is702 2020-07-16T00:00:00+09:00 インターネット・セキュリティ・ナレッジ スマホの脅威と対策をおさらい スマホのセキュリティを確保していますか。スマホを無防備な状態で使っていると、端末の不正操作や情報漏えい、金銭の窃取などといったさまざまな被害に遭いやすくなります。いま一度、スマホのセキュリティについて考えてみましょう。 2020-07-16T00:00:00+09:00
なぜスマホにもセキュリティが必要なの?

スマホの脅威と対策をおさらい

2020/07/16
なぜスマホにもセキュリティが必要なの? スマホの脅威と対策をおさらい

スマホもパソコンと同様、さまざまなサイバー脅威にさらされています。「ネット詐欺」「不正アプリ」「脆弱性攻撃」「アカウント乗っ取り」「偽Wi-Fiスポット」などはその代表です。スマホを安全に利用するために必要な対策を押さえましょう。

スマホもセキュリティによる保護が不可欠

iPhoneやAndroid端末などのスマホは、現代人の必需アイテムの1つになっています。その用途は、Webブラウザを介したWebサイトの閲覧や、メール、SNS、ネットショッピングの利用だけにとどまりません。ビジネスや教育、健康、決済、動画、ゲームなどのさまざまなジャンルのアプリを追加することでアプリ専用コンテンツも利用できます。

利用者が多く、クレジットカード情報などのさまざまな情報が扱われるスマホは、サイバー犯罪者の格好の標的となっています。そのため、スマホにもパソコンと同様のセキュリティ保護が求められています。まずは、スマホの代表的な脅威を見ていきましょう。

スマホの脅威とは?

●ネット詐欺

ネット利用者を不正サイトへ誘導し、情報や金銭をだまし取るネット詐欺。その典型例がフィッシング詐欺です。これは、実在するネットバンキングやショッピングサイトなどの正規ログインページを装う偽サイトにネット利用者を誘導し、そこで入力させた情報を盗み出す手口です。詐取の対象は、個人情報や各種オンラインサービスの認証情報(IDとパスワードなど)、クレジットカード情報などさまざまです。ネット詐欺の中にはワンクリック詐欺やサポート詐欺と呼ばれる手口もあります。

不正サイトへの誘導手段としては主にメールやSMS(ショートメッセージサービス)、SNSの投稿、およびメッセージ、ネット広告などが使われます。サイバー犯罪者は実在する企業などを装ってもっともらしい内容のメッセージを送りつけ、受信者にURLリンクを開かせようとするのです。トレンドマイクロによると、2019年において不正サイトへ誘導された国内モバイル利用者数は200万件以上に上りました。2020年も1月から3月の3カ月間だけですでに前年の半数を上回る102万件に達しています。

図:不正サイトに誘導された国内モバイル利用者数推移、2020年5月トレンドマイクロ調べ

●不正アプリ

不正アプリも深刻な脅威です。これは、スマホに入り込んで不正行為を働くアプリの総称です。万一、不正アプリをインストールしてしまうと、迷惑な広告をしつこく表示されたり、インストール済みのアプリを不正アプリに上書きされてしまったり、端末を不正操作されたりする可能性があります。また、自身の端末から勝手に不正なSMS(ショートメッセージ)を送られ、サイバー犯罪の踏み台にされる危険性もあります。

サイバー犯罪者はあの手この手でスマホ利用者をだまし、不正アプリをインストールさせようとします。たとえば、偽の不在通知メッセージを送りつけ、荷物を確認するためにはアプリが必要などと称して不正アプリの配布サイトへ誘導するパターンが確認されています。誘導先では、公式アプリやシステム更新ファイルなどを装って不正アプリをインストールさせるのです。また、チャットや広告などから誘導した不正サイトで、人気のゲームアプリなどを装う偽アプリが配布される場合もあります。さらに、公式アプリストア上でもゲームや便利機能、カメラアプリなどを偽装する不正アプリが紛れ込む事例も複数確認されています。

●脆弱性攻撃

スマホもパソコンと同様、OSの脆弱性を悪用するサイバー攻撃の脅威にさらされています。脆弱性は、プログラムの設計ミスや、開発時には見つからなかったバグなどが原因で生じるセキュリティ上の欠陥です。もし、スマホのOSに脆弱性を残したままにしているとさまざまな危険が及ぶ可能性があります。iOSでは過去、端末にインストール済みの正規アプリを不正アプリに置き換えられたり、端末を不正操作されたりする脆弱性が確認されました。Android OSでも端末内の情報を漏えいさせる危険がある脆弱性が複数報告されています。また、OSに限らず、アプリにも脆弱性がつきものです。
OSやアプリは機能追加だけでなく、脆弱性の修正を目的としたアップデートも行われることを覚えておきましょう。

●アカウント乗っ取り

各種インターネットサービスのアカウント乗っ取りも看過できない問題です。最近は、さまざまなオンラインサービスのアカウントを不正利用され、不正送金や勝手な商品購入、ポイントの窃取、登録情報の漏えいといった被害が発生しています。その原因の多くは、ログインに必要な認証を突破されてしまったことにあります。

サイバー犯罪者がアカウントの乗っ取りに用いる手口の1つがフィッシング詐欺です。正規サービスや著名な企業に偽装したメールで受信者をフィッシングサイトへ誘導し、そこで入力させたアカウント情報を盗み取る手口が複数確認されています。また、利用者から直接盗み取る以外にも、サービス事業者へのサイバー攻撃など、何らかの方法で不正に取得したアカウント情報をリスト化し、それらを使って複数のサービスへログインを試みる手口もあります。複数のサービスに同一のIDとパスワードを使い回していると、1つのIDとパスワードの組み合わせが流出しただけで複数のサービスのアカウントを芋づる式に乗っ取られてしまう危険があるのです。

●偽Wi-Fiスポット

街中のいたるところに設置されている公衆Wi-Fiを利用するシーンも増えているのではないでしょうか。しかし、公衆Wi-Fiの中には利便性を優先し、あえてセキュリティ設定を行っていないものや、管理の不備によりセキュリティが脆弱なものも存在します。また、悪意のある第三者は正規の公衆Wi-Fiスポットの周辺に同名、あるいは似た名称のSSID(ネットワーク名)を持つ偽Wi-Fiスポットを設置し、利用者を待ちかまえていることもあります。もし、そのようなWi-Fiスポットにつないでしまうと、通信内容を盗み見られたり、不正サイトへ誘導されてしまったりするかもしれません。

スマホの脅威別の対策を実践しよう

スマホのセキュリティを確保する大前提は、OSと信用できるセキュリティアプリを常に最新の状態に保つことです。これにより、脆弱性を悪用するサイバー攻撃や、不正サイトにアクセスしたり、不正アプリ*をインストールしたりするリスクも軽減できます。このポイントを押さえた上でさまざまな脅威に対抗するための策も講じましょう。
*iOSについては自社で公式アプリストア上のアプリの安全性を担保しているため、セキュリティアプリによる対策は適用外となります。

ネット詐欺対策

  • ネット詐欺の手口と事例を知る
  • メールやSMS、SNS上のURLリンク、ネット広告を安易に開かない
  • SMSの進化版「+メッセージ」を利用する
    ※+メッセージでは、携帯電話事業者3社それぞれの審査をクリアしなければ企業の公式アカウントを開設できません。企業の公式アカウントには認証済みマークが付与され、利用者がメッセージの真偽を判断する目安にできます。

不正アプリ対策

  • アプリを入手する際は、必ずGoogle PlayやApp Store、携帯電話事業者などが運営する公式のアプリストアを利用する
  • 公式アプリストアであっても、アプリを入れる前にアプリ名や開発元、求められる権限、ネット上の評価や口コミなどを確認し、不審な点がないかどうか確かめる
  • レビューの数やその内容を確認し、評価に極端な偏り(高評価と低評価が両極端となっているなど)や複数の同一コメントがある場合はインストールを避ける
  • アプリに許可する権限に機能と直接関係ないようなものが含まれていないかどうか確認する

脆弱性攻撃対策

アカウント乗っ取り対策

  • オンラインサービスごとに異なるIDとパスワードの組み合わせを使用する
  • 第三者に推測されにくいパスワードを設定する
  • パスワード認証とは別に二要素認証などを設定できる場合は必ず有効にする
  • アカウントへのログインは必ずブックマークに登録した正規サイトや公式アプリから行う

偽公衆Wi-Fi対策

  • 安易に接続せず、正規の公衆Wi-Fiかどうかよく確認した上で利用を開始する
  • 必ずVPNアプリを利用して通信を保護し、VPN経由での通信が許可されていない場合は利用を控える
  • 同じSSIDを設定した偽の公衆Wi-Fiに自動接続されないよう、利用した後は自動接続設定を削除しておく

スマホにはインターネット上の脅威だけでなく、紛失や盗難、破損への備えも必要です。本体のロックやデータのバックアップ、端末捜索機能の設定なども忘れずに行っておきましょう。

]]>
http://rss.is702.jp/main/rss/3708_l.jpg
安全で快適なパスワード管理術とは? ひろしはアカリにパスワード管理ツールの利用を勧めています 2020-07-16T00:00:00+09:00
ひろしとアカリのセキュリティ事情

安全で快適なパスワード管理術とは?

2020/07/16

アカウントの不正利用を防ぐために

ショッピングサイトやオンライン学習、ネットバンキング、SNS、Webメールなど、インターネット上のさまざまなサービスを利用する際にはパスワードを作成する必要があります。しかし、アカウントに不正ログインされ、金銭や情報を盗み取られる被害が後を絶ちません。その主な原因は、パスワード認証を破られてしまったことにあります。サイバー犯罪者は、よく使われるパスワードのリストや、フィッシング詐欺やサービス事業者へのサイバー攻撃などによって不正に入手したIDとパスワードを使って、被害者のアカウントに侵入するのです。

彼らは入手したIDとパスワードをリスト化し、それらを用いてさまざまなサービスへのログインを試します。そのため、ネット利用者が複数のサービスに同一のIDとパスワードの組み合わせを使い回していると、各種サービスのアカウントを芋づる式に乗っ取られるかもしれません。

アカウントの不正利用を回避するポイントの1つは、サービスごとに異なるIDとパスワードの組み合わせを使用することです。加えて、第三者に推測されにくいパスワードを指定すること、サービス事業者から提供される二要素認証などのセキュリティ強化機能を利用することも重要です。

アカウント管理の煩わしさを解消したい方にうってつけなのがパスワード管理ツールです。これを利用すれば、各サービスのIDとパスワードを安全に管理できます。パスワード管理ツールにアクセスするためのマスターパスワードさえ覚えておけば、そのほかのパスワードを記憶しておく必要がありません。少なくとも「いくつも覚えられない」「新しいパスワードを作るのが面倒」という理由でパスワードを使い回してしまうことを防げるはずです。管理ツールの中には、脆弱なパスワードが指定されていたり、同一のパスワードが使い回されたりしているサービスを明示し、英数字や記号をランダムに組み合わせた強固なパスワードを自動生成してくれるものもあります。また、自動ログオンに対応しているWebサイトでは、入力の手間を省くことも可能です。

パスワード管理ツールを入手する際は、必ず信用できる事業者の公式サイトか、公式のアプリストアを利用しましょう。トレンドマイクロは、パスワード管理ツール「パスワードマネージャー」の無料体験版を提供しています。まずは体験版で使い勝手を試してから利用を検討すると良いでしょう。パスワード管理ツールを活用して安全で快適なネットライフを楽しんでください。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3698_l.jpg
Wi-Fiルータを購入したらまずはセキュリティ設定を 軽井はひろし家のWi-Fiを使わせてもらうようです 2020-07-09T00:00:00+09:00
ひろしとアカリのセキュリティ事情

Wi-Fiルータを購入したらまずはセキュリティ設定を

2020/07/09

ルータのセキュリティ設定を見直そう

家庭ではパソコンやスマホだけでなく、テレビ、ゲーム機、カメラ、スピーカーなどのスマート家電もホームネットワークにつながるようになりました。また、日常生活でもテレワークやオンライン授業に伴うネット活用が広がっています。ただ、ホームネットワークに接続する機器やサービスが増えれば増えるほどWi-Fiルータへの負荷は大きくなり、通信速度が低下してしまいます。より高速で安定した通信環境を確保するために高性能なWi-Fiルータを新調したいと考えている方もいるのではないでしょうか。

Wi-Fiルータを買ったらまず確認したいのがセキュリティ設定です。ホームネットワークの要であるルータのセキュリティを破られると、そこに接続するすべての機器に通信傍受や不正操作などの危険が及ぶためです。ルータを安全に利用するため、まずは「ルータの管理画面に入るためのIDとパスワードを初期設定から変更する」「ファームウェアの自動更新を適用する」「各SSID(Wi-Fiネットワーク名)の設定を確認し、必要に応じて変更する(暗号化方式やSSIDの表示方法など)」の3つの対策を行いましょう。

友人などの一時的な来訪者にWi-Fiを貸し出す場合は、ゲストポート機能(ネットワーク分離機能)の利用も検討しましょう。これは、ホームネットワークとは分離したゲスト用の無線LANを用意し、来訪者にインターネット接続だけを許可する機能です。ホームネットワークにつながる機器へアクセスされたくないといった場合に有効です。また、来訪者の端末を介してマルウェアがホームネットワークに入り込むことも防げます。設定方法については製品マニュアルや各メーカーのホームページを参照してください。

Wi-Fiルータの中には、不正サイトや不正プログラムなどから保護してくれるセキュリティ機能を備えているものもあります。Wi-Fiルータを選ぶ際は、通信規格や最大通信速度だけでなく、セキュリティ機能も比較しましょう。

ホームネットワークのセキュリティに不安を感じている方には、Wi-Fiルータを含むホームネットワーク全体を保護、管理できるセキュリティ製品の利用がおすすめです。たとえば、ウイルスバスター for Home Networkは、ホームネットワーク内の通信を監視し、マルウェアを配布しているような危険なサイトや有害サイトへのアクセスだけでなく、外部との不審な通信もブロックしてくれます。また、ホームネットワークに新たに接続を試みている機器を通知してくれます。アプリ上で接続の可否を管理できるため、第三者によるネットワークのタダ乗りや介入を未然に防ぐことも可能です。

まずは、家庭内ネットワークが危険にさらされていないかどうかを診断することから対策を始めてみましょう。トレンドマイクロは、ホームネットワークの安全性を評価するスマホ向けアプリ「スマートホームスキャナー」と、パソコンで利用できる診断ツール「オンラインスキャン for Home Network」を無料で提供しています。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3704_l.jpg
「マイナポイント」申込み受付が7月1日スタート、便乗詐欺に注意を 消費税増税にともないスタートした「キャッシュレス・消費者還元事業(ポイント還元制度)」が6月いっぱいで終了し、新たに「マイナポイント事業」によるマイナポイント申込み受付が7月1日よりスタートしました。 2020-07-08T00:00:00+09:00
「マイナポイント事業」は、キャッシュレス決済サービスを使用した場合に、マイナポイントを付与する新たな制度です。付与されたマイナポイントは、そのままキャッシュレス決済で利用できますが、マイナンバーカードを使った事前登録が必要、登録できるキャッシュレス決済サービスは1種類だけ、といった点が、これまでのポイント還元制度と異なります。政府はマイナポイント事業により、マイナンバーカードの普及促進、官民キャッシュレス決済基盤の構築、そして消費の活性化を目指しています。

同時に消費者庁および総務省は、便乗した詐欺に警戒するよう呼びかけています。マイナポイントの利用にあたっては、自身のスマホやパソコン、全国の市区町村窓口・郵便局・コンビニ・携帯ショップなどに設置された支援端末を使って登録手続きを行います。職員や関係者が、マイナンバー、口座番号・口座の暗証番号、資産の情報、家族構成などの個人情報を聞くことはありません。また手続きにあたって金銭を要求することもありません。もしこうした行為が見られたら、関係者を装った詐欺ですので、注意してください。
また、マイナポイントに便乗したネット詐欺やフィッシングなどにも注意が必要です。手続きや申込を行う際には必ず正規サイトかどうかよく確認してください。メールやSMS、ダイレクトメッセージなどで誘導されたWebサイトで情報を入力しないようにしましょう。そして、申込やキャッシュレス決済に利用するパソコンやスマホのセキュリティ対策も忘れずに行ってください。
]]>
https://is702.jp/main/images/news/img_news41.jpg
2020年6月のフィッシング報告件数、1万6千件を突破|フィッシング対策協議会 フィッシング対策協議会は7月2日、フィッシングに関する6月の集計結果を発表しました。それによると、同協議会に寄せられたフィッシング報告件数は、前月の14,245件より増加し16,811件。前年の水準を大きく上回って推移しています。 2020-07-06T00:00:00+09:00

図:フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)

図:フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)


フィッシングサイトのURL件数(重複なし)も、前月の4,052件より大きく増加し5,481件。ここ1年間で初めて5千件台を突破しました。フィッシングに悪用されたブランド件数(海外含む)は、前月より4件増加し58件でした。
Amazon、Apple、LINE、楽天を騙るフィッシングメールが、前月同様に繰り返し大量配信されており、この4ブランドだけで報告数全体の約88%を占めるとのことです。最も多いのはAmazonで、全体の約56%と半数を超えています。その他ではクレジットカードブランド、金融機関、通信キャリアを騙るフィッシングが多数見られたとのことです。

スマホを狙ったものでは、宅配業者の不在通知を装ったショートメッセージ(SMS)も、引き続き増加傾向にあります。Chromeブラウザのアップデートと誤認させて不正なアプリ(遠隔操作マルウェアなど)をインストールさせるケース、金融機関を騙るフィッシングサイトへ誘導するケースも確認されています。他にもスマホでアクセスした場合のみフィッシングサイトを表示する手口も見られたとのことです。

URLについては、SNSの短縮URL機能やマーケティングキャンペーン用に生成されたURLからフィッシングサイトへ誘導するタイプの報告が続いています。また、大量に取得したランダムな文字列の独自ドメインに、正規サイトのドメイン名を追加したURLも増えており、注意が必要です。

偽サイトで情報を入力してしまうと、さまざまな被害に遭う可能性があります。ログインを促すようなメールやSMSを受信した際は、正規のアプリやブックマークした正規のURLからサービスへログインして情報を確認するよう心がけてください。真偽の判断が困難なメールや不審なメールを受け取った場合は、各サービス事業者の問い合わせ窓口、フィッシング対策協議会に連絡してください。

昨今のフィッシングサイトは巧妙に作られており、一見しただけでは真偽を見分けることが困難になっています。PCやスマホ、タブレットなどのネットを利用する機器には必ずセキュリティソフトやアプリをインストールし、最新の状態に保って利用しましょう。不正サイトにアクセスしてしまうリスクを下げることが出来ます。
また、スマホにセキュリティアプリをインストールする前に気軽に試していただけるLINEのサービスもあります。「Webサイトにアクセスする前に、安全かどうか確かめたい!」そんな時にご利用いただけるのが、LINEで使える無料のウイルスバスターチェック!(試験運用中)です。Webサイトが安全かどうかを「〇△×」で判定してくれます。セキュリティアプリをまだインストールしていない場合はこのような対策からまず始めてみましょう。


]]>
https://is702.jp/main/images/news/S200703.png
「サポート詐欺」「iPhone当選詐欺」の手口を解説する動画公開|JC3 一般財団法人 日本サイバー犯罪対策センター(JC3)は7月2日、「サポート詐欺」や「iPhone当選詐欺」の手口を解説する動画を公開しました。 2020-07-06T00:00:00+09:00
「サポート詐欺」とは、「あなたのパソコンはウイルスに感染しています!」といった偽のセキュリティ警告表示でユーザの不安を煽り、偽のサポート窓口に電話をかけさせ有償サービスの契約締結を迫り、金銭や契約時に提供を求められる個人情報を詐取する手口のことです。このとき、サポート作業に必要だと称し、遠隔操作ソフトをインストールさせるパターンもあります。

一方「iPhone当選詐欺」は、「iPhoneに当選しました」といった画面を突然表示し、プレゼント送付に必要だとしてアンケートなどとともに認証情報やクレジットカード情報などの入力を促し、情報を詐取する手口です。

詐欺のきっかけとなる偽のWebサイトは、インターネット検索から誘導されることが多く、ユーザによっては詐欺と気付かない場合も考えられます。JC3では動画を使って、どのような流れで詐欺サイトに誘導されるのか、どういった画面表示でユーザをだまそうとするかを紹介しています。

被害に遭わないためには、このようなネット詐欺の手口があることを知っておき、突然警告画面や当選画面などが表示されてもあわてないことが重要です。多くの場合はブラウザを閉じたり再起動したりすれば元に戻るので、安易に表示された電話番号へ連絡したり、クレジットカード情報などを入力しないよう注意しましょう。遠隔操作ソフトをインストールしてしまった場合は、ソフトを削除するとともに各種アカウントのIDやパスワードの変更、パソコンの初期化などの処置を講じるようにしてください。また、セキュリティソフトを使って、すでにマルウェアに感染させられていないか確認を行いましょう。
このような手口の被害に遭わないためにも、予めセキュリティソフトやアプリをパソコンやスマホ、タブレットにインストールしておき、不正サイトにアクセスしてしまうリスクを下げておきましょう。
]]>
https://is702.jp/main/images/news/img_news11.jpg
テレワークを安全に行うための家庭内セキュリティ対策の参考に リファレンスガイド公開|ICT-ISAC 一般社団法人ICT-ISAC(アイシーティ・アイザック)は7月1日、「家庭内で安全快適に在宅勤務を行うためのリファレンスガイド」を公開しました。 2020-07-03T00:00:00+09:00
新型コロナウイルス感染拡大の影響により、在宅勤務(リモートワーク、テレワーク)が急速に導入されましたが、家庭内のセキュリティがそれに追いつかず不十分な場合があります。そこでICT-ISACでは、国内各ISAC組織の協力のもと、“家庭内のセキュリティ確保”にフォーカスを当て本ガイドを作成したとのことです。
本ガイドは、在宅勤務を行う企業社員あるいはフリーランスなどの個人事業者の参考となるよう、「リモートワークを行うための環境」「リモートワークを行う上で、最低限チェックすべきセキュリティ項目」「より快適にリモートワークをするためのヒント」を解説しています。

たとえば、最低限チェックすべきセキュリティ項目として、以下のような内容が具体的な対策とともに紹介されています。
・自宅のルータの管理画面のパスワードを適切に設定しておく
・利用するパソコンのOS、ドライバ、セキュリティソフト、その他のソフトウェアを最新化する
・パソコンの共有設定を確認しておく
・自宅のLANに接続されている機器を確認しておく
・利用しようとするツールが業務上使用を許可されているか確認する
・パソコンに接続されたマイクやカメラの状態を意識する
・業務で利用するパソコンは家族とは共有しない
・業務内容が漏れないよう家族の目や耳も意識する
 など

「家庭内で安全快適に在宅勤務を行うためのリファレンスガイド」(PDFファイル)は、ICT-ISACの公式Webサイトより無料でダウンロード、閲覧可能です。
自身が所属する組織の規定を順守するとともに、セキュリティ対策に不備が無いか改めて確認を行いましょう。]]>
https://is702.jp/main/images/news/img_news34.jpg
Netflixに偽装した不正サイトに注意、個人情報に加え位置情報まで詐取 トレンドマイクロは6月24日、公式ブログで「Netflixを偽装するフィッシングサイトを確認、ユーザの位置情報も取得」と題する記事を公開しました。 2020-07-02T00:00:00+09:00
それによると、Netflixに見せかけたフィッシングサイトが活動しており、PartnerRe社の情報セキュリティアナリストは「このサイトは、アカウント情報・クレジットカードの認証情報・個人を特定できる情報(PII:Personally Identifiable Information)の収集を行う」と指摘しています。

この偽サイトで、ユーザが正しいNetflixアカウントのIDとパスワードの組み合わせを入力すると、アカウント情報の更新を要求する偽ページに誘導されてしまいます。さらに、トレンドマイクロの調査によりこのサイトは、ユーザの位置検出を可能にする「ジオロケーション機能」を採用していることが判明しました。ジオロケーション機能は、州・県・地域、そして郵便番号の自動入力に利用されていたうえ、偽サイトのURLに国名を表示させるためにも使われていました。
偽の入力画面の登録が完了すると、「あなたのアカウントへのアクセス権限が復旧しました」と、復旧成功を知らせる偽メッセージが表示され、最終的に地域属性に基づいた正規のNetflixのページにリダイレクト(転送)されます。

これまでにもNetflixをかたる類似のフィッシング活動が確認されていますが、動画サービスの人気がさらに高まっている今、利用者はこれらのサービスを名乗るメールやメッセージに、これまで以上に注意する必要があります。特に以下の点を確認するようにしてください。
・ブラウザに表示されているURLが正規のURLであるかどうかを確認する
・メールに記載されているURLリンクは安易にクリックしない(URLリンクにマウスポインタを合わせるか、タップを長押しすることで、実際の接続先のURLを確認できます)
・認証情報や個人情報をオンライン上で安易に入力しない

ネット上では、利用者をだまして不正サイトに誘導する手口が横行しています。さらに、それらは一見しただけでは真偽の判断が困難です。ネットを利用する機器では必ず、セキュリティソフトやアプリの利用、OSの更新といった基本的なセキュリティ対策を怠らないようにしましょう。


図:Netflixに偽装した偽のログインページ

図:Netflixに偽装した偽のログインページ

]]>
https://is702.jp/main/images/news/S200624.png
Wi-Fiルータのセキュリティを強化するための7つのポイント ホームネットワークの安全を保つためには、Wi-Fiルータのセキュリティを確保することが欠かせません。Wi-Fiルータのセキュリティを強化するための7つのポイントを紹介します。 2020-07-02T00:00:00+09:00
ホームネットワークの安全を確保していますか?

Wi-Fiルータのセキュリティを強化するための7つのポイント

2020/07/02
ホームネットワークの安全を確保していますか? Wi-Fiルータのセキュリティを強化するための7つのポイント

みなさんは、家庭のWi-Fiルータのセキュリティを意識していますか。もし、Wi-Fiルータのセキュリティを破られた場合、そこに接続するすべての機器が通信傍受や不正なサイトへの誘導などの危険にさらされてしまいます。Wi-Fiルータのセキュリティを7つのポイントで見直し、ホームネットワークの安全を確保しましょう。

Wi-Fiルータにセキュリティが必要なワケ

家庭でもWi-Fi(無線LAN)の利用が進み、ホームネットワーク(家庭内LAN)の構築によって家の中のさまざまな機器が常時インターネットにつながるようになりました。いまやホームネットワークを構成しているのはパソコンやスマホだけではありません。スマートテレビやゲーム機、ネットワークカメラ、スマートスピーカーなどのIoT(Internet of Things:モノのインターネット)機器もその一部です。

そんなホームネットワークの中心にあるのがWi-Fiルータです。これは、Wi-Fi接続に対応するあらゆる機器間の相互通信を仲介し、それらをインターネットにつなげてくれるネットワーク機器です。ただ、ホームネットワークにつながる機器が増えれば増えるほどWi-Fiルータへの負荷は大きくなり、通信速度が低下してしまいます。在宅勤務やオンライン授業が広がる中、より高速で安定した通信を実現するために高性能なWi-Fiルータを購入した方もいるのではないでしょうか。

新しいWi-Fiルータを使い始める前にまず意識しなければならないのがセキュリティです。ホームネットワークの要であるWi-Fiルータのセキュリティを破られると、そこに接続するすべての機器に通信傍受や不正なサイトへの誘導などの危険が及ぶためです。また、Wi-Fiルータを無防備な状態で使用していると、電波圏内の部外者にWi-Fiのタダ乗りやルータの設定変更を許してしまうかもしれません。ルータの設定が悪意を持って書き換えられてしまった場合、不正サイトや不正アプリに誘導され、詐欺やマルウェア(ウイルスなどの不正プログラムの総称)感染といった被害に遭う可能性があります。結果、機器の不正操作によるプライバシー侵害や個人情報の漏えい、金銭窃取などの被害が生じるだけでなく、外部への攻撃にも加担させられてしまうかもしれません。

Wi-Fiルータのセキュリティを強化するポイントを見ていきましょう。

Wi-Fiルータのセキュリティ強化策7選

1.ルータの管理画面に入るためのIDとパスワードを変更する

ルータの管理画面に入るためのIDとパスワードは、メーカーや機種ごとに工場出荷時の設定値が一律で決まっている場合があります。また、それらは製品の取扱説明書やメーカーの公式サイトに掲載されていることもあります。そのため、初期設定のIDとパスワードを使っていると、電波圏内の何者かにルータを乗っ取られるかもしれません。ルータの管理画面にアクセスし、第三者に推測されにくいIDとパスワードに変更しましょう。

2.ルータのファームウェアを更新する

ルータのファームウェアの脆弱性を悪用し、ホームネットワークへの侵入を試みる攻撃があります。ルータの製造元から更新プログラムが提供された場合、速やかに適用し、ファームウェアの脆弱性を修正しましょう。自動更新を有効にすれば、更新プログラムの適用漏れを防げます。取り扱い説明書やメーカーの公式サイトで更新方法を確認しましょう。
ただし、古いルータは製造元による更新プログラムの提供が打ち切られている場合もあります。

3.通信の暗号化方式にWEPを使用しない

ここ数年で販売されたWi-Fiルータの多くは、機器との通信を暗号化し、通信内容を秘匿する機能が標準で有効になっています。現在利用されているWi-Fiの暗号化方式は「WEP」「WPA」「WPA2」「WPA3」の4つありますが、最もセキュリティの弱いWEPを使用するのは厳禁です。ネット上ではWEPを解読するツールが配布されており、短時間での暗号の解読方法が見つかっているためです。WPAの改良版であるWPA2や最新版のWPA3を使用しましょう。

※WEPしか利用できないゲーム機などがある場合は、その機器専用のWEPのネットワークと、パソコンやスマホ、タブレット端末などをつなぐWPA2以上のネットワークに分けて利用しましょう。

4.SSID(ネットワーク名)のネーミングや設定を変更する

通常、Wi-Fiルータの電波圏内にあるネットワーク機器には自動的にSSIDが通知されます。そこで注意したいのがSSIDのネーミングです。Wi-Fiルータによって、デフォルトのSSIDにメーカーや機種名を示す文字列が含まれています。ただ、自身のWi-Fiルータのメーカーや機種を第三者に知られてしまうのは望ましくありません。もし、そのメーカーのWi-Fiルータに脆弱性が見つかった場合、悪意を持った第三者に狙い撃ちされることも考えられるためです。SSIDをオリジナルの名称に変更しましょう。その際、名前や生年月日、住所など、個人を特定できる文字列を指定しないことが鉄則です。また、集合住宅など近隣のSSIDを表示してしまうような環境の場合は、ステルス機能を利用してアクセス先の候補として常に表示させないようにする方法もあります。ただし、SSIDをステルス設定にしてもセキュリティが強化されたり、通信が保護されたりするわけではないため、通信の暗号化などの対策も合わせて行いましょう。

5.接続している機器を把握する

Wi-Fiルータにどのような機器が接続されているか確認しましょう。万一、身に覚えのない機器からの接続が認められた場合は、管理画面にアクセスするためのIDとパスワードに加え、SSIDと暗号化キーも変更し、不明な機器の接続を解除しましょう。
利用しているWi-Fiルータに接続機器を確認する機能が備わっていない場合、ホームネットワーク診断アプリを活用すると良いでしょう。接続されている機器を一括表示できます。トレンドマイクロでは、ホームネットワークの安全性を評価するスマホ向けアプリ「スマートホームスキャナー」と、パソコンで利用できる診断ツール「オンラインスキャン for Home Network」を無料で提供しています。

6.ゲストポート機能を利用する

友人などの一時的な来訪者にWi-Fiを貸し出す場合、ゲストポート機能(ゲスト用Wi-Fi、ネットワーク分離機能)を活用しましょう。これは、ホームネットワークと分離した無線LANを個別に用意し、来訪者にインターネット接続だけを許可する機能です。「来訪者に無線LANを提供したいけれど、ホームネットワークにつながる機器にはアクセスされたくない」といった場合に有効です。また、来訪者の端末を介してホームネットワークにマルウェアが入り込んでしまうことも防げます。設定する際には、ゲストポートが他のネットワークや設定にアクセスできないようになっているか念のため確認しましょう。設定方法については製品の取扱説明書やメーカーの公式サイトを確認してください(ゲストポート機能が備わっていないWi-Fiルータもあります)。
また、ゲストポート機能を使ってWebカメラやスマート家電などのIoT機器用のネットワーク構築も有効です。IoT機器がつながるネットワークと、パソコンやスマホなどがつながるホームネットワークを分離しておけば、万一、IoT機器へのマルウェアの侵入を許してもホームネットワーク内への機器に感染が広がることを防げます。もちろん、初期設定パスワードの変更や、ファームウェアの更新といった基本的な対策でIoT機器自体のセキュリティを確保することが大前提です。

7.ホームネットワーク全体を保護できるセキュリティ製品を利用する

セキュリティ機能を備えるWi-Fiルータ、またはホームネットワーク全体を保護、管理できるセキュリティ製品の利用を検討しましょう。通信を監視し、マルウェアの侵入や有害サイトへのアクセスだけでなく、外部との不審な通信もブロックしてくれるものが最適です。また、製品によってはホームネットワークに新たに接続を試みている機器を通知し、勝手な接続を防いだり、ペアレンタルコントロール機能によって、子どものインターネット利用を制限したりするなどの機能を備えているものもあります。用途や家族構成などを踏まえて製品を選択すると良いでしょう。

離れた場所からインターネットを介し、機器の脆弱性など悪用してホームネットワークに侵入される危険性もありますが、Wi-Fi通信圏内にいる悪意を持った第三者が無防備なWi-Fiルータを悪用し、ホームネットワークへの侵入を試みるかもしれません。いま一度、Wi-Fiルータのセキュリティを見直してみましょう。

]]>
http://rss.is702.jp/main/rss/3701_l.jpg
“初めてのスマホ”の注意点、保護者向けハンドブックを都内小学生10万人に配布へ トレンドマイクロは6月30日、子供にスマホを持たせるときに読む「保護者向けハンドブック」の無償提供を開始し、第1弾として東京都と連携し、都内の小学校6年生(約10万人)へ配布するとのことです。 2020-07-01T00:00:00+09:00
「保護者向けハンドブック~子供に自分のスマホを持たせるときに保護者ができること~」は、「スマホを持つと遭遇する危険」「行うべき対策」「万が一トラブルに遭遇した際の対処法」など、子供にスマホを持たせるときに保護者が知っておくべきこと、できる対策などを紹介する冊子です。有効なルールの作り方、ルールを継続的に守らせるためのポイント、困ったときの相談窓口なども記載されています。

ハンドブックは、東京都の条例を加味した冊子(東京都都民安全推進本部 推奨)と全国向け冊子の2種類を提供。PDFデータとしても公開されており、2種類どちらもトレンドマイクロの公式Webサイトより無料で閲覧・ダウンロードが可能です。また、トレンドマイクロは今後も、さまざまな自治体と協業しセキュリティ啓発を推進する方針とのことです。


「保護者向けハンドブック~子供に自分のスマホを持たせるときに保護者ができること~」表紙

「保護者向けハンドブック~子供に自分のスマホを持たせるときに保護者ができること~」表紙

]]>
https://is702.jp/main/images/news/S200701.png
【注意喚起】警察庁を装った偽サイトに注意、銀行を装うフィッシングサイトへ誘導 警察庁を装った偽のWebサイトが確認されたとして6月27日、警察庁の公式SNSやJC3などで相次いで注意喚起が行われました。 2020-06-29T00:00:00+09:00
警察庁では「偽サイトにアクセスすると、金融機関の偽サイトに誘導し、口座情報等を入力させようとします。不正なアドレスにはアクセスせず、口座情報等の入力はしないでください。」と呼びかけ、一般利用者に注意を促しました。
また、JC3(一般財団法人 日本サイバー犯罪対策センター:Japan Cybercrime Control Center)の発表によると、見つかった偽Webサイトへの誘導を試みていると思われる不審なSMS(ショートメッセージ)がインターネット上で見つかったとのことです。


図:警察庁を騙ったSMS(インターネット上に掲載されていたものを加工したもの)*JC3の発表資料より

図:警察庁を騙ったSMS(インターネット上に掲載されていたものを加工したもの)*JC3の発表資料より


トレンドマイクロでも、今回報告されている警察庁を騙った偽のWebサイトから6月27日時点までに2つの大手銀行に偽装したフィッシングサイトに誘導していたことを確認しています。


図:警察庁を騙る偽Webサイトにアクセスした際に表示されるポップアップメッセージ

図:警察庁を騙る偽Webサイトにアクセスした際に表示されるポップアップメッセージ




図:ポップアップメッセージの後に表示される警察庁を装う偽のWebサイト

図:ポップアップメッセージの後に表示される警察庁を装う偽のWebサイト




図:警察庁の偽Webページからリダイレクト(転送)される大手銀行に偽装したフィッシングサイト

図:警察庁の偽Webページからリダイレクト(転送)される大手銀行に偽装したフィッシングサイト




図:リダイレクト(転送)せずに、警察庁を騙ったポップアップメッセージと共に別の大手銀行に偽装したフィッシングサイトを表示させた例

図:リダイレクト(転送)せずに、警察庁を騙ったポップアップメッセージと共に別の大手銀行に偽装したフィッシングサイトを表示させた例



偽のSMSやメールから金融機関を装ったフィッシングサイトに誘導され、不正送金などのリスクにつながる手口は昨年増加し、これまでも各所から多くの注意喚起が行われています。今回の手口は、その注意喚起を逆手にとって、新たな誘導手段として悪用したものと考えられます。

ネットバンキング利用者は今一度このような詐欺手口があることを認識し、SMSやメールなどから誘導されるWebサイトに安易にアクセスしないよう注意してください。金融機関に限らず、オンラインサービスにログインする場合は検索結果で表示された正規サイト、またはインストール済みの公式アプリから情報を確認しましょう。よく利用するWebサイトはブックマークに保存しておき、そこからアクセスすると便利です。

現在、外出や人との接触回数を控えるためにオンラインサービスの活用が急速に広がっています。一方で、利用者が急増するオンラインサービスやその利用者をサイバー犯罪者は狙っています。インターネットを利用する機器には、必ずセキュリティ対策を行い、このようなサイバー脅威に対するリスクを下げておきましょう。

ネット詐欺への基本的なセキュリティ対策
・ネット詐欺の手口を知っておき、同様の手口に騙されないようにする
・OSやソフト、アプリを最新の状態に保ち、セキュリティ上の穴を塞いでおく
・セキュリティ対策製品で不正サイトへのアクセスをブロックするなどリスクを軽減させておく]]>
https://is702.jp/main/images/news/S200627_2.png
学習資料、初めてでも分かる!いま気をつけたいネットの脅威2020年6月版公開 普段ネットを利用される方に知っておいて頂きたい最新のネット脅威動向をまとめた学習資料、「初めてでも分かる!いま気をつけたいネットの脅威」更新版を公開しました。 2020-06-29T00:00:00+09:00 いま気をつけたい脅威とその対策を学習資料で手軽にきっちりと押さえておきましょう。

PDF資料は、is702 学習資料ダウンロードページより無料でダウンロードをして頂けます。


]]>
https://is702.jp/main/images/news/S200629_1.JPG
【注意喚起】新型コロナウイルス接触確認アプリに便乗する詐欺や偽アプリに注意 厚生労働省が内閣官房新型コロナウイルス感染症対策テックチーム事務局と連携して開発していた新型コロナウイルス接触確認アプリを、明日6月19日より提供開始するとの発表がありました。 2020-06-18T00:00:00+09:00
新型コロナウイルスに便乗したサイバー犯罪は、これまで複数確認、報告されています。本件に便乗した詐欺やデマ、偽アプリには十分注意しましょう。
当該アプリをインストールする際は、送られてきたメールやメッセージなどで通知されたURLリンクからアクセスせず、厚生労働省から今後発表される公式の案内を必ず参照してください。

昨今スマホから不正サイトに誘導される利用者が増加しています。OSの更新やセキュリティアプリの利用といった、基本的なセキュリティ対策をスマホでも怠らないようにしましょう。]]>
https://is702.jp/main/images/news/S200317_4.jpg
人の心理の隙を突く攻撃手口と5つの対策 スパムメールや不正なメッセージを用いた攻撃の勢いは一向に衰えません。スパムメールや不正なメッセージをきっかけとした各種被害に遭わないための5つのポイントを解説します。 2020-06-18T00:00:00+09:00
スパムメールや不正なメッセージってどんなもの?

人の心理の隙を突く攻撃手口と5つの対策

2020/06/18
スパムメールや不正なメッセージってどんなもの? 人の心理の隙を突く攻撃手口と5つの対策

スパムメールをきっかけに利用者を不正サイトに誘導したり、マルウェアに感染させたりする攻撃が後を絶ちません。SNSやSMSを悪用した不正なメッセージも大量に出回っています。スパムメールや不正なメッセージの実例と5つの対策を紹介します。

スパムメールが4つの攻撃の起点に

メール利用者は、メールボックスに大量に届くスパムメールにへき易しているのではないでしょうか。スパムメールは、受信者の意向を無視して一方的に送りつけられるメールを指し、迷惑メールやジャンクメールなどとも呼ばれます。その種類はさまざまです。商品やサービスの宣伝、ビジネスの勧誘を目的とするものもあれば、フィッシングサイトなどの不正サイトへ誘導したり、マルウェア(ウイルスなど不正プログラムの総称)を拡散したりする攻撃の手段として使われるものもあります。

サイバー犯罪者が攻撃に用いるのはメールだけではありません。SNSのダイレクトメッセージやSMS (ショートメッセージサービス)を悪用した不正なメッセージも大量に拡散しています。スパムメールや不正なメッセージによる攻撃にはどのようなものがあるでしょうか。大きく、「不正サイトへ誘導するもの」「マルウェアに感染させるもの」「金銭や情報を奪うもの」「誤情報やデマを発信するもの」の4つのタイプがあります。ここから実例を見ていきましょう。

スパムメールや不正なメッセージの実例をチェック

1.不正サイトへ誘導するタイプ

新型コロナウイルス感染症緊急経済対策の一環である特別定額給付金の申請手続きを装うスパムメールの情報がSNS上で投稿されています。多くの人の関心事や旬な話題に便乗するのはネット詐欺の常とう手段です。実際に報告されているのは、携帯電話事業者をかたり「給付金10万配布につき、お客様の所在確認」といったタイトルで送りつけられるメールです。本文は給付金の申請や書類の受け取りのためなどと称して受信者にURLリンクを開かせる内容になっています。しかし、このメールから誘導されるWebページは「当選」のメッセージを表示し、当選金を受け取るためという名目で銀行名や口座番号、氏名などを入力させる当選詐欺サイトでした。自治体や携帯電話事業者がメール経由で給付金の申請手続きを促すことはないため注意してください。また、配送業者を装う事例としては、「金融機構より『特別低額給付金』について、重要な受取書類をお預かりしております。」と誤字を含んだ件名などで送り付けられる偽の不在通知メールが報告されています。

2.マルウェアに感染させるタイプ

新型コロナウイルスの影響で在宅勤務やオンライン授業が進む中、ZoomやGoogleハングアウト、Microsoft Teamsなどといったビデオ会議(オンライン会議、リモート会議)サービスの需要が高まっています。サイバー犯罪者がこの状況を見逃すはずはありません。実際、マルウェア付きのZoomのインストーラが配布されていたことを確認しています。もし、マルウェア付きのインストーラを起動してしまうと、端末内に正規のZoomアプリだけでなく、マルウェアも入り込んでしまいます。このような不正なインストーラを配布している不正サイトに誘導する方法の1つとしては、偽メールや偽装メッセージが考えられます。メールやメッセージからツールのインストールを促された場合、送られてきたURLリンクを安易に開くことは危険です。

3.金銭や情報を奪うタイプ

メールは恐喝の手段にもなっています。実際、「アダルトサイトを見ているときの様子を撮影した動画をばらまく」といった文面で受信者を不安がらせ、仮想通貨(暗号通貨)を要求するスパムメールが継続的に確認されています。サイバー犯罪者は、でたらめの脅迫内容を信じ込ませるためにさまざまな工夫を凝らします。たとえば、送信元メールアドレス(From:)を受信者自身のメールアドレスに偽装したり、受信者が何らかのインターネットサービスで使用しているパスワードを表題や本文に記載することで、脅迫内容の信ぴょう性を高めるのです。

セキュリティ事業者を偽装したアカウントから「技術的な悩みを解決します」といった文言とURLリンクをSNS上に投稿し、そこからサポート詐欺サイトへ誘導する事案も確認されています。もし、サポート詐欺サイトに記載された窓口に電話し、サポート契約の手続きに入ってしまえば、金銭だけでなく、名前やメールアドレス、電話番号、クレジットカードなどの情報もだまし取られてしまいます。

4.誤情報やデマを発信するタイプ

メールやSNS、ネット掲示板などでは事実と異なる情報や、必ずしも正確ではない情報、ある意図をもって加工されたデマが飛び交っています。ネット上に根拠のない誤情報やデマを発信する目的はさまざまです。いたずらや承認欲求の充足だけでなく、ネット利用者をでっち上げ記事に引き込むことでアフィリエイト収入を得ることが目的の場合もあるでしょう。また、虚偽の抽選などでフォロワーを集め、アカウントの価値を不正につり上げる行為や、サイバープロパガンダ(世論を操作するために行うネット上の宣伝工作)と見られるものもあります。

デマの拡散事案として記憶に新しいのは、「新型コロナウイルス感染症の影響でトイレットペーパーが品薄になる」というSNSの投稿です。デマと認識されながらも、これをきっかけに消費者がトイレットペーパーを一気に買い求めた結果、一部店舗では品薄状態が発生しました。ネット上には誤情報やデマも紛れており、それらが実社会に影響を及ぼす可能性もあることを認識しましょう。

スパムメールや不正なメッセージによる攻撃の被害に遭わないための5つの対策

「ネット上に私的なメールアドレスを公開しないこと」「不審なメールに返信しないこと」「各携帯電話事業者やプロバイダ、クラウドメールサービスが提供する迷惑メールフィルタ機能を利用すること」「ダイレクトメッセージの受信制限をする」「SMSの振り分け設定を行う」などを心がければ、スパムメールや不正なメッセージを届きにくくすることができます。しかし、これらを完全に遮断することは困難です。重要なことは、受け取ったとしても適切に対処できるよう備えておくことです。5つの対策を実践しましょう。

1.詐欺の手口と実例を知る

スパムメールや不正なメッセージによる詐欺や脅迫などに引っかからないよう、その手口と実例を知っておきましょう。普段からセキュリティ事業者やフィッシング対策協議会などが公表する注意喚起情報に目を通しておくことが大切です。注意喚起を行っている公式SNSをフォローしておくと、情報を入手しやすくなります。

公式SNSの一例
・内閣サイバー(注意・警戒情報)公式 Twitter
・NHKニュース公式 Twitter
・警視庁サイバーセキュリティ対策本部公式 Twitter
・消費者庁公式 Twitter
・消費者庁公式 Facebook
・トレンドマイクロ公式 Twitter
・トレンドマイクロ公式 Facebook

2.URLリンクや添付ファイルを不用意に開かない

著名な企業やネットサービスを差出人とするメールやSMSでも、URLリンクや添付ファイルの開封を促すものは詐欺を疑ってください。その企業の公式サイトに掲載された注意喚起情報をチェックしたり、電話などで直接問い合わせたりして事実確認を行うことが大切です。その際、メッセージ内に記載された連絡先に問い合わせてはいけません。ネット検索し、公式の窓口を確認しましょう。

また、次世代版SMS、RCS(Rich Communication Service)に準拠した「+メッセージ」では、携帯電話事業者3社それぞれの審査を経て認証を受けた事業者のアイコンに認証済みマークが表示されます。その有無も真偽の判断に役立ちます。

図:事業者のアカウントに表示される認証済みマークの例

3.脆弱性対策を行う

スパムメールの中にはコンピュータ内のOSやソフトの脆弱性を悪用することでマルウェアを送り込む攻撃の起点となるものもあります。OSやソフトの開発元から更新プログラムが提供されたら速やかに適用し、常に最新バージョンに保ちましょう。

4.セキュリティソフトを最新の状態で利用する

セキュリティソフトを正しく更新しながら利用すれば、不正サイトへアクセスしたり、不正ファイルを実行されたりするリスクを下げられます。また、最近は不正サイトに誘導されるスマホ利用者も急増しています。パソコンだけでなく、スマホにもセキュリティアプリをインストールしましょう。

図:不正サイトに誘導された国内モバイル利用者数推移、2020年5月トレンドマイクロ調べ

5.誤情報やデマに惑わされない

メールに記載された情報やSNSの投稿内容を鵜呑みにしてはいけません。たとえ善意や正義感に基づく行為でも誤情報やデマをネット上に拡散すれば、自分の立場を悪くするだけでなく、他人にも迷惑をかけてしまいます。必ず公的機関のWebサイトといった信用できる情報源を参照するようにし、真偽が定かではない情報を拡散しないようにしましょう。

他者に注意を呼び掛ける際にも注意が必要です。その注意喚起自体がデマの拡散を助長する場合もあるためです。また、スパムメールから誘導される詐欺サイトには信ぴょう性を高める演出として受信者のメールアドレスが載せられることもあります。このため、受信者が大勢の人に注意を呼びかけようと詐欺サイトをネットに公開すると、不特定多数にメールアドレスを知られてしまう可能性があります。スパムメールや不正なメッセージを受信した場合、偽装されている企業やサービス事業者に通知するか、関連機関に報告しましょう。

]]>
http://rss.is702.jp/main/rss/3692_l.jpg
中小企業のサイバーセキュリティの現状に関連する3つの報告書を公開|IPA 独立行政法人情報処理推進機構(IPA)は6月15日、中小企業のセキュリティの現状に関連して、3つの報告書を公開しました。 2020-06-17T00:00:00+09:00
今回公開されたのは、「サイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け隊)」に関する報告書、「2019年度 中小企業の情報セキュリティマネジメント指導業務」に関する報告書、「中小企業向けサイバーセキュリティ製品・サービスに関する情報提供プラットフォーム構築に向けた実現可能性調査」に関する報告書の3つです。

まず「サイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け隊)」は、19府県8地域の中小企業を対象に実施した実証事業で、計1,064社の中小企業が実証に参加。地域の団体・企業等と連携し、さまざまなサイバーセキュリティ対策の推進、攻撃被害の実態分析、インシデント発生時の支援体制構築等を行いました。

報告書では、中小企業においても業種や規模を問わず例外なくサイバー攻撃を受けていること、検知および防御のための対策や社内体制の構築ができていない企業が多いこと、「継続的な意識啓発」「導入・運用しやすい対策機器やサイバー保険の開発」「専門家の伴走型支援を含むワンパッケージ化」「コスト低廉化」が重要であること等が報告されています。

次に、「2019年度 中小企業の情報セキュリティマネジメント指導業務」では、2019年9月~2020年1月にかけて、全国の中小企業382社を対象に、専門家による指導をIPAが実施。情報処理安全確保支援士(RISS)等を起用し、1社あたり4回の派遣を通して、中小企業の各現場に応じたリスクの洗い出しから、マネジメントに必要なセキュリティ基本方針や関連規定の策定に向けた支援を行うとともに、アンケート調査を行いました。その結果、多くの中小企業で、情報セキュリティ対策への意欲、セキュリティレベル、継続改善の意識が向上するとともに、身近な専門家の有効性や役割の重要性が確認されたとしています。

そして「中小企業向けサイバーセキュリティ製品・サービスに関する情報提供プラットフォーム構築に向けた実現可能性調査」では、製品・サービスの導入・ヒアリングを実施し、選定の際に参考となる評価項目を「導入・運用のし易さ」「費用」「得られる効果」「課題」等の観点で策定。報告書では、「評価項目に沿った評価や提供された情報の信頼性、妥当性の確認をすべて申請時・登録時に実施しようとすると、コスト面、労力面の負荷が大きくなるため、事後評価を上手く活用することが重要」と提言されています。

いずれの報告書も中小企業においては、自社の状況を確認する一助になるでしょう。報告書は、IPAの公式WebサイトよりPDFファイルが無償でダウンロード・閲覧可能です。


中小企業の情報セキュリティマネジメント指導業務実施イメージ(IPAの報告資料より)

中小企業の情報セキュリティマネジメント指導業務実施イメージ(IPAの報告資料より)


]]>
https://is702.jp/main/images/news/S200617.jpg
UPnP規格の脆弱性を狙う攻撃手法CallStranger、TVやルータ、ゲーム機などにも影響の可能性 独立行政法人情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)が共同運営する脆弱性対策情報ポータルサイト「JVN」は6月9日、UPnPプロトコル(規格)を実装した機器に脆弱性が存在するとして、注意を呼びかけました。 2020-06-12T00:00:00+09:00
「UPnP」(Universal Plug-and-Play)は、ネットワーク上の機器を見つけやすくし、他の機器との連携を簡単に行えるようにするために利用されている規格です。多くのネットワーク機器で利用されており、家庭でもパソコンやプリンター、ゲーム機、スマートTV、Webカメラなどで利用されています。
UPnP対応機器は通常、家庭内ネットワークや組織内のネットワークなどの外部から閉ざされたネットワーク内で利用されることを想定していますが、実際には外部(インターネット)から直接アクセス可能な機器が多く存在し、ネット接続デバイスを対象とするオンライン検索エンジン「Shodan」で、UPnPが使用する「1900番ポート」について検索したところ、国内でも6月11日時点で約3万件の機器がインターネット上に露出していました。また、UPnPプロトコルには何らかの処理が行われた場合に、任意の機器に通知を返す仕組みがあります。そのため、予め通知先を登録しておくことで、その通知が受取れるという仕組みになっています。

今回報告された、脆弱性を悪用した攻撃手法「CallStranger」(CVE-2020-12695)はこうした仕組みを悪用するものです。具体的には、通知先を本来指定すべき先とは異なる任意のインターネット上へ返すように仕向けることで、UPnP対応機器がDDoS攻撃(特定の通信先にアクセスを集中させてサービスを停止させる攻撃)に転用されたり、どのポート(通信の口)が空いているのかといった内部情報を外部に送信させられたりする可能性があります。悪用された場合、サイバー攻撃に加担させられたり、他の攻撃を行うための下調べに利用されたりする可能性があります。これを受け、新たなUPnP規格では、通知を送る先は同一ネットワーク内に限るように変更されています。

UPnPを利用する必要がない場合は、ルータなどのUPnP設定をオフにしておきましょう。利用している場合は、各機器のファームウェア(機器を動かすためのソフト)を最新版に保ち、脆弱性を悪用されないようにしてください。不安な場合は、利用している機器やインターネットプロバイダーの問合せ窓口に相談しましょう。

脆弱性を悪用される危険性があるUPnPが使用する1900番ポートが開放されているかどうかを確認する方法としては、ホームネットワーク診断の利用も有効です。トレンドマイクロでは、ホームネットワークの安全性を評価するスマホ向けアプリ「スマートホームスキャナー」と、パソコンで利用できる診断ツール「オンラインスキャン for Home Network」を無料で提供しています。ホームネットワークにつながっている家電や機器を表示し、それぞれのセキュリティの問題点と解決策を提示してくれます。


※バナーをクリックするとトレンドマイクロのスマートホームスキャナーのページが開きます。

※バナーをクリックするとトレンドマイクロのスマートホームスキャナーのページが開きます。


]]>
https://is702.jp/main/images/news/img_news40.jpg
【注意喚起】Amazonプライム自動更新解除を装う偽メールに注意 大手ECサイトAmazonを装った偽メールの配布を確認しています。利用者は同様の手口に騙されないように注意しましょう。 2020-06-12T00:00:00+09:00
今回確認した偽のメールは、有料会員であるAmazonプライムの自動更新設定解除を装い、このままだとサービスが利用出来なくなるので、72時間以内に継続手続きが必要だとする文面となっていました。メッセージを信用して、送られてきたURLリンクから情報を入力してしまうと、認証情報や個人情報、クレジットカード情報を詐取される危険があります。

確認された偽メールの概要
件名:Amazonプライムの自動更新設定を解除しました!番号 <10桁の数列>
本文から一部抜粋:
Amazonプライム期間が終了したら、お急ぎ便無料やプライム・ビデオ見放題などのプライム会員特典のご利用ができなくなります。
<中略>
継続してプライム会員特典をお楽しみいただきたい場合は、「Amazonプライム会員情報の管理」ページにて「会員資格を継続する」をクリックしてください。
【会員情報の管理ページで確認(不正なURLリンク)】
なお、72時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。


図:Amazonを装う偽メールの一例

図:Amazonを装う偽メールの一例




図:不正なURLリンクから誘導される正規サイトに偽装した偽のログイン画面

図:不正なURLリンクから誘導される正規サイトに偽装した偽のログイン画面




図:アカウントの復旧に見せかけ、入力を続けさせようとする偽サイトのページ

図:アカウントの復旧に見せかけ、入力を続けさせようとする偽サイトのページ




図:個人情報とクレジットカード情報の入力を求める偽サイトのページ

図:個人情報とクレジットカード情報の入力を求める偽サイトのページ



Amazonでは、同社を騙った不審なメールやSMSの手口を公式サイトで紹介すると共に、今後の被害防止のために受信者からの報告を求めています。サービス利用者は情報を参照し、同様の手口に騙されないように注意してください。もしも不審なメールやSMSを受け取った場合は公式サイトの窓口から報告しましょう。

Amazon.co.jpからの連絡とフィッシングの見分け方について
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=201909120

今回確認した偽メールの場合、文末のURLリンクは正規サイトへのリンクを設定しており、真偽の判断を鈍らせるような内容となっていました。このように、偽のメールであっても、部分的に正規サイトへのリンクを残し、信憑性を高めるのは常とう手段です。また、送信元の偽装も一般化しており、表示される送信元メールアドレスを確認しただけでは真偽の判断が困難です。
利用者はメールのフィルタリング機能で不審なメールの受信を防ぐと共に、セキュリティソフトやアプリを利用し、不正サイトに誘導されてしまうリスクを下げておきましょう。さらに、メールやSMSなどで通知されるURLリンクからのアクセスは避け、必ず正規アプリや公式サイトからログインすることを心掛けてください。


ネット詐欺対策にはスマホにセキュリティアプリをインストールすることが必要ですが、その前に気軽に試していただけるLINEのサービスもあります。「Webサイトにアクセスする前に、安全かどうか確かめたい!」そんな時にご利用いただけるのが、LINEで使える無料のウイルスバスターチェック!(試験運用中)です。Webサイトが安全かどうかを「〇△×」で判定してくれます。ネット詐欺の被害に遭わないよう、今日からスマホにもセキュリティ対策をはじめてみましょう。


LINEで使える無料のウイルスバスターチェック!(試験運用中)

LINEで使える無料のウイルスバスターチェック!(試験運用中)



]]>
https://is702.jp/main/images/news/S200611_1.png
動画配信サービスを装う詐欺の手口とは? ひろしはアカリが見つけた無料の動画配信サービスを訝しんでいる様子です 2020-06-11T00:00:00+09:00
ひろしとアカリのセキュリティ事情

動画配信サービスを装う詐欺の手口とは?

2020/06/11

ネット動画を安全に視聴するために

自宅で過ごす時間が増え、動画配信サービスを利用して映画やドラマ、スポーツ、音楽などの視聴を楽しんでいる方も多いのではないでしょうか。ただ、インターネット動画を視聴する際は、動画配信サービスを装うフィッシングサイトや偽のストリーミング配信アプリに注意しなければなりません。

過去にはNetflixをかたるフィッシングメールが出回りました。それらは「支払いに問題があり、アカウントが保留になっています」「支払方法の更新が必要です」などの文言で受信者をフィッシングサイトへ誘い込み、そこで入力された認証情報やクレジットカード情報などを盗み出すことを目的としていました。また、記憶に新しい2019年日本で開催されたラグビーワールドカップ開催期間中には、偽のストリーミングサイトが確認されています。さらに、2018 FIFAワールドカップの開催期間中には、試合映像を無料で視聴できるとうたう偽のストリーミング配信アプリも出現。この偽アプリは一般のWebサイトで配布され、Android端末にインストールされると位置情報やSMSメッセージ、通話音声データ、外部ストレージ内のファイルなどを外部に送信する不正アプリでした。このように、話題の動画コンテンツなどに便乗する手口は、くり返し報告されています。

図:大手動画配信サービスに偽装した偽のログイン画面

パソコンやスマホ、タブレット端末には必ず信用できるセキュリティソフトやアプリを入れ、常に最新の状態で利用しましょう。そうすれば、フィッシングサイトや偽サイト、不正アプリなどの脅威に遭遇するリスクを下げられます。セキュリティソフトやアプリをインストールできないオンラインゲーム機やスマート家電などについては、ホームネットワーク全体を守るセキュリティ製品で保護しましょう。

ホームネットワーク全体を守るセキュリティ製品の一例|ウイルスバスター for Home Network

また、動画配信サービスのアカウントへのログインは、必ずブックマークに登録した公式サイトや公式アプリから行ってください。メールやSMS内のURLリンク、ネット広告などからたどり着いたログインページはフィッシングサイトの疑いがあるため、安易な情報入力は厳禁です。スマホに動画配信アプリを入れる際もGoogle PlayやApp Store、携帯電話事業者などが運営する公式のアプリストアを利用しましょう。

動画:動画配信サービスを装うネット詐欺の手口

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3687_l.jpg
OutlookやWebex、Zoomを装う偽のログインページなど、テレワーク増加に便乗したネットの脅威 トレンドマイクロは6月9日、公式ブログで「テレワークで使用が増えたツールに便乗する攻撃」と題する記事を公開しました。それによると、多くの企業がテレワークで使用するツールに対し、これらの認証情報を狙うフィッシング攻撃が確認されました。 2020-06-10T00:00:00+09:00
具体的には、マイクロソフトが提供するWeb版「Outlook(旧Outlook Web Access)」と「SharePoint」などのOffice 365アプリケーション、ビデオ会議アプリ「Webex」「Zoom」が攻撃対象となっていました。
これらの攻撃は、フィッシングサイト上でユーザが認証情報を入力するよう誘導する手法を使っており、目新しいものではありません。しかしテレワークが一般化し、メール、コラボレーション・プラットフォーム、ビデオ会議アプリの利用が急拡大している状況から、これまで以上に対策を講じる必要性が高まっています。

たとえば、OutlookおよびOffice 365を利用する認証情報のフィッシング活動は、複数の国で影響を与えています。トレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network(SPN)」のデータを確認したところ、実際にOutlook Web Access(Web版Outlook)のログイン画面を偽装したサイトが確認されました。ユーザが普段からWeb版Outlookを使用している場合、偽のサイトにアクセスしても、不信感を抱かない可能性があります。


図:Web版Outlookの偽ログインページ例

図:Web版Outlookの偽ログインページ例


ビデオ会議アプリに偽装した攻撃としては、WebexやZoomなどの文字列を含む不正なURLがSPNで検出されており、中にはログインページを偽装したフィッシングサイトも確認されています。またフィッシング以外には、不正なアドウェア(広告を表示させるツール)や仮想通貨発掘ツール、その他マルウェア(ウイルスなど不正プログラムの総称)などをZoomやWebexのインストーラなどに偽装し、不正サイトからダウンロードさせて感染させる手口もありました。


図:ビデオ会議アプリ「Webex」のログインページに偽装したフィッシングサイトの例

図:ビデオ会議アプリ「Webex」のログインページに偽装したフィッシングサイトの例


こうしたサイバー攻撃は、主にフィッシングページをメールで送り付け、受信者を不正サイトに誘導します。「不審な送信元からのメールに記載されているリンクはクリックしない」「メールに埋め込まれたURLにマウスポインタを合わせて確認する」「不自然な文章、文法上の間違いや誤字に注意する」「ログインページが正規のものに見える場合でも、URLを調べて正規のログインページであるかどうかを確認する」といった習慣を身に付けてください。機密情報や個人情報をオンライン上で共有しないことも重要です。

ただし、不正なメールは送信者アドレスを偽装している場合もあり、一見しただけでは真偽の判断が困難です。頻繁に業務で利用するツールは予めブックマークやお気に入りなどに登録しておき、メールなどで送られてきたURLリンクのクリックは極力避けましょう。また、フィッシングやマルウェア感染など、不正サイトによるリスクを回避するためには、セキュリティソフトやアプリを最新の状態に保って利用してください。
]]>
https://is702.jp/main/images/news/S200610_1.png
海賊版対策を強化する「改正著作権法」が成立、日本漫画家協会らは共同声明を発表 第201回国会(参院本会議)において6月5日、海賊版対策を主たる目的とした「著作権法およびプログラムの著作物に係る登録の特例に関する法律の一部を改正する法律案」(改正著作権法)が成立しました。 2020-06-08T00:00:00+09:00
これを受け、公益社団法人 日本漫画家協会と出版広報センター(日本書籍出版協会・日本雑誌協会・日本出版インフラセンター・日本電子書籍出版社協会・自然科学書協会・出版梓会・日本児童図書出版協会・大学出版部協会・日本楽譜出版協会の9団体)は同日に、共同声明を発表しました。

従来の著作権法では、無断公開・不正ダウンロードの規制対象は、音楽と映像に限定されていましたが、改正著作権法では、漫画や書籍、論文、コンピュータプログラムなども保護されるようになります。また、無断公開を行う不正サイトに加え、これら不正サイトへの誘導を行う「リーチサイト」(侵害コンテンツへのリンク情報などを集約したウェブサイト)も刑事罰の対象になりました。さらに、正規版が有償で提供されている著作物の不正ダウンロードを何度も繰り返す悪質な利用者にも、刑事罰が科されるようになりました。

日本漫画家協会および出版広報センターは、この法改正について、「かねてより一貫して求めていた“脱法行為を簡単に招かず、かつ、善良なユーザーに過度な萎縮が生じない”バランスの取れたものとして歓迎します」とコメントするとともに、「しかしながら、法改正が成立したからといって、すぐにでも海賊版サイトを撲滅できるというわけではありません。今回の法改正は、新たなスタートです」とし、ABJマークの利用促進など、引続き対策への取り組みに注力するとともに、利用者の理解と協力を求めています。

ABJマークとは、「Authorized Books of Japan=公認された日本の本」の略であり、正規出版物であることを示すものです。主な正規サービスではこのABJマークをトップページなどに掲げているので、正規サービスかどうか見分ける際の参考にしましょう。
著作物の権利を守り、作者に利益をもたらすことで新たな創作につながります。また、不正ダウンロードサイトなどを利用した場合、ウイルスなどのマルウェア感染や、詐欺被害などにつながる危険性もあります。利用者は必ず正規サイトや正規サービスを正しく利用しましょう。
]]>
https://is702.jp/main/images/news/img_news41.jpg
ネットの悪質な書き込みの相談窓口「誹謗中傷ホットライン」開設へ|セーファーインターネット協会 一般社団法人セーファーインターネット協会(SIA)は6月4日、インターネットの誹謗中傷情報についての相談を受け付ける「誹謗中傷ホットライン」の立ち上げを発表しました。6月末までをめどに、活動を開始する予定です。 2020-06-05T00:00:00+09:00
SNS上での誹謗中傷をきっかけとした痛ましい出来事が国内外に大きな衝撃を与え、SNSを介した誹謗中傷行為が強く問題視されるようになりました。

以前からインターネット上の誹謗中傷行為は、問題視されてきましたが、今回の出来事を受け、国・企業・支援団体が再発防止に向けさまざまな取り組みを強化することを発表しています。SIAは、これまでも警察庁からの受託事業として「ホットラインセンター」を運営してきたほか、関係省庁と連携しつつ「児童ポルノ」「リベンジポルノ」「いじめ行為」の対応を行ってきました。今回新たに「誹謗中傷情報」についてもタスクフォースを立ち上げ、準備ができ次第、被害者からの相談を受け付けるとのことで、今後も継続的にインターネット上の違法・有害情報の問題に総合的に取り組み知見を活かし、表現の自由と通信の秘密に配意しつつ、違法・有害情報の排除のための施策を検討・実施していくとのことです。

SNSでは、普段の生活や面と向かっては口にしないような暴言や誹謗中傷を安易に書き込んでしまうパターンも見られます。自身が投稿、拡散する情報が適切かどうか、今一度考えましょう。また、保護者は子どもが被害者や加害者になってしまわないよう、SNSの利用について親子で話し合う機会を設けると共に、サービス利用規約の年齢に達していない場合は保護者が管理し、子どもが勝手に利用しないよう注意しましょう。
]]>
https://is702.jp/main/images/news/img_news8.jpg
ネット動画の視聴、投稿、ビデオ通話時に注意すべきこと ビデオ通話の活用や、動画コンテンツの視聴を楽しんでいる方も多いのではないでしょうか。ただ、オンラインサービスを利用する際はフィッシング詐欺や不正アプリなどに注意が必要です。ビデオ通話やネット動画との上手な付き合い方について学びましょう。 2020-06-04T00:00:00+09:00
動画配信サービスやオンライン会議を狙う脅威に要注意

ネット動画の視聴、投稿、ビデオ通話時に注意すべきこと

2020/06/04
動画配信サービスやオンライン会議を狙う脅威に要注意 ネット動画の視聴、投稿、ビデオ通話時に注意すべきこと

NetflixやHulu、Amazonプライム・ビデオなどの動画配信サービスや、YouTube、TikTokなどの動画共有サイトが人気です。また、ビデオ通話を介したコミュニケーションも盛んになっています。今回はネット動画の視聴時、およびSNSへの動画投稿時やビデオ通話利用の際に注意すべきことを紹介します。

ネット動画の視聴時はリスクも

昨今の状況を受け、外出を控えて自宅で過ごす時間が増えています。人々の不安や心身のストレスを和らげようと、普段は有料で提供されている動画コンテンツが無料で公開されたり、芸能人やスポーツ選手ら著名人によるYouTubeでの動画配信が盛んに行われたりしています。自宅でネット動画を視聴する機会は自然と増えているのではないでしょうか。

その一方で、動画配信サービスや動画共有サイトの利用者をターゲットとするサイバー攻撃も報告されています。ネット動画を視聴する際は、どんなことに注意しなければならないのでしょうか。

ネット動画の視聴者を狙う詐欺とは?

ネット利用者を人気動画配信サービスを装うフィッシングサイトへ誘導し、認証情報(ID、パスワード)や個人情報、クレジットカード情報を詐取しようとする手口を確認しています。

図:大手動画配信サービスに偽装した偽のログイン画面

図:偽のクレジットカード情報入力画面

フィッシングサイトは一般に、正規のWebサイトからデザインやレイアウト、ロゴなどが盗用されるため、一見本物のように見えます。また、本物を想起させるドメイン名を使用していたり、SSL(第三者による通信の読み取りを防いでくれる仕組みです。SSL対応のWebサイトでは、アドレスバーのURLが「https://」で始まり、「鍵マーク」が表示されます)に対応したりしているため、真偽の判別が困難です。

このほかにも、人気ユーチューバーを偽装したYouTubeのダイレクトメッセージを介して受信者を不正サイトへ誘い込む手口が報告されています。これは、アバター画像とチャンネル名をコピーすることで人気ユーチューバーになりすましたサイバー犯罪者が不特定多数に友達リクエストを送信し、それを承認した利用者に不正なメッセージを送りつけることから始まります。そして、受信者にURLリンクを開かせ、賞品を受け取るためという名目で個人情報やクレジットカード番号などを入力させるのです。また、誘導先でアンケートへの回答を求められたり、別のWebサイトに次々と誘導されたりする場合もあります。それらの多くはアフィリエイト(ネット利用者を特定のWebページに誘導することにより報酬を得る仕組み)による金銭の獲得が目的と見られます。

多くの人の関心事や旬な話題に便乗するのはネット詐欺の定番のやり口です。2018 FIFAワールドカップの開催期間中には一般のWebサイトにおいて試合映像を無料で視聴できるとうたう偽のストリーミング配信アプリが配布されました。その正体は、位置情報やSMSメッセージ、通話音声データ、外部ストレージ内のファイルなどを外部に送信するAndroid端末向けの不正アプリでした。

図:サッカー選手を紹介するWebサイトから配信されていた
正規アプリに偽装した不正アプリのダウンロードサイト

ラグビーワールドカップ2019の開催期間中にも無料のライブストリーミング配信を餌にネット利用者を惹きつけ、視聴の条件としてメールアドレスやクレジットカード情報の入力を求める偽サイトが確認されました。

図:偽のアカウント登録画面の一例

ネット動画を安全に視聴するための5つのポイント

ネット動画を安全に視聴するための5つのポイントを確認しておきましょう。

1.セキュリティソフトを最新の状態で利用する

パソコンやスマホ、タブレットなど、動画視聴に利用する機器には必ずセキュリティソフトやアプリを入れ、常に最新の状態で利用しましょう。フィッシングサイトにアクセスしたり、不正アプリをインストールしたりしてしまうリスクを下げることができます。
ゲーム機やスマート家電など、セキュリティソフトをインストールできない機器については、ネットワーク全体を保護してくれるセキュリティ製品や、セキュリティ機能を備えたホームルータを使って守りましょう。

2.ネットでの情報入力を慎重に行う

動画配信サービスなどのアカウントへのログインは必ずブックマークに登録した公式サイトや、公式アプリから行いましょう。メールやSNS、SMS内のURLリンク、非公式Webサイト、ネット広告などからたどり着いたページは不正サイトの疑いがあるため、安易な情報入力は禁物です。

3.アカウントを厳重に管理する

動画配信サービスをはじめとするインターネットサービスのアカウントを第三者に不正利用されないための対策も不可欠です。サービスごとに異なるIDとパスワードの組み合わせを使用すること、第三者に推測されにくいパスワードを設定することを徹底してください。また、パスワード認証とは別に二要素認証といったセキュリティを強化できる設定を利用できる場合は必ず有効にしましょう。

4.公式のアプリストアからアプリを入手する

運営元不明のWebサイトで配布されているアプリには注意が必要です。スマホに動画配信アプリを入れる際はGoogle PlayやApp Store、携帯電話会社などが運営する公式のアプリストアを利用してください。公式アプリストアを利用する場合も、アプリのダウンロード前に著名な検索サイトでアプリ名や開発元を検索し、評判を調べることも習慣づけましょう。公式アプリストアにも不正アプリが紛れ込んでいる可能性があるためです。

5. お子さんの年齢に応じたアクセス制限をかける

ネット上にはポルノや違法薬物、ギャンブル、暴力など、子どもたちにとって不適切な描写を含む動画が無数に存在します。スマホやゲーム機本体、各動画配信サービスが独自に提供するフィルタリング機能、セキュリティ製品などを利用してお子さんの年齢に応じたアクセス制限をかけましょう。1日あたりのネット利用時間の上限を設定すれば、お子さんの過度なネット利用も防げます。

ネットへの動画投稿やビデオ通話利用時における4つの注意点

YouTubeやTikTokに限らず、FacebookやTwitter、InstagramなどのSNSでも動画を用いたコミュニケーションが当たり前になっています。また、Zoomなどのオンライン会議(Web会議、リモート会議)ツールをビジネス以外のシーンで使う人も急増しています。いまや、個人がオンラインサービスを活用し、生の映像をネット上でやり取りすることも珍しくありません。動画投稿や、ビデオ通話を利用する際の注意点も押さえておきましょう。

1.適切なプライバシー設定を行う

SNSや動画配信サービスで不特定多数に公開した動画は、だれが、どのような目的で閲覧しているかわかりません。また、オンライン会議に第三者が介入し、不適切な画像を表示されたり、やり取りを盗み見されたりする危険性もあります。だれと共有すべき情報かを踏まえてサービスごとに適切なプライバシー設定とセキュリティ設定を行ってください。
SNSでは、プロフィールや投稿の公開範囲を目的や用途に応じて制限しましょう。また、主なSNSでは、サービスを利用できる年齢を制限しています。お子さんがその年齢に達していない場合は、必ず保護者がアプリやサービスを管理し、勝手に利用させないように注意しましょう。

オンライン会議ツールでは、第三者に介入されないよう、デフォルトの設定を見直すとともに、参加者用URLやパスワードを必要な相手だけに共有するようにしましょう。

2.個人情報やプライバシーを含む動画をむやみに公開しない

SNSや動画配信サービスで個人を識別できる情報が含まれる動画を載せた場合、相応のリスクが生じます。たとえば、悪意のある第三者に個人を特定され、嫌がらせやストーカー、脅迫などの被害に遭う危険性があります。被写体だけでなく、背景の映り込みにも十分に注意してください。

3.相手や著作物に配慮する

人の容姿がはっきりわかる形で映り込んだ動画やスクリーンショット(画面コピー)を本人の承諾なしにインターネット上に公開したり、仲間内で共有したりする行為は重大なマナー違反です。無断で撮影するようなことはせず、相手への配慮を忘れないようにしましょう。また、自身で創作していない音楽や画像、イラスト、動画などの著作物の取り扱いにも注意が必要です。無断利用や配信を行った場合、損害賠償責任を問われる可能性もあることに留意しましょう。

4.節度ある内容の投稿を心がける

道徳に反する行為は現実社会だけでなくネット上でも許されません。ネットに動画を投稿する前に、他者のプライバシー侵害や利益侵害、誹謗中傷、観た人を不快にさせるような内容などが含まれていないことを確認してください。投稿内容をだれかにコピー、拡散された場合、半永久的にネット上に残り続け、不特定多数の目に触れる可能性があります。また、オンライン会議ツールやビデオ通話アプリの利用時も、発言や行動に注意が必要です。相手が無断で録画や画面コピーを行う可能性もあるためです。第三者に共有されると困る言動は慎みましょう。

]]>
http://rss.is702.jp/main/rss/3685_l.jpg
最新事情をとりまとめた「フィッシングレポート 2020」公開|フィッシング対策協議会 フィッシング対策協議会(技術・制度検討ワーキンググループ)は6月2日、フィッシングの被害状況、フィッシングの攻撃技術・手法などをとりまとめた「フィッシングレポート 2020」を公開しました。 2020-06-03T00:00:00+09:00
「フィッシングレポート 2020」は、フィッシング対策ガイドラインの「重要5項目」を提示するとともに、国内外の状況、2019年の動向、被害状況、最新の攻撃手法や対策について解説した内容です。なおフィッシング対策ガイドラインの「重要5項目」は、事業者向けに以下を推奨する内容です。

・利用者に送信するメールには「なりすましメール対策」を施すこと
・複数要素認証を要求すること
・ドメインは自己ブランドと認識して管理し、利用者に周知すること
・すべてのページにサーバ証明書を導入すること
・フィッシング詐欺対応に必要な組織編制とすること

同レポートによると、2019年にフィッシング情報の届け出件数は大きく増加。特に国内の金融機関(銀行)を騙った、インターネットバンキングに係る被害が急増したことが指摘されています。また犯罪者の手法が、クレジットカード情報の詐取から、銀行を騙った不正送金、キャリア決済の不正利用など、多様化したことも報告されています。さらに、フィッシングサイトへの誘導にSMSを使う「スミッシング」の報告が増えており、スマホ利用者がターゲットとなっている状況が明らかとなりました。国外動向としては、SSL(通信の暗号化:HTTPS化)を利用するフィッシングサイトが2015年の調査開始以降、もっとも高い割合を示しました。


図:フィッシング情報の届け出件数(フィッシング対策協議会の発表資料より)

図:フィッシング情報の届け出件数(フィッシング対策協議会の発表資料より)



また、こうした状況に対抗する新たな方策として、「リスクベース認証」「FIDOを使用した生体認証」「SMSを使ったフィッシングへの対策」などが紹介されています。SMSを悪用したスミッシングに対する対策の一つとしては、次世代版SMS、RCS(Rich Communication Service)に準拠した「+メッセージ」が挙げられています。「+メッセージ」では、携帯キャリア3社それぞれの審査によって事業者が公式アカウントを取得することで、認証済みマークが表示されます。それにより、利用者がメッセージの真偽を判断しやすくなるなどの利点があります。


図:事業者のアカウントに表示される認証済みマークの例

図:事業者のアカウントに表示される認証済みマークの例



レポートは、フィッシング対策協議会のサイトより、PDFファイルがダウンロード・閲覧可能です。
フィッシング詐欺に遭わないためには、利用者の学びと技術的対策の両輪で防ぐ必要があります。巧妙化を続ける手口に十分注意しましょう。
]]>
https://is702.jp/main/images/news/S200603_1.JPG
Wi-Fiを安全に利用するための最新版ガイドブック公開|総務省 総務省は、無線LAN(Wi-Fi)の安全な利用のため、「Wi-Fi利用者向け 簡易マニュアル」と「Wi-Fi提供者向け セキュリティ対策の手引き」の最新版(令和2年5月版)を、それぞれ公開しました。 2020-06-02T00:00:00+09:00
スマホの普及により、Wi-Fiも多くの施設で利用されるようになりましたが、セキュリティ対策を講じていない場合、通信内容が盗み見られるなどの被害が発生する場合があります。「Wi-Fi利用者向け 簡易マニュアル」「Wi-Fi提供者向け セキュリティ対策の手引き」は、それぞれの立場での注意点をまとめたガイドブックです。

「Wi-Fi利用者向け 簡易マニュアル」は、一般利用者を対象に、Wi-Fiに関する基本的な知識やメリット、使用時の注意点、具体的な設定方法を10ページにまとめているもので、5年ぶりの刷新となります。以前の版では、Wi-Fiそのものや企業が提供している具体的なサービスの説明にページが割かれていましたが、最新版はセキュリティ対策に絞って解説しており、対策の3つのポイント、実際の危険な事例、具体的な手順、「VPN」や「WPA2」の解説、利用者アンケートの結果といった内容が掲載されています。

一方、「Wi-Fi提供者向け セキュリティ対策の手引き」は、飲食店や宿泊施設などでWi-Fiを提供する事業者・自治体に向け、基本的な知識や、Wi-Fiを提供するにあたって必要なセキュリティ対策について12ページにまとめており、4年ぶりの刷新となります。こちらも利用者の動向や最新技術を踏まえた記述が追加されるとともに、青少年有害情報のフィルタリング、個人情報保護・通信の秘密保護といった観点が盛り込まれました。

ガイドブックは総務省のサイトから、最新版(令和2年5月版)がそれぞれ無料でダウンロード可能です。利用者・事業者で該当する人は、ぜひ活用してください。

トレンドマイクロでは、Wi-Fi利用時の通信を保護するスマホ用アプリ「フリーWi-Fiプロテクション」の30日無料体験版を提供しています。また、ホームネットワークの安全性を評価するスマホ向けアプリ「スマートホームスキャナー」と、パソコンで利用できる診断ツール「オンラインスキャン for Home Network」をそれぞれ無料で提供しています。できるところから対策を行い、安全・安心にネットを活用しましょう。



「Wi-Fi利用者向け 簡易マニュアル」表紙

「Wi-Fi利用者向け 簡易マニュアル」表紙


]]>
https://is702.jp/main/images/news/S200602.png
クラウド最大のセキュリティリスクは「利用者の設定ミス」 トレンドマイクロは5月28日、公式ブログで「セキュリティを見直す機会となる『クラウド変革』」と題する記事を公開しました。 2020-05-28T00:00:00+09:00
近年、クラウドインフラへの支出が非クラウドインフラへの支出を上回るなど、クラウドを基本とした運用が一般的になっています。一方で、セキュリティの観点からクラウドは主要な対象ではなく、あくまでオプションの位置に留まっています。サイバー犯罪者側はこうしたギャップに着目し、すでにクラウド環境を標的としてランサムウェアや暗号通貨の発掘、データ窃取その他の攻撃を仕掛けています。

しかし、これらに対しクラウドプロバイダもさまざまなセキュリティ対策を行っています。そうすると、「なぜ追加の対策が、ユーザ側でも必要なのか?」という疑問がわきますが、これについてトレンドマイクロは「クラウドにおけるセキュリティの『責任共有モデル』がまだ十分に浸透していないため」と指摘しています。つまり「クラウドプロバイダはプラットフォーム全体を保護するが、企業や組織はそれらのプラットフォームに内在するデータのセキュリティに責任を持つ必要がある」という考えです。

そして、責任共有モデルを理解していないことが、クラウドにおける最大のセキュリティリスク「設定ミス」につながるとしています。今や「設定ミス」はランサムウェアや暗号通貨発掘、脆弱性攻撃といった攻撃よりも大きなリスクとなっています。トレンドマイクロの「Trend Micro Cloud One Conformity」では、不適切な設定を含む何らかのアラートを1日当たり2億件以上確認しています。設定ミスこそが最大のリスクであり、最大の懸念事項だとしています。

たとえば、ITチームが作業内容を合理化し、内部プロセスをより簡略化しようとした結果、組織内の全ユーザに読み取り・書き込みのできるアクセス権限を許可するよう設定した、といった事態が発生しているが、このような設定ミスを攻撃に悪用される可能性があることを、利用者が認識していないことが危険だとしています。トレンドマイクロは「2025年までに、クラウド環境への攻撃の成功の75%以上が、クラウドプロバイダではなく、クラウドの利用顧客によるセキュリティの認識不足あるいは設定ミスによって引き起こされる」と予測しています。

クラウド環境を保護する施策としては、「最小権限の原則を採用する」「責任共有モデルにおける自身の役割を理解する」「設定ミスによって露出しているシステムがないか、クラウドインフラストラクチャを監視する」「セキュリティについてDevOpsチームを教育する」といったものが挙げられています。

詳細はトレンドマイクロのセキュリティブログおよびレポート(英語)から参照することができます。企業の担当者はこれらの情報を参考に、セキュリティ対策の漏れやミスが無いか改めて確認すると良いでしょう。
]]>
https://is702.jp/main/images/news/img_news32.jpg
無償でコンテンツを活用できる「is702パートナープログラム」をご存知ですか? is702は、安心・安全にネットを利用できるよう、最新のセキュリティ情報をより多くのネット利用者に届けることを目的としており、登録法人がis702のコンテンツを自組織で活用できる無償のis702パートナープログラムを提供しています。 2020-05-28T00:00:00+09:00
新たな生活様式が求められている昨今、テレワークやオンライン授業、オンライン診療、ネットショッピングなど、さまざまなオンラインサービスの利用が急増し、ネットがより日常生活に密接するようになりました。一方で、急な環境の変化でオンラインサービスを使い始めたばかりの利用者も多く、そのようなネットに不慣れな利用者を狙うサイバー脅威も横行しています。

人々が利用する機器やサービスが多様化している現在、不特定多数のネット利用者を狙う攻撃では人を騙す手口も多く、技術的なセキュリティ対策に加え、利用者の学習が欠かせません。そのためには、最新の脅威情報を常に入手できるようにすることが求められています。
is702では、ニュース記事として最新の手口や情報を発信するほか、特集や4コマでは、テーマに合わせてより詳しい脅威の事例や対策を紹介しています。

is702パートナープログラムはトレンドマイクロの法人ユーザ様やビジネスパートナー様がご登録頂ける無償プログラムです。是非ご活用ください。

プログラムの詳細およびご登録はこちらから]]>
https://is702.jp/main/images/news/S200528.jpg
スマホ決済サービスを装うメッセージに要注意 ママは、両親にスマホ決済サービスの利用を勧めています 2020-05-28T00:00:00+09:00
ひろしとアカリのセキュリティ事情

スマホ決済サービスを装うメッセージに要注意

2020/05/28

スマホ決済サービスの認証情報が狙われている!?

スマホ決済が国内でも広く浸透しつつあります。これは、店舗やショッピングサイトでの買い物の支払いをスマホ1つで完結できる仕組みです。一方で、利用者が多く、金銭がらみの情報もひもづくオンラインサービスはサイバー犯罪者に狙われる傾向にあり、スマホ決済サービスも標的となっています。

スマホ決済サービスの代表的な脅威がフィッシング詐欺やアカウントリスト攻撃(他のサービスから漏えいした認証情報を使って不正ログインを試す攻撃)です。たとえば、QRコード決済サービスのPayPayをかたり、「アカウントの異なる端末からのアクセスのお知らせ」などと通知するメールやSMS(ショートメッセージサービス)経由で受信者をフィッシングサイトへ誘導する手口が報告されています。本文内のURLリンクを開いてしまうと、正規サイトにそっくりなロゴ入りのフィッシングサイトが現れ、個人情報やクレジットカード情報などを盗み取ろうとします。もし情報を入力してしまうと、自身のアカウントやクレジットカードを不正利用され、金銭的被害などに遭うかもしれません。

ネット詐欺にだまされないポイントは詐欺の手口や事例を知ることです。決済サービス事業者や消費者関連団体、セキュリティ事業者が公表する注意喚起情報を定期的に確認しましょう。また、メールやSMS内のURLリンク、ネット広告はフィッシングサイトなどの誘導口にもなっているため、不用意に開いてはいけません。アカウントへのログインは必ずブックマークに登録した公式サイトや、公式アプリから行ってください。スマホに決済アプリをインストールする際もGoogle PlayやApp Store、携帯電話会社などが運営する公式のアプリストアを利用しましょう。
もちろん、スマホにセキュリティアプリをインストールし、最新の状態に保つことも重要です。これにより、フィッシングサイトなどの詐欺サイトへ誘導されるリスクを下げることができます。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3682_l.jpg
スマホにセキュリティ対策していますか?不正サイトに誘導されたモバイル利用者数が100万人突破 「スマホは安全だから、セキュリティ対策の必要はない」なんて思っていませんか?詐欺や情報窃取、不正アプリのインストールなどを目的とした不正サイトに誘導される利用者は年々増加しています。 2020-05-26T00:00:00+09:00
スマホにもセキュリティ対策は欠かせません。まだセキュリティアプリをインストールしていない場合は、すぐにインストールしましょう。

図:不正サイトに誘導された国内モバイル利用者数推移、2020年5月トレンドマイクロ調べ

図:不正サイトに誘導された国内モバイル利用者数推移、2020年5月トレンドマイクロ調べ



商品が届かない上に、個人情報やクレジットカード情報まで悪用されてしまったら最悪ですよね。





ネット詐欺対策にはスマホにセキュリティアプリをインストールすることが必要ですが、その前に気軽に試していただけるLINEのサービスもあります。
「Webサイトにアクセスする前に、安全かどうか確かめたい!」そんな時にご利用いただけるのが、LINEで使える無料のウイルスバスターチェック!(試験運用中)です。Webサイトが安全かどうかを「〇△×」で判定してくれます。ネット詐欺の被害に遭わないよう、今日からスマホにもセキュリティ対策をはじめてみましょう。


ウイルスバスターチェック!(試験運用中)



スマホはお財布同然!きちんと守れていますか?

]]>
https://is702.jp/main/images/news/S200522_1.jpg
テレワークから職場に戻るときにセキュリティの観点から注意すべきこと 緊急事態宣言の解除が始まり、テレワークから職場での勤務に戻っている方もいるのではないでしょうか。家庭内で利用していたパソコンなどを職場で利用再開する際に、気を付けたいことを確認しておきましょう。 2020-05-25T00:00:00+09:00
テレワークから戻る際の職場における規定や手順を確認し、それを順守する
テレワークから職場に戻る際の規定や手順が定められているかどうかを確認し、それに沿って準備を整えましょう。規定がわからない場合は、まずは職場の担当者に相談しましょう。

セキュリティの観点から特に注意すべきこと
1.端末が感染していないか確認し、アップデートを適用させてから業務を開始する

一般的に家庭内のネットワークのセキュリティ対策は、職場のネットワークと比べれば十分ではないものと考えられます。家庭内ネットワークで使用したパソコンは職場のネットワークに接続する前に、セキュリティソフトによるスキャンを再度行い、問題が検出されないか確認しましょう。また、職場から指示されているもので、適用させていないアップデートがある場合は事前に適用させておきましょう。
職場のネットワークに接続すると、追加でアップデートが実行される場合もあります。このようなアップデートは脆弱性(セキュリティ上の欠陥)を補うものなので、必ず適用してから業務を開始しましょう。スマホが貸与されている場合は、同様にスキャン(Android端末の場合)やOSのアップデートを適宜行いましょう。
セキュリティソフトのアップデートが完了したら、念のため再度フルスキャンを行うとより安全です。

2.持ち込む機器を確認する
急遽テレワークになったことで機器の手配が間に合わず、個人所有のパソコンやスマホ、タブレット、周辺機器を利用した人もいるのではないでしょうか。本来許可されていなかった機器を、無断で職場に持ち込まないようにしましょう。もし、継続して職場で利用したい場合は、職場の担当者に相談してください。パソコンから個人のUSBメモリを使って情報を移動させることも同様に担当者に相談してください。万が一、USBメモリ内にウイルスなどのマルウェアが潜んでいた場合、パソコンに感染するだけではなく、職場のネットワーク内に感染を広めてしまうこともあります。
情報を移動させたい場合は、勤務先で推奨されている手順を確認し、許可されているクラウドサービスや共有フォルダなどを利用して移動し、セキュリティソフトでスキャンしてファイルがマルウェアに感染していないことを確認してから利用しましょう。また、情報漏えいを防ぐためにも、一時的に利用した個人所有の端末に情報をそのまま残しておかず、必ず消去しましょう。

システム管理者は、テレワークから戻る従業員が利用する機器に加え、社内システムなど多くの確認事項があります。特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)では、システム管理者に向けた緊急事態宣言解除後のセキュリティ・チェックリストが公開されています。システム管理者はこちらのリストを参考に、確認の漏れが無いかどうか参考にすると良いでしょう。また、Withコロナに向けた業務の見直しやセキュリティ対策を検討するための確認項目も提示されているので、既に職場での勤務を再開している場合も参考にすることが出来ます。

■緊急事態宣言解除後のセキュリティ・チェックリスト|JNSA
https://www.jnsa.org/telework_support/telework_security/index.html

また、職場では机や備品を共有する機会が増加します。利用する機器も適宜消毒しながら利用すると良いでしょう。

久々のオフィスでは、アップデートに時間がかかったり、ネットワークへの接続がうまくいかなかったりする場合もあるかもしれません。時間と心に余裕を持ち、混雑を避けて職場に向かいましょう。
]]>
https://is702.jp/main/images/news/S200525_1.jpg
スマホ決済サービスのリスクと7つの対策ポイント スマホ決済はいまや利用者にとって欠かせない機能のひとつになっています。一方でそれを狙うサイバー犯罪も後を絶ちません。スマホ決済サービスを安全に利用するための7つのポイントを押さえましょう。 2020-05-21T00:00:00+09:00
不正ログインで悪用される!?

スマホ決済サービスのリスクと7つの対策ポイント

2020/05/21
不正ログインで悪用される!? スマホ決済サービスのリスクと7つの対策ポイント

現金をやり取りしない新たな決済手段として定着しつつあるスマホ決済。スマホひとつで簡単に支払いができるためとても便利ですが、第三者に不正利用されるなどのリスクもはらんでいます。スマホ決済サービスを取り巻く危険を知り、7つの対策を実践しましょう。

スマホ決済サービスがサイバー犯罪者に狙われている

キャッシュレス決済が国内でも広がりを見せています。身近なところではクレジットカードやプリペイドカード、電子マネー、デビットカード、口座振替などが利用されてきました。近年、キャッシュレスによる決済方法の中でもひときわ存在感を増しているのがスマホで支払いをする「スマホ決済」です。スマホ決済は仕組みの違いによって大きく「キャリア決済」「非接触型決済(非接触IC決済)」「QRコード決済」の3つに分けられます。スマホひとつで決済を完結できる手軽さや、キャッシュレス決済時のポイント付与、還元を目的にこれらのスマホ決済サービスを使い始めた人も多いのではないでしょうか。

ただ、利用者の多いオンラインサービスはサイバー犯罪者に狙われる傾向にあり、スマホ決済サービスも例に漏れず格好の標的になっています。多くのスマホ決済サービスではクレジットカードや銀行口座などの決済に必要な情報がひもづいており、それらを悪用すれば金銭的な利益を得られるためです。スマホ決済サービスにはどのようなリスクがあるでしょうか。

アカウントの乗っ取りに要注意

●脅威1.決済サービスを偽装したフィッシング詐欺

スマホ決済サービスのアカウントを侵害され、商品を不正購入される被害が発生しています。サイバー犯罪者がアカウント乗っ取りに用いる手口の1つはフィッシング詐欺です。たとえば、QRコード決済サービスのPayPayをかたり、「アカウントの異なる端末からのアクセスのお知らせ」などと通知するメール経由で受信者をフィッシングサイトへ誘導する手口が報告されています。もし、本文内のURLリンクを開いてしまうとPayPayのロゴ入りのフィッシングサイトが現れ、そこで入力した認証情報(携帯電話番号とパスワード)や個人情報、クレジットカード情報などをだまし取られてしまいます。

●脅威2.アカウントリスト攻撃や辞書攻撃による認証突破

アカウント乗っ取りの手口では、アカウントリスト攻撃や辞書攻撃にも注意が必要です。アカウントリスト攻撃は、フィッシング詐欺やサービス事業者へのサイバー攻撃、ダークウェブ上の売買サイトなどを介して不正に入手した認証情報をリスト化し、それらを用いて他のサービスへのログインを試みる手法です。利便性を優先し、複数のサービスに同一の認証情報を設定している利用者は、アカウントリスト攻撃による乗っ取り被害に遭うリスクが高くなります。一方、辞書攻撃は、辞書に載っている英単語やパスワードに使用されやすい文字列を登録したリストを準備し、それらを1つのIDに対して順番に試していく手法です。アカウントの乗っ取りを防ぐため、IDとパスワードを使い回したり、単純な文字列をパスワードに設定したりするのはやめましょう。

ある大手コーヒーチェーン店では、2019年10月に独自の決済サービスで第三者によるアカウントの不正利用が発生したことを公表しました。アカウントリスト攻撃による不正ログインと見られることから、同社は決済サービスの利用者に対してパスワードを変更するとともに他のサービスと同じパスワードを使い回さないよう呼びかけました。

●脅威3.決済サービスやアプリの隙を突く攻撃

非接触型決済やQRコード決済の利用にあたっては、専用の決済アプリをインストールし、事前にチャージ(入金)しておくか、クレジットカードや銀行口座などの情報を登録しておく必要があります。そのため、アカウントやデバイスを悪用された場合、金銭被害に直結します。
スマホ決済サービスは、2019年10月の消費税率増税に伴って急激に利用者が増加し、類似サービスも次々と生まれました。しかし、中には認証手順の隙を突いた不正ログインやクレジットカード情報の盗用などが発生し、サービス開始からわずか数カ月で廃止になったものもあります。どんなサービスやアプリでも当初は見えなかった欠陥や不具合が後に露見する場合があり、サイバー犯罪者はそれらを悪用する機会を常に狙っているのです。
スマホ決済サービスの非利用者も油断はできません。クレジットカード利用者であればだれもが被害者になり得ます。サイバー犯罪者は、フィッシング詐欺や正規サイトの改ざん(Eスキミング)、サービス事業者への攻撃などによって不正に入手した他人のクレジットカード情報を手元の決済アプリに登録し、商品を不正購入する可能性もあるのです。

スマホ決済サービスを安全に利用するための7つのポイント

1.アカウントの登録と管理を適切に行う

スマホ決済サービスを安全に利用するための基本は、登録時に必ずサービスごとに異なるIDとパスワードの組み合わせを使用すること、第三者に推測されにくいパスワードを設定することです。利用状況を定期的に確認し、身に覚えのない決済履歴を見つけた場合は直ちにサービス事業者やクレジットカード事業者に相談しましょう。

2.アカウントのセキュリティ対策を強化する

主なスマホ決済サービスでは、パスワード認証とは別に二要素認証などのセキュリティを強化できる認証方法を提供しています。設定できる場合は必ず有効にしておきましょう。二要素認証にはスマホをトークン(一定時間おきに変更され、一度しか使えないワンタイムパスワードを生成する機器)として利用するものがあります。ログイン時にはIDとパスワードに加え、SMSなどで取得できる認証コードも入力しなければならないため、第三者が不正ログインしにくくなります。
ただし、最近のフィッシング詐欺には二要素認証の認証コードを入力させるものもあります。認証情報を入力する前に、必ず正規サイトかどうか確認しましょう。

3.メールやSMS内のURLリンクを不用意に開かない

著名な決済サービス事業者や、携帯電話事業者に偽装したメッセージを仕立て、SMSやメールから利用者をフィッシングサイトに誘導しようとする手口が継続的に報告されています。ログインが必要などと称してURLリンクを開かせようとするものは注意が必要です。アカウントへのログインは必ずブックマークに登録した公式サイトや、公式アプリから行いましょう。
各サービス事業者やセキュリティ関連団体の公式サイトでは不正なメッセージの例を紹介しています。利用中のサービスの事例を知り、自衛策に役立てましょう。

注意喚起情報の一例

4.セキュリティアプリを最新の状態に保って利用する

昨今のフィッシングサイトは正規サイトと見分けがつかないほど巧妙に作られています。また、そこへの誘導手段として主に用いられる偽装SMSやメールのだまし文句にもさまざまな工夫が凝らされます。さらに、スマホに不正アプリをインストールしてしまうと、SMSに送られてくる認証情報を窃取されるなどの危険性もあります。
自身で回避することが難しいサイバー攻撃から身を守るためには、パソコンだけでなくスマホにもセキュリティアプリを入れ、最新の状態に保って利用することが欠かせません。スマホはいまや財布としての役割も担うことができます。個人情報やプライバシー、お金を守るために、セキュリティ対策を怠らないようにしましょう。

5.決済アプリは公式のアプリストアから最新のバージョンを利用する

スマホ決済アプリを入手する際は、Google PlayやApp Store、携帯電話会社などが運営する公式のアプリストアを利用しましょう。メールやSMS、SNS内のURLリンク、ネット広告などからたどり着いたアプリの配布サイトは不正なものである可能性があります。Webサイトを閲覧しているときに突然アプリのインストールを促された場合も警戒してください。ただし、公式アプリストア内にも不正アプリが紛れ込んでいる場合があります。どのようなアプリであっても、インストールする前に必ず配信元や詳細を確認する習慣を身につけましょう。
また、スマホやアプリの脆弱性を放置していると、情報漏えいなどの被害につながる危険性があります。OSやインストールされているアプリを最新の状態に保つことも欠かせません。アプリの自動更新を有効にし、開発元から提供されたアップデート版を忘れずに適用できるようにしましょう。

6.スマホの盗難、紛失対策を行う

スマホ本体だけでなく決済アプリ自体にも、使う頻度や使用上限金額に応じて可能であればロックをかけておきましょう。ロック解除には事前に登録したパスワードや暗証番号、生体情報などによる認証が必要なため、第三者に決済アプリを不正利用されにくくなります。また、決済の上限金額や、オートチャージ設定を見直し、悪用された場合の被害をおさえておくことも対策の一つです。
紛失、盗難に備え、スマホの位置を特定したり、遠隔からスマホをロックしたりできるよう、スマホのGPSと「iPhoneを探す(iOSの場合)」「端末を探す(Android OSの場合)」や、セキュリティアプリに備わっている探索機能も有効にしておきましょう。

7.使わない決済アプリは解約、アンインストールする

使わなくなった決済アプリについては、提供元であるサービス事業者の公式サイトなどで解約時の注意点などを確認してからアンインストールしましょう。決済アプリに限らず、利用していないアプリを放置しておくことはセキュリティリスクにつながります。定期的に棚卸をしましょう。

]]>
http://rss.is702.jp/main/rss/3677_l.jpg