
ショッピングサイトはとても便利です。ただし、ショッピングサイトの利用にあたっては、利用者からお金や情報をだまし取ることを目的にしている偽サイトにも注意が必要です。
偽サイトは、実在するショッピングサイトのデザインやロゴ、商品画像、説明文などをそのままコピーして作られることが多く、一見しただけでは真偽を見分けることが難しくなっています。万一、偽サイトを誤って利用してしまった場合、代金を支払っても商品が届かなかったり、偽物や粗悪品を送りつけられたりする可能性があります。また、決済時に入力した個人情報やクレジットカード情報を盗まれ、金銭被害に遭うことも考えられます。このような偽サイトを利用してしまった場合、どのように対処すればよいのでしょうか。
偽サイトにだまされたと思ったらすぐに行動することが大切です。「入金したのに商品が届かず、サイト運営者と連絡も取れなくなった」、「サイトの説明とは異なる商品が届いた」という状況になって初めて詐欺に気づくこともあります。この場合、警察や国民生活センターの相談窓口に連絡し、対処方法を確認してください。
都道府県警察サイバー犯罪相談窓口
https://www.npa.go.jp/cybersafety/
偽サイト上でクレジットカード情報を入力し、決済してしまった場合、クレジットカード会社にその旨を伝えましょう。その際、クレジットカードの利用を停止する手続きも必要です。
偽サイトに会員登録をしてしまった場合は、退会する前に登録した個人情報などをでたらめな内容に書き換えておくことも一案です。そのままにしておくと、その情報が別の悪徳業者に渡ってしまい、執拗な勧誘や迷惑メールを送り付けられるといったさらなるリスクの可能性もあります。また、別のサービスと同一のIDとパスワードの組み合わせを設定してしまった場合は、それらのサービスのアカウントを芋づる式に乗っ取られる可能性があります。心当たりのあるすべてのサービスのIDとパスワードを速やかに変更してください。
極端に大幅な値引きをしているサイトや、初めて利用するサイトなどは、購入する前にそのサイトのURLや運営者情報をネットで検索し、詐欺の被害が出ていないかなどを一度立ち止って確認をするようにしましょう。
また、セキュリティソフトやアプリを最新の状態で利用することで、このような詐欺サイトに対して警告を促してくれる場合があります。安全に楽しくショッピングをするためにも、万一に備えておきましょう。インターネットの世界でも、おいしすぎる話には気を付けてください。
過去の記事をチェックし、偽サイトの見分け方と対策を押さえておきましょう。
Google Playで確認された不正なカメラアプリ
地震や大雨などの自然災害はいつ起きても不思議ではありません。大規模な災害が発生した時にやっておくべきことや、ネットやセキュリティの観点で注意すべきポイントを解説します。
自然災害発生後は、それに便乗した詐欺が横行します。たとえば、2018年9月には大手のインターネットサービスをかたって、「平成30年7月豪雨緊急災害支援募金」を呼びかける詐欺メールが拡散されました。これは、西日本豪雨による被災地への緊急支援を募る「ネット募金」の偽サイトへ誘導し、クレジットカード情報や金銭をだまし取ることが目的でした。
災害情報に見せかけた内容のスパムメールを送りつけ、受信者に偽サイトのURLをクリックさせたり、添付ファイルを開かせることでウイルスに感染させたりする手口もあります。こうしたメールでは実在する政府機関や、さもありそうな組織を詐称し、もっともらしい件名と本文でURLのクリックや添付ファイルの開封を促します。被災者や支援者の気持ちを踏みにじる卑劣な詐欺に引っかからないよう注意してください。
都道府県警察サイバー犯罪相談窓口
https://www.npa.go.jp/cybersafety/
被災者の多くは被害状況や避難所の状況、支援物資の配給場所などの災害情報を収集、発信する手段としてTwitterなどのSNSやニュースサイト、ネット掲示板などを活用することでしょう。ただ、災害発生後は事実と異なる情報や、必ずしも正確ではない情報、ある意図をもって加工されたデマがSNSなどのネット上を飛び交いやすくなります。ネット上の間違った情報やデマに踊らされないよう慎重に情報収集を行いましょう。また、ネット上に間違った情報を発信すると、被災地に混乱を引き起こしたり、救援活動を阻害したりする要因になりかねません。事実かどうかわからない情報、デマかもしれない情報の拡散に加担しないよう注意してください。
参考:認証済みアカウントについて
https://help.twitter.com/ja/managing-your-account/about-twitter-verified-accounts
図:認証済みバッジ例
大規模災害時には、「00000JAPAN」というSSID(ネットワーク名)を持つ公衆Wi-Fiが無料開放される場合があります。その利用方法は簡単です。スマホなどの端末のWi-Fi機能をオンにし、利用可能なSSIDの一覧から00000JAPANを選択するだけで通信環境を確保できます。ただし、00000JAPANは、だれもが自由にネットワークに参加して安否確認や情報収集を行えるようあえて通信内容を暗号化せず、パスワード認証なしにつなげるようになっています。このため、00000JAPANの利用時には悪意のある第三者に通信内容を盗み見られる危険性があることに留意しましょう。
また、ほとんどのスマホは、過去に一度でも接続したSSID(ネットワーク名)の電波圏に入ると、自動的にそこへ接続する機能を備えています。そこで悪意のある第三者は、00000JAPANと同名のSSIDを持つ偽のWi-Fiスポットを設置し、それを本物と誤認して自動接続してくる端末を待ち構えることも考えられます。
災害発生時のスマホは家族と連絡を取り合ったり、情報を収集したりする手段として特に手放せません。しかし停電などで電気が確保できない場合、バッテリー切れが気がかりです。いざというときにスマホが使えない状況を避けるため、スマホの設定を変更してバッテリーの消耗を抑えましょう。
・iPhone(iOS12.1.2)の場合
iPhoneの「設定」から「バッテリー」へ進み、「低電力モード」をオンにします。
・Android端末の場合
機種ごとに独自の省電力モードが用意されています。機種ごとに設定方法が異なるため取扱説明書をご確認ください。
大規模災害が発生すると被災地への電話が殺到し、つながりにくい状態になります。そんなとき、被災地の家族の安否確認や避難場所の連絡などに利用できるのが「災害用伝言サービス」です。
au https://www.au.com/mobile/service/saigai-taisaku/
SoftBank https://www.softbank.jp/mobile/service/dengon/boards/
docomo https://www.nttdocomo.co.jp/info/disaster/disaster_board/index.html
家族や親戚、友人間で安否確認の伝言を確認し合うために、利用するサービスや「キーとなる電話番号」を決めておきましょう。利用方法については、以下をご参照ください。
http://www.soumu.go.jp/menu_seisaku/ictseisaku/net_anzen/hijyo/dengon.html
災害はいつ自分の身に降りかかるかわかりません。いざというときに困らないように普段からスマホやネット、セキュリティの観点でも災害に備えておきましょう。
Yowaiが辞書攻撃に使用する認証情報
2017年10月~2018年12月における相談件数の推移(IPAの発表資料より)
情報セキュリティ10大脅威 2019(IPA発表資料より)
ショッピングサイトはとても便利です。ネットにつながる環境さえあれば、いつどこからでも欲しい商品を探して注文できるのが魅力の1つです。
ショッピングサイトは便利である反面、リスクも存在します。決済情報や配送先を登録しているアカウントは厳重に管理しなければなりません。一歩間違えると悪意のある第三者にアカウントを乗っ取られ、自分の住所や電話番号、クレジットカード情報などの個人情報を盗まれたり、商品を勝手に購入されたりするなどのリスクが高まります。
アカウントを安全に利用するための基本は、ショッピングサイトはもちろんSNSなど、サービスごとに異なるIDとパスワードを設定すること、そして第三者に推測されにくいパスワードを設定することです。ただし、IDとパスワードの組み合わせによる1要素の認証方法は必ずしも安全とは言えません。利用しているサービスがハッキング被害にあったり、自分が使用している端末がウイルスに感染したり、誤ってフィッシングサイトにアクセスしたりして、悪意のある第三者にIDとパスワードが知られてしまうと、アカウントに不正アクセスされてしまう危険があります。
そこで利用したいのが2段階認証です。2ステップ認証、多要素認証とも呼ばれるこの仕組みは、サービスへのログイン時にIDとパスワードの組み合わせだけでなく、SMS(ショートメッセージサービス)や専用アプリなどで取得できる「認証コード」を入力することで、アカウントへの不正なログインを防ぐ仕組みです。
たとえば、AmazonアカウントではIDとパスワードを入力した後、認証コードの入力を追加で求める2段階認証を提供しています。認証コードは一定時間ごとに変化する、いわゆるワンタイムパスワードといわれるものです。しかも、認証コードは利用者本人が所有するスマホなどで取得する必要があります。このため、IDとパスワードを入手しただけでは、第三者がアカウントの認証を突破することは極めて困難です。認証コードは、事前に電話番号を登録したスマホなどに送られる自動音声やSMS、認証用アプリで取得できます。
・Amazonアカウントで2段階認証を有効にする方法
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=202073820
「Yahoo!ショッピング」や「ヤフオク!」などのサービスを利用するためのYahoo! JAPAN IDでも6桁の数字からなる確認コードを使った2段階認証を利用できます。
・Yahoo! JAPAN IDで2段階認証を有効にする方法
https://id.yahoo.co.jp/security/otp.html
ショッピングサイトに限らず、SNSやクラウドストレージ、Webメールなどのネットサービスでは2段階認証を提供しています。個人情報や決済情報を含むこのようなサービスを利用する際は、アカウントを保護するためにもセキュリティ対策を積極的に行いましょう。
トレンドマイクロが国内で受けた偽警告に関する問い合わせ件数の推移
国内外を問わず、旅行中はさまざまな安全対策を意識して行動しなければなりません。旅行や出張の前に確認しておきたい、インターネットに関わる注意点とその対策ポイントを紹介します。
最近は比較的安く購入できる航空券やツアーも販売されていることから、インターネットで旅行を手配する人が増えています。しかし、中には偽のサイトや詐欺を目的としたサイトも存在します。初めて利用するサイトや代理店には十分な注意が必要です。利用する場合は、会社情報や支払方法、解約条件などを申込前に確認し、そのサイトのURLや代理店名をネットで検索してみましょう。もし過去にトラブルの経験をした利用者が多い場合には、ネット上に書き込みがされている場合があります。その内容を参考にした上で、手配の申込を行うかどうかを判断するようにしましょう。
また、大手旅行会社や航空会社を騙ったフィッシングメールや偽サイトも存在します。正規のページかどうかを確認してからアクセスするようにしましょう。セキュリティソフトやアプリを利用することで、このような不正サイトへアクセスしてしまうリスクを下げることができます。
出発前からトラブルに遭わないよう、信頼できるサイトや代理店を利用することをおすすめします。
【国民生活センターに寄せられた事例と注意喚起】
http://www.kokusen.go.jp/wko/pdf/wko-201802_02.pdf
旅行先の情報を調べたり、連絡を行ったりと、旅先でもスマホは欠かせません。そんなときに便利なのが、空港やホテル、カフェなどに設置されているフリーWi-Fiですが、フリーWi-Fiはその名の通り、だれもが自由に使える無料のWi-Fiスポットを指します。国内であれ海外であれ、その利用にあたってはリスクが伴うことも覚えておかなくてはなりません。たとえば、通信内容を暗号化せず、パスワード認証なしにつなげられるものや、セキュリティ設定に不備のあるものも存在します。このため、サイバー犯罪者も自由にネットワークに参加し、そこに接続している端末の通信内容を盗み見ることができてしまいます。また、同じエリアで提供されているフリーWi-Fiと同名、または似たような名称のSSID(ネットワーク名)を持つ偽のWi-Fiスポットを設置し、それを本物と誤解して接続してしまう利用者を、サイバー犯罪者が待ち構えている場合もあります。
出先でフリーWi-Fiを利用する際には、通信がWPA2で暗号化されているかを確認した上で、ネット検索など、個人情報の受け渡しやログインの必要がないようなサービスの利用に留めておきましょう。もし、他のサービスも利用するような場合は、VPN(バーチャルプライベートネットワーク)を使って、通信内容を保護し、その際には、信頼できるVPNアプリを利用するようにしましょう。
海外の場合は可能な限り、モバイルWi-Fiを持参するか、各キャリアが提供している海外通信サービスを利用するとよいでしょう。
道のナビゲーションやちょっとした調べもの、写真や動画の撮影など、旅先でもさまざまなシーンで活躍するスマホですが、常に持ち歩くため盗難や紛失のリスクも付きものです。普段からしっかり対策をしておきましょう。
一定時間触れずにいると自動的に画面をロックする機能を有効にしてください。ロックを解除するためにはあらかじめ登録したパスワードや暗証番号を入力しなければならないため、第三者に端末を不正操作されにくくなります。第三者に推測されにくいパスワードや暗証番号を設定しましょう。
GPSを使って端末の現在地を特定できるようにしておきましょう。GPSと端末の標準機能である「iPhoneを探す(iOSの場合)」「端末を探す(Android OSの場合)」を有効にすれば、ネットに接続されたパソコンなどから端末の位置を特定したり、遠隔から端末をロックしたり、端末内のデータを消去したりすることができます。また、いざという時に慌てないためにも、探索機能がどのように利用できるのか、どこかのタイミングで一度試しておくことをおすすめします。
※「端末を探す」機能を使用できるのは、対象の端末がインターネットに接続されている場合に限ります。このため、端末を盗まれてしまった場合、この機能が役に立たないこともあります。窃盗犯は、すぐに端末の電源を切り、SIMカードも抜いてしまうためです。また、海外において端末のモバイルデータ通信をオフにし、フリーWi-FiやモバイルWi-Fiルータで通信環境を確保していた場合、端末のデータ通信も途切れてしまいます。端末が見つからない場合は、携帯電話会社に連絡して回線の停止手続きを行うとともに、現地の警察に盗難、紛失届を出しましょう。
海外では、スマホの盗難には特に注意が必要です。テーブルの上に置いておくなど、手元から離れた状態にしないようにすることを心がけましょう。また、万一に備え、渡航前にデータのバックアップを取り、保管しておくことをおすすめします。
FacebookやTwitter、InstagramなどのSNSに、旅行予定や、旅行中に投稿をする際には注意が必要です。公開設定のアカウントの場合は特に、国内外に関わらず、「旅行中」「●日から●日まで●●に滞在」などのコメントを書き込むのは危険です。ネット上で行動の予定を明かすのは、留守を公言しているようなものです。さらに、過去の投稿やプロフィールの内容から住所を割り出される可能性もあります。ハッシュタグ(#)も不特定多数の利用者から検索されやすいため、同じハッシュタグの情報と紐づけたくない投稿には利用しないなど、利用する際には注意が必要です。また、搭乗券の写真を投稿することも注意が必要です。搭乗券には、文字で記載された情報の他にも、QRコードにさまざまな情報が登録されています。個人情報の漏えいなどにつながる場合がありますのでそのままネットに投稿しないようにしましょう。
SNSで不特定多数に対して公開した情報は、だれが、どのような目的で見ているかわかりません。SNSでは適切なプライバシー設定を行い、投稿やプロフィールの公開範囲を制限しましょう。
SNSへの投稿内容は、仲間内だけではなく、不特定多数の目に触れる可能性があります。利用するサービスによって投稿内容や投稿のタイミングを変えるなどし、悪用されるリスクを回避しましょう。
「インターネットの安全・安心ハンドブックVer.4.00」表紙
日本からフィッシングサイトにアクセスした利用者数の推移
Adobe Readerの旧バージョン(1~9、X、XI)を使い続けていませんか? Adobe Readerは、PDFファイルを閲覧、印刷、保存するための便利なソフトです。多くのパソコンにあらかじめインストールされているため、無意識に利用している方もいるかもしれません。
しかし、Adobe Reader XIを含めそれ以前の古いバージョンを利用するのは避けるべきです。Adobe ReaderXIを含むそれ以前のものはすでにサポート期間が終了しています。そのため、もし新しく脆弱性(セキュリティの穴)が見つかっても、それを修正する更新プログラムが提供されないためです。(※Adobe Reader 8は2011年11月3日、Adobe Reader 9 は2013年1月31日、Adobe Reader X は2015年11月15日、Adobe Reader XIは2017年10月15日にサポートが終了しました)したがって、サポート終了後に見つかった脆弱性はそのまま残ってしまうので、そこを突いてくる攻撃に対して無防備な状態になってしまいます。
Adobe Readerでは脆弱性がたびたび確認されています。たとえば、Adobe Reader XIではサポート終了後、ソフトが異常終了したり、攻撃者にパソコンを制御されたりする脆弱性が見つかっています。 Adobe ReaderXI以下のバージョンを利用している方は、Adobe Acrobat Reader DCへ速やかに移行することをおすすめします。 (※バージョン DC より、Adobe ReaderはAdobe Acrobat Readerへ名称が変更されました)
1.Adobe Acrobat Reader DCをインストールする前に、 Adobe ReaderXI以下のバージョンを削除しましょう。左下の「Windows」アイコンを左クリックして「Windowsシステムツール」を選び、「コントロールパネル」を開きます。プログラムセクションの「プログラムのアンインストール」へ進み、対象の「Adobe Reader ●●」を選択したら「アンインストール」を押します。ユーザーアカウント制御ダイアログボックスで「はい」をクリックすれば、Adobe Readerのアンインストールが実行されます。
2. Adobe Acrobat Reader DCのダウンロードページ にアクセスします。提供オプションが不要な場合は、チェックを外した上で「今すぐインストール」をクリックします。Webブラウザの下部にダウンロードされたファイルが表示されたら「開く」を選択してください。ユーザーアカウント制御ダイアログボックスで「はい」をクリックすれば、Adobe Acrobat Reader DCのダウンロード、およびインストールが実行されます。インストールの完了を示す画面が表示されたら「完了」をクリックしましょう。
Adobe Acrobat Reader DCは初期設定で自動アップデートが有効になっており、利用可能な更新プログラムがあれば自動で適用されます。Adobe Acrobat Reader DCを開き、「ヘルプ」の「アップデートの有無をチェック」を押せば、最新版が適用されているかどうかを確認できます。「利用可能なアップデートがありません」と表示された場合、最新版です。
※Adobe Acrobat Reader DC を利用するためには、Windows 7 以降の環境が必要です。
サポート終了の時期と内容(日本マイクロソフトの発表資料より)
1月3日時点で確認された「顔文字」マルウェアスパムの例
アドウェアが埋め込まれいた偽アプリの例
2019年、フィッシング詐欺は引き続き個人や組織にとって大きな脅威になりそうです。さらに、人の心理や行動の隙を突くような手口とサイバー犯罪の技術を組み合わせた攻撃は、より巧妙化が進むと予測されます。2019年、私たちが気をつけたいネットの脅威と対策を紹介します。
2019年には、個人利用者を標的としたサイバー脅威の多様化が進むと予測されますが、具体的にどのような手口が流行すると考えられるのか知っておきましょう。
2019年は、ソーシャルエンジニアリングを駆使したフィッシング詐欺の激化が予想されます。ソーシャルエンジニアリングとは、人の心理を利用して意図する行動を相手にとらせる手法です。サイバー犯罪者はこの手法を悪用して意図したところにネット利用者を巧みに誘導します。たとえば、メールやSMS(ショートメッセージサービス)などのメッセージ機能で利用者が関心を持つ話題を投げかけ、不正なURLリンクや不正ファイルを開かせようとします。このような手口では、より多くの人からの関心が集まる話題が悪用されます。そのため、ラグビーワールドカップ2019や2020年開催予定の東京オリンピック、各国で実施予定の選挙などが2019年には狙われやすい話題となって便乗した詐欺サイトや偽情報が横行する可能性があります。
このような脅威に対しては、正規サイトの情報を必ず見るとともに、セキュリティソフトを使うことで、不正サイトや不正アプリへアクセスしようとしてしまっても守ってもらえるようにすることが大切です。
ソーシャルエンジニアリングを悪用したサイバー犯罪が巧妙化する中で、多くのネット利用者に対して影響力を持つ、数百万人のフォロワーを持つ有名人や人気ユーチューバーなどのアカウントを悪用する動きが本格化することも予測されます。サイバー犯罪者は乗っ取ったアカウントを使って偽情報を発信し、フォロワーをサイバー脅威に巧みに誘導しようとすると考えられます。
たとえ自分がフォローしている有名人のアカウントから送られたメッセージでも、URLリンクは不用意にクリックしないようにし、内容から真偽を確かめるように心がけましょう。
サイバー犯罪者は、すでに不正に取得した認証情報(IDとパスワード)を大量に保有しています。そのため、同一のIDとパスワードを複数のサービスで使い回していると、アカウントを芋づる式に乗っ取られるリスクが高まります。また、サイバー犯罪者は乗っ取ったアカウントや不正に入手した個人情報を利用して、SNS上のサイバープロパガンダ(世論を操作するために行うネット上の宣伝工作)に加担したり、口コミサイトなどに偽のレビューを投稿したりすることも考えられます。
このような脅威を回避するためにも、サービス毎に異なるIDとパスワードを設定し、利用しなくなったサービスは退会手続きをするなど、アカウントを放置しないようにしましょう。
2018年9月から、日本語で「アダルトサイトを見ているときの様子を撮影した動画をばらまく」といった趣旨のメールを送りつけ、受信者から金銭を脅し取るセクストーション(性的脅迫)スパムメールの手口が確認されています。2019年は、このセクストーションによる攻撃がより一層激しくなり、被害者が増加すると予測されます。
このような偽脅迫メールからの被害を防ぐには、セキュリティ関連団体や企業が発信する注意喚起を参考にして最新の手口を知るとともに、メールのフィルタリング機能を活用してスパムメールの受信を防ぐことが有効です。
2019年も組織の従業員を踏み台として、内部情報や金銭を狙うサイバー攻撃が横行すると予測されます。どのような手口が考えられるかを知り、被害を回避するための事前対策を行いましょう。
組織でのクラウドサービス利用や、働き方の多様化が進む中、自宅のネットワークを利用して組織内のデータやサービスにアクセスする利用者が増加傾向にあります。しかし、セキュリティ対策が施された組織のネットワークと比べ、対策が脆弱な家庭のホームネットワークは、サイバー犯罪者の侵入経路になる危険性をはらんでいます。
ホームネットワークからの情報漏えいや、サイバー攻撃の脅威を回避するためには、組織で行っている対策やルールを守るとともに、自宅のネットワークについてもセキュリティ対策が十分であるかどうか見直すことをおすすめします。
組織を狙うフィッシング詐欺でも、世界的なスポーツイベントや政治問題に便乗したフィッシングメールの拡散が予想されます。さらに、サイバー犯罪者によるSNS上での情報収集活動も活発化すると考えられます。彼らは、標的とする組織の従業員のプロフィールや人間関係などを把握した上で信ぴょう性の高いフィッシングメールを送りつけます。
悪意を持った第三者に不用意に情報を与えないためにも、組織で定められたSNS利用ポリシーを守り、定期的にSNSのプライバシー設定や公開情報を見直しましょう。
金銭や情報の窃取を目的としたビジネスメール詐欺(BEC)も、引き続き注意が必要です。これまでのビジネスメール詐欺は、経営幹部や取引先などになりすます手口が主でしたが、2019年はなりすます対象を広げ、幹部社員の秘書、財務部門の部長や課長といった役職者を狙った手口が登場する可能性があります。
このようなビジネスメール詐欺の手口による被害を防ぐには、組織で行う技術的なセキュリティ対策はもちろんですが、従業員一人ひとりが高い意識を持ち、組織内のルールやプロセスを守り、冷静な行動をとることが重要になります。
このほかにも、企業イメージを貶めるような攻撃や、国際的規制の厳しい罰則を逆手に取った脅迫、業務プロセスの自動化にともなうリスクなどが新たな脅威として予測されています。
また、個人を標的にした攻撃としては、SIMカード詐欺や、自動チャット機能を悪用したサポート詐欺、スマートホームへの攻撃、ネットにつながった医療機器であるスマートヘルスケアデバイスを狙った攻撃が発生する可能性があると予測されています。
このように、サイバー犯罪者はより効率的に金銭や重要情報を窃取するために、日々手口を巧妙化させています。ネット利用者は最新の情報を入手し、自身のセキュリティ対策に役立てましょう。
フィッシング報告件数(フィッシング対策協議会の発表資料より)
2019年「情報セキュリティ十大トレンド」
子どものスマートフォンやインターネット利用に関するトラブル経験 N=618(複数回答)
「ネット安全安心全国推進フォーラム」チラシ表紙