門の問題として片付けられており、ビジネスからの関与をほとんど得られていません。デジタルテクノロジーの実装に関与する事業責任者がリスク管理にも関与していると答えた回答者は、全体のわずか7%に過ぎず、デジタルリスクの解決にビジネス関係者を参加させることが引き続き難題であることが伺えます。

 

図2 :リスク管理に関与する部門

過去2年間で、レガシー(デジタル化されていない)運用から生じたリスクを管理するための組織の戦略に
最も関与していたのは、どの部門でしょうか。今後2年間について、組織のデジタル変革から生じるリスクを管理する
戦略に最も関与するのは、どの部門ですか。

こうしたビジネス視点での関与がなければ、リスク管理戦略は技術者の視点に傾く可能性があります。IT部門とセキュリティ部門にしてみれば、ビジネス部門が「単なるテクノロジーに関する問題だから、テクノロジーで解決できる」と考えるかもしれないという重荷を背負わなければなりません。しかし、多くのデジタルイニシアチブのリスク管理は、テクノロジーの領域だけではなく、ビジネスプロセスのレイヤーにおける調整が必要です。リスクとセキュリティの問題は、最初の防衛線、すなわちビジネスそのもので解決する必要があります。すべての部門を横断する協調的なアプローチがなければ、リスクは防御ラインの間隙に潜んでしまうかもしれません。図2は、どの部門がどの程度、従来からのリスク管理とデジタルのリスク管理にそれぞれ関わっているかを示しています。

サイバー攻撃、働き方改革、サードパーティといったデジタルイニシアチブのもたらすリスクは最重要課題ですが、あらゆる組織はデジタルトランスフォーメーションの影響をそれぞれの方法で感じます。複数の領域のリスクは、包括的で凝集した戦略で解決する必要があります。RSAの調査結果は、進行するデジタルトランスフォーメーションの取り組みに対する要求に適合するには、より多くのビジネス部門の関わりを得ながら、IT、セキュリティ、リスク対応部門を横断するセキュリティとリスクの管理プロセスを構築しなければならないということ示しています。RSA Digital Risk Reportの完全版は、こちらでご覧になれます。

5. 日本でホストされたフィッシングサイト

日本に立ったフィッシングサイトの報告数は、2018年10月に100件を超えた後は、最低は3件、最高は37件の間で増減を繰り返しています。フィッシング対策協議会に報告された日本の消費者を狙ったフィッシング攻撃の勢いとは全くといっていいほど、相関していません。

フィッシング対策協議会に報告された国内のフィッシング攻撃件数の変化は、日本でホストされているフィッシングサイトの減少とは対照的な動きを見せています。2019年1月の1,713件から12月の8,208件まで、ほぼ右肩上がりで増え続け、その後も前年同期比4倍近い件数で高止まりしています。その結果、今年に入ってわずか2ヶ月間で、圧倒的な記録更新となった昨年の年間累計報告件数の上期分に迫る件数が報告されています。

Amazon、Apple、LINE、楽天を騙るフィッシングメールは繰り返し大量配信されているといい、他にもクレジットカードブランドや大手銀行を騙るフィッシングメールも多いということです。また、まだ件数は限られているというものの、地方銀行を騙るフィッシングサイトも報告されているということです。

プレゼントの応募やネット募金などの名目でフィッシングサイトに誘導し、個人情報やクレジットカード情報を窃取しようとする例も目立っているということです。


本ニュースレターに関するお問い合せ先

EMCジャパン株式会社 RSA事業本部 マーケティング部
嶋宮 知子 Tel : (090)7708-7522、eMail : tomoko.shimamiya@rsa.com

Recommended for you