
図:LinkedInから特定できる標的ユーザの会社での役職
InstagramやFacebook、Twitter、LINEなどのSNSは、いまや私たちの生活の一部になっています。しかし、不用意に利用しているとネット詐欺などの被害に遭うかもしれません。SNS利用者が知っておくべきネット詐欺の手口と対策を紹介します。
SNS利用者にとってネット詐欺は身近な脅威の1つです。たとえば、LINEでは複数のブランドに偽装した偽のキャンペーン情報が拡散しており、「お客様アンケートと懸賞 今すぐ無料のギフトを獲得」「1年分の無料の食事が当たりました!とても簡単です。ぜひお試しください。」などの文言で、偽のアンケートサイトに誘導する手口を確認しています。そこでいくつかの質問に回答すると、「お好きな賞品を無料で獲得」という案内が表示されますが、全くのでたらめです。謝礼品を受け取ろうとすると、偽アンケートサイトのリンクをLINEでつながっている友だちやグループで一定数共有するように促し、さらに電話番号の入力、または海外に電話を発信させようします。応じてしまった場合、電話番号を盗み取られたり、高額な通信料金を請求されたりする危険性があります。このような手口により、利用者は自身が被害に遭うだけでなく、不正メッセージの拡散に加担することになってしまうのです。同様の手口による誘導先はさまざまです。著名なブランドを偽装するメッセージも複数確認されています。偽のメッセージにだまされないようにするとともに、家族や知人に拡散してしまわないよう注意が必要です。
図:不正サイトに誘導する偽のキャンペーンメッセージ例
Facebookでは、「プロフィールの訪問履歴確認」という内容の投稿からFacebookの公式ページに似せたフィッシングサイトへ誘導する事案が確認されています。そこにIDとパスワードを入力してしまった場合、サイバー犯罪者にFacebookアカウントを乗っ取られ、情報を盗み見られたり、アカウントから不正なメッセージをばらまかれたりする可能性があります。
SNS上のネット詐欺では、サイバー犯罪者が他人のアカウントを乗っ取り、本来のアカウント所有者になりすまして不正な投稿を行うこともあります。しかも、アカウント上の複数の友人をタグ付けすることで投稿の共有範囲を広げます。フォロワーやアカウントとつながっている相手は本来のアカウント所有者による投稿と思い込んで油断し、何気なく不正なURLリンクを開いてしまいがちです。
SNS上の広告にも安易に飛びつかないでください。SNSでも正規の広告審査をすり抜ける形で不正広告が表示されることがあるためです。たとえば、家具やインテリアを扱う正規ショッピングサイトを装う不正広告がFacebook上で確認されています。これは利用者をフィッシングサイトへ誘導し、名前やメールアドレス、電話番号、正規サイトのログイン用パスワードなどをだまし取ることが目的でした。
また、SNS上に偽のセール情報を拡散し、そこから不正サイトへ誘導しようとする手口も確認されています。値引き価格に惑わられないようにしましょう。
Instagramでは法人の公式アカウントに酷似したなりすましアカウントも出回っています。なりすましアカウントは、公式アカウントの投稿やプロフィールを流用するだけでなく、正規のユーザーネームと誤認してしまうようなユーザーネームを設定し、本物を装っています。このため、利用者は誤って偽アカウントをフォローしてしまったり、そのアカウントから届いたメッセージを信用してしまったりする危険性があります。
偽アカウントと気づけなかった場合、ダイレクトメッセージやプロフィール上のURLリンクから不正サイトに誘導されるかもしれません。実際、偽のダイレクトメッセージから「総額1億円の賞金を受け取る手順」などと書かれた偽の当選サイトを表示し、利用者にリンクを開かせることで特定サービスの登録ページに誘導する事案が確認されています。今回のケースにおいて偽アカウント取得者の狙いは、アフィリエイト(ネット利用者を特定のWebページに誘導することで報酬を得る仕組み)による金銭の獲得と見られます。ただ、このような手口では誘導先が変化しやすく、フィッシングサイトなどの不正サイトに差しかわっても不思議ではありません。その場合、利用者に実害が及ぶ可能性もあるのです。
また悪意のある第三者が本来の目的や身分を隠してアプローチしてくる場合もあります。実際、SNSではダイレクトメッセージで「簡単に収入を得られる」などと副業や投資話を持ちかけ、入会料や講習料などと称して金銭をだまし取る詐欺が発生しています。
SNSで知り合った相手とのコミュニケーションをきっかけとして被害に遭うのは大人だけではありません。SNSには年齢や性別を偽り、子どもたちに近づこうとする利用者もいます。そんな相手とやり取りする子どもたちが事件に巻き込まれたり、犯罪に加担させられたりするケースもあるのです。
これらはSNSにおけるサイバー脅威のほんの一部に過ぎません。しかも、サイバー犯罪者はSNS利用者から情報や金銭を巧みにだまし取ろうと、次々に新たな手口を生み出しています。執筆時においても、人気の紹介制SNS「Clubhouse」のアカウントをめぐるネット詐欺が話題になっています。こうした被害に遭わないためにはどんなことに気をつければよいでしょうか。
詐欺に引っかからないためには、その手口や事例を知ることが大切です。普段からセキュリティ関連団体や事業者などが発表する注意喚起情報をチェックしておきましょう。公式SNSをフォローしておくと情報が入手しやすくなります。
SNSの投稿やダイレクトメッセージ内のURLリンク、広告は不正サイトの誘導口として悪用されています。たとえ友人や知人、家族の投稿やメッセージでも何らかの理由をつけてURLリンクを開かせようとするものは疑ってかかりましょう。相手がだまされている場合や、なりすましの可能性もあります。
SNSで不特定多数に公開した情報は、だれが、どのような目的で見ているかわかりません。だれに見せるべき情報かを踏まえて適切なプライバシー設定を行い、プロフィールや投稿の公開範囲をコントロールしましょう。
SNS上の「フォローしたらプレゼント」「簡単に稼げる」などのうまい話には落とし穴があるかもしれません。そのような情報の発信者は、SNS利用者をだまして情報や金銭を奪ったり、フォロワーを不正に増やしたり、特定の有害サイトに引き込んだりすることを目的としている場合もあります。真偽不明の情報を自ら拡散しないことも大切です。
アカウントの乗っ取りを防ぐための基本的な対策は、利用中のインターネットサービスごとに異なるIDとパスワードの組み合わせを使用することです。パスワード認証のほかに、二要素認証などセキュリティを強化できる設定を利用できる場合は、必ず有効にしておきましょう。複数のアカウントをより効率的かつ安全に管理したい場合はパスワード管理ツールが役立ちます。
使わなくなったSNSアカウントは退会しましょう。そのまま放置していると、何かの拍子にアカウントを乗っ取られてもその事実に気づきにくく、情報を盗み見られたリ、不正メッセージを拡散されたりする可能性があるためです。サービスの案内に従って退会手続きをしたのち、アプリを使っていた場合はアプリをアンインストールしましょう。
セキュリティソフト/アプリを使えば、不正サイトに誘導されてしまうリスクを下げられます。また、ソフトによってはSNSのプライバシー設定をチェックし、プライバシー保護を強化する設定を案内してくれるものもあります。それらを正しく更新しながら利用してください。
リンク先が安全かどうか確認する方法としては、URL安全性判定サービスがあります。無償で利用できるサービスとして、トレンドマイクロでは、「Site Safety Center」と「ウイルスバスター チェック!」を提供しています。「Site Safety Center」はURLを入力して確認をクリックするだけで安全性を4段階で判定してくれます。LINE利用者向けのURL安全性判定サービス「ウイルスバスター チェック!」は、LINEの友だちに「ウイルスバスター チェック!」(@trendmicro_vbcheck)のアカウントを追加することで、トーク画面から利用できる無償のセキュリティサービスです。
図:出会い系サイトやマッチングアプリ等に関する年度別相談件数(国民生活センターの発表資料より)
図:1IPアドレス当たりの年間総観測パケット数(過去10年間):NICTER観測レポート2020より
ホームネットワーク(家庭内ネットワーク)の構築に欠かせないホームルータ。それを使い始めるためのセットアップ作業はそれほど複雑ではありません。
現在市販されている主なホームルータは、スマホを介して簡単に初期設定を行えます。たとえば、スマホにインストールした専用アプリのガイダンスに従って操作するだけでホームルータとスマホのWi-Fi接続を完了できるといった具合です。
しかし、ホームルータを「簡単に使えること」と「安全に使えること」は別の話です。ホームルータを安全に利用するためにはWebブラウザや専用アプリからホームルータの管理画面にアクセスし、適切なセキュリティ設定を行わなくてはなりません。万一、ホームネットワークの要であるホームルータのセキュリティを破られると、そこに接続するすべての機器に通信傍受や不正操作などの危険が及んでしまいます。
重要なポイントの1つは、ホームルータの管理画面にアクセスするためのパスワードと、可能であればIDも変更することです。これらは製造元や機種ごとに工場出荷時の設定値が一律で決まっていることがあり、取扱説明書や製造元のホームページに公開されていることもあります。もし、それに該当するホームルータへの第三者のアクセスを許すと、初期設定のIDとパスワードで管理画面に入られ、設定を変更されてしまうかもしれません。たとえばDNS(ディーエヌエス:ドメインネームシステム)設定を書き換えられた場合、ホームルータに接続されたパソコンやスマホから正規のURLにアクセスしてもホームルータ上で行き先が変更され、偽のログインページや実在するショッピングサイトなどを模倣したフィッシングサイトへ誘導されるといったことが起こり得るのです。
ホームルータを安全に利用するためのポイントはいくつかあります。それらを押さえた上で用途に応じた適切な対策を行いましょう。
図:偽の脅迫メールの一部、口止め料として1,450USD相当分のビットコインを要求している
図:「どのようなデバイスでそのサイトを知りましたか」の質問に対する回答状況(2020年) :日本サイバー犯罪対策センターの発表資料より
図:フィッシング対策協議会への報告件数の推移、1万件毎の増加の間隔が短くなっている
法人で利用されている端末の中にはインターネット接続を前提としないオフライン端末も存在します。また、組織内ネットワークのみでの利用を前提としたクローズド環境でも端末が運用されています。それらの多くはさまざまな理由から一般的なセキュリティソフトによるマルウェア対策を施せない場合もあります。今回は、法人におけるオフラインやクローズド環境のセキュリティについて考えてみましょう。
法人におけるオフライン端末(インターネットにつながっていない端末)の代表例は、工場の生産ライン管理や製品検査などの業務に使用されるものです。医療機関では制御端末、電子カルテなどがオフライン環境や、組織内ネットワークのみに限定されたクローズド環境で運用されている例があります。
ただ、オフライン環境の定義は曖昧で、組織によって解釈はさまざまです。「インターネットから完全に切り離された環境」だけでなく、「インターネットと直接的にはつながっていない環境」もオフライン環境ととらえられることがあります。たとえば、専用回線で保守業者などが接続できるように許可しているケースが後者の例です。
オフラインやクローズド環境はインターネットから押し寄せるマルウェア(ウイルスなど不正なプログラムの総称)などのセキュリティ脅威とは無縁のように思われがちです。しかし、これは誤ったイメージです。まず、間接的であれインターネットとつながっている場合はマルウェアと無関係ではいられません。また、USBメモリなどを介して感染するタイプのマルウェアが持ち込まれた場合、オフライン環境であってもそれらを介してマルウェアに感染する危険性があります。ほかにも、実際には一部の機器がWi-Fiと接続していたり、一時的にインターネットに接続する機会があったりなど、完全に独立した環境ではないことが少なくありません。また、近年はポータブルWi-Fiやスマホのテザリング(スマホを親機としたインターネット接続)機能の利用も一般化しており、従業員による機器の持ち込みなどによってオフライン環境が突如「オンライン」化してしまうこともあります。ここからは法人におけるオフラインやクローズド環境におけるマルウェア感染事例を見ていきましょう。
図:さまざまな脅威にさらされているオフライン環境下の端末
一時的にインターネットにつながったオフライン環境下のWindows端末がリモートデスクトッププロトコル(RDP)経由でランサムウェアに感染。全端末のセキュリティパッチ適用を含め、数日がかりで復旧作業を行ったものの、暗号化対象となったファイルを消失し、その間の業務停止も余儀なくされてしまいました。ランサムウェアは、端末をロックして操作できなくしたり、端末内のファイルを暗号化したりして、元に戻す条件として金銭(身代金)を要求するマルウェアです。このランサムウェアによって医療機関が被害に遭った例も少なくありません。業務の停止だけでなく、人命にも関わる問題に発展する危険性があります。
オンライン環境の端末で使われていたUSBメモリを介してオフライン環境の端末がマルウェアに感染。生産設備が停止に追い込まれてしまいました。
製品検査用のオフライン端末がマルウェアに感染し、その感染端末による検査工程で出荷製品にもマルウェアが混入。そのまま製品が出荷され、当該メーカーは消費者への告知や製品の回収、交換などに伴う多額の損失を被っただけでなく、ブランドイメージの低下も招いてしまいました。
こうした事例からも分かるとおり、オフラインやクローズド環境下であってもマルウェアに感染する危険性があります。つまり、それらの環境下においてもセキュリティによる保護が欠かせないのです。
オフライン環境におけるマルウェア対策は一筋縄ではいかないのも事実です。セキュリティの観点では一般に、OSの開発元から提供された更新プログラムを速やかに適用し、脆弱性(マルウェア感染などの原因となるセキュリティの欠陥)を修正することが推奨されます。しかし、企業のオフライン環境では脆弱性が放置されるケースも少なくありません。生産ラインなどで使用される制御端末は24時間365日稼働することが求められ、更新プログラム適用に伴う再起動も極力避ける必要があるためです。
また工場や医療機関の制御端末は厳密な性能要件を満たす必要があり、新たなソフトウェアのインストールが禁止されている場合もあります。仮にソフトウェアをインストールできたとしても、以後メーカーのサポート対象外となる可能性があるため、一般的なセキュリティソフトによる対策も困難です。そもそもオフライン環境では「パターンファイルの更新が難しい」「パターンファイル更新のたびに動作検証が必要になるため手間が大きすぎる」といった問題もあります。では、オフラインやクローズド環境の端末をどのように保護すればよいでしょうか。
法人向けセキュリティ製品の中には、オフラインやクローズド環境向けに提供されているものもあります。たとえば、オンライン環境からオフライン環境にファイルを転送する前にそのファイルを解析し、マルウェア感染を防ぐ製品が代表例です。また、外部から持ち込まれた機器からの感染を防ぐため、USBメモリやスマホなどのデバイス接続を管理・防止するもの、内部犯による情報の持ち出しや感染を防ぐネットワーク監視や脆弱性悪用の防御といった機能を有するものもあります。組織の担当者は環境や運用状況に応じてセキュリティ製品を活用すると良いでしょう。
https://www.trendmicro.com/ja_jp/business/capabilities/solutions-for/industry.html
https://www.trendmicro.com/ja_jp/business/capabilities/solutions-for/healthcare.html
企業や組織にとってマルウェア感染は、事業活動の継続や企業の存続そのものを揺るがしかねない重大なリスクの1つです。昨今、サイバー犯罪者はセキュリティによる保護が不十分な子会社や関連会社、海外拠点、取引先などへのサイバー攻撃を足掛かりとして親会社に攻め入る動きも見せるようになっています。企業にはサプライチェーン全体を考慮してセキュリティガバナンスを確立することが求められているのです。そのためには、従業員教育も欠かせません。企業の担当者による技術的対策に加え、人の脆弱性を突く攻撃を回避するための教育も並行して実践しましょう。そして、そのためには経営層によるリーダーシップが欠かせません。担当部署や担当者に任せっきりにせず、セキュリティを経営課題の1つとして取り組んでください。
最後に、家庭にも目を向けておきましょう。いまやホームネットワークを構成しているのはパソコンやスマホだけではありません。カメラやゲーム機、プリンター、スマートスピーカーなどもその一部であり、家庭におけるオンラインとオフラインの境界線はますます曖昧になっています。そこで求められるのが、セキュリティソフトによって端末を個別に守るだけでなく、それをインストールできないスマート家電なども含めたホームネットワーク全体を保護する方法です。また、インターネットに接続せずに使っていると思っているパソコンやカメラ、周辺機器も、実際にはWi-Fiや、リムーバブルメディアを使ってファイルのやり取りを行っている場合があり、それらを介してマルウェアに感染する可能性も否めません。最低限の対策としてホームネットワーク全体を保護するセキュリティ製品を利用しましょう。そして、インターネットに接続するパソコンやスマホ、タブレット端末には必ずセキュリティソフトやアプリをインストールし、常に最新の状態で利用することも忘れないでください。
図:Chromeの混在コンテンツ対応(Googleのブログより )
図:偽のサブスクリプション更新通知例、更新費用として245.43ドルの請求を案内している
図:執筆時の最新版iOS14.4適用済み例
スマホ利用者にとって不正アプリは深刻な脅威の1つになっています。不正アプリはスマホに入り込んでさまざまな不正行為を働くアプリの総称です。たとえば、スマホ内の情報を外部に送信したり、既存のアプリを不正に書き換えたり、迷惑な広告をしつこく表示したりするなど、さまざまなタイプがあります。特にAndroid OSを搭載するスマホは公式アプリストア以外からもアプリをインストールすることができるため、利用者が気づかぬ間に不正アプリが紛れ込む可能性もあります。
不正アプリは一見害の無いアプリとしてスマホに入り込むため、それを察知できないこともしばしばです。実際、サイバー犯罪者はあの手この手でスマホ利用者をだまし、不正アプリをインストールさせようとしています。たとえば、人気アプリの名称やアイコンを使って本物に見せかけた偽アプリをインストールさせたり、カメラアプリやゲームアプリなど他の機能を装ったりする手口もあります。
また、商用ソフトの中にはストーカーウェアと呼ばれる監視用ソフトウェアもあり、行動を監視したい相手のスマホにインストールして使うアプリが配布されています。ただし、悪意をもってスマホに仕込まれた場合、位置情報や通話履歴、SNSやSMSなどのメッセージ、Webブラウザの閲覧履歴、音声、写真などのプライバシー情報が仕込んだ相手やアプリ開発者に筒抜けになってしまいます。
自身のスマホに不正アプリやプライバシーを侵害するようなアプリが入り込んでいないかどうかをチェックする習慣をつけましょう。最も確実な方法は、スマホに入れているセキュリティアプリを最新の状態にした上でスキャンを実行することです。
ただし、iPhoneの場合はセキュリティアプリによるスキャンが行えないため、目視でインストールされているアプリを確認する必要があります。通常iPhoneは公式アプリストアのApp Storeからのみアプリのインストールが可能です。しかし、過去にはApp Storeに不正アプリが紛れ込んでいた例もあります。また、iPhoneでジェイルブレイク(iOSの制限を解除して非公式アプリストアの利用を可能にする不正改造)などを行った場合、非公式アプリストアからもアプリをインストールできるようになり、不正アプリが入り込むリスクが高まってしまいます。インストールした覚えのないアプリや、操作に支障をきたしているようなアプリを見つけた場合はアンインストールしましょう。
スキャンの結果、不正アプリが検出された場合はアンインストールするなどの必要な対処を行ってください。多くのセキュリティアプリではストーカーウェアを「潜在的に迷惑なアプリケーション(Potentially Unwanted Application、PUA)」として検出します。ただし、ストーカーウェアは通常の手順で削除できないこともあります。その場合は、ご利用のセキュリティアプリのサポート窓口や、契約中の携帯電話会社の窓口に問い合わせましょう。
図:トレンドマイクロ製品からの案内を装った偽メール例
図:偽装SMS例、リンクにamazonの文字列を含ませることで利用者の誤認を誘う
図:公式サイトを模倣した偽のログイン画面と情報入力ページ
図:偽の登録画面と完了画面、クレジットカード情報などの入力が完了すると最終的に公式サイトに転送される
セキュリティの脅威は毎年進化していますが、今年もその流れは止まりません。2021年はテレワーク環境のセキュリティの不備を突く攻撃や、新型コロナウイルスに便乗するネット詐欺がさらに勢いを増しそうです。企業向けソフトやアプリの脆弱性を悪用する攻撃だけでなく、個人情報の漏えいにも備えなければなりません。2021年、私たちが注意すべき脅威と対策を紹介します。
新型コロナウイルスとの闘いは長期戦の様相を呈しています。2020年はテレワークの導入が一気に進みました。これは新型コロナウイルスの影響により、企業や個人が通常のオフィスワーク主体の労働形態からテレワーク(リモートワーク、在宅勤務)への対応を余儀なくされたためです。そして、2021年以降もテレワークを継続、拡大する方針を示している企業や組織が少なくありません。
一方、セキュリティの強固なオフィスの外で作業する場合、一般に情報漏えいやマルウェア感染などのリスクが高まります。パソコンやスマホ、ネット利用時における仕事とプライベートの境界があいまいになり、私用端末の業務利用や、業務用端末のプライベート利用を行ってしまうことが一因です。また、公共のワークスペースでの勤務ではセキュリティに不備のある公衆Wi-Fiや偽のアクセススポットに接続してしまい、悪意を持った第三者に通信内容を盗み見られてしまうといったことも起こり得ます。加えて、物理的な盗み見や盗み聞きなどの危険性もあります。
2021年は在宅勤務において利用されるホームネットワークへの侵入やクラウドサービスアカウントの乗っ取りを足がかりとした企業内ネットワークへの攻撃が活発化する可能性が指摘されています。そのため、業務用端末をホームネットワークで利用している場合、同じネットワーク上に存在する機器やネットワークそのものへの対策が欠かせません。特に外部のネットワーク(インターネット)とホームネットワークの出入口であるホームルータのセキュリティを確保することは基本対策の1つです。たとえば、攻撃者はセキュリティに不備のあるホームルータや、それにつながるパソコン、スマホ、タブレットなどを介してホームネットワークに侵入し、勤務先や取引先への攻撃の踏み台にする可能性もあります。実際、ある国内企業の従業員がリモートで接続していた業務利用が許可された私用端末を足掛かりに、社内システムに不正アクセスされたことが昨年公表されています。在宅勤務者はホームネットワーク上のすべての機器を適切に保護する必要があると同時に、企業側も自社のセキュリティの一環として在宅勤務者を支援する対応が求められるようになるでしょう。
利用する機器やネットワークのみならず、クラウドサービスの認証情報(ID、パスワード)を詐取しようとする攻撃にも注意が必要です。システム管理部門やサービス事業者を装ったメールや電話を安易に信用しないことです。情報の詐取以外にもマルウェア(ウイルスなど不正なプログラムの総称)感染を狙った不正メールによる攻撃も継続しており、自身の端末から感染を広げないよう一人ひとりのセキュリティに対する意識醸成が欠かせません。
テレワーク勤務者にとって重要なことは、勤務先が定めるガイドラインやポリシーに従って行動することです。自宅や公共の場でのパソコン作業、私用の端末とインターネットサービスの業務利用、企業内ネットワークへのアクセス、OSやソフトの更新、公衆Wi-Fiの利用などについての規定を確認しておきましょう。また、家庭内であっても家族が誤って業務用端末を操作してしまったり、機密情報を共有してしまったりしないよう、配慮や対策を欠かさないようにしてください。
2021年はテレワーク用の企業向けソフトやアプリの脆弱性を悪用する攻撃がさらに激化すると予想しています。脆弱性は、プログラム設計時のミスや不具合などが原因で生じるセキュリティ上の欠陥で、マルウェア感染や不正アクセスの要因となる弱点を指します。OSやソフトには脆弱性がつきもので、サイバー攻撃を受けて初めてその存在が明らかになるものもありますが、既知の脆弱性であってもパッチ(修正プログラム)が適用されるまでの隙を突かれることがあります。
たとえば、SharePointやOffice 365、Exchange、Microsoft Teamsといった社内コラボレーションソフトの脆弱性が狙われるかもしれません。というのも、業種によってはこのようなサービス上で機密性の高い情報が扱われているためです。他方では、テレワークの増加によってクラウドへの移行や利用するサービスの見直しが進んでおり、利便性や事業継続性を担保しつつセキュリティを強化することが企業にとっての課題になっています。また、従業員が自宅や出先などから企業内ネットワークへ安全にアクセスするためのVPN機器の脆弱性も悪用されるかもしれません。実際、既知の脆弱性の影響を受ける特定のVPN機器のリストがネット上で昨年公開され、悪用の危険度が増したため内閣サイバーセキュリティセンターでも改めて注意を呼びかけています。
一般に、OSやソフトの開発元から更新プログラムが提供された場合は速やかに適用し、脆弱性を修正することが推奨されます。また、ソフトの自動更新機能を有効にし、パソコンやスマホに脆弱性が存在する期間を最小限にとどめることも大切です。ただし、企業では更新プログラム適用による企業内システムへの影響を事前に検証し、その緊急性や安全性を確認した後にアップデートのタイミングを従業員に指示するケースもあります。更新のタイミングについては勤務先のルールに従いましょう。
サイバー犯罪者は、多くの人の関心事や旬な話題、出来事を便乗攻撃の絶好の機会ととらえています。世界中で猛威を振るう新型コロナウイルスも例外ではなく、2020年はそれに便乗するネット詐欺が急増しました。
サイバー犯罪者は今後も、メールや、SNS上などで新型コロナウイルスに関連する「健康情報」「開発予定のワクチン」「ワクチン利用の待機者リスト提供」などを名目とする誤情報やデマをばらまき、ネット利用者に不正なURLリンクや添付ファイルを開かせようとするかもしれません。もし、ネット利用者がそれらを有益な情報と思い込み、ネット上に拡散してしまった場合どうなるでしょう。ネット詐欺に加担してしまうだけでなく、社会に混乱を引き起こしてしまうかもしれません。東京オリンピックについての誤情報やデマにも惑わされないよう注意してください。
また、コロナ禍で急増したインターネットサービス利用者を狙うネット詐欺も、今後さらに勢いを増しそうです。人気オンラインサービスを装った通知や、配送業者をかたる偽の不在通知、大手ショッピングサイトからの商品発送通知を装うSMS(ショートメッセージサービス)などには引き続き警戒してください。こうした案内を本物と信じてURLリンクを開いてしまった場合、フィッシングサイトや不正アプリのダウンロードページなどの不正サイトへ誘導されてしまうかもしれません。
フィッシング対策協議会
https://www.antiphishing.jp/
都道府県警察サイバー犯罪相談窓口
https://www.npa.go.jp/cybersafety/
2020年は生活のオンライン化も急速に進みました。教育や行政、金融、医療・介護などの分野でもインターネット経由での利用を前提としたサービスが次々に生まれています。ただし、インターネットサービスを利用する場合、サービス内容によっては事業者に氏名や生年月日、住所、身分証明証、電話番号、メールアドレス、決済情報といった個人に紐づく情報を預けることもあります。一般に、著名なインターネットサービスは厳格なセキュリティ基準を満たしていますが、セキュリティに絶対はありません。対策を行っていたとしても、事業者の人為的なミスや内部不正、外部からのサイバー攻撃などが原因で個人情報が漏えいしてしまうこともあるのです。実際、国内利用者も多いイベント管理サービスが昨年外部からの不正アクセスを受け、最大677万件の利用者情報を窃取されたことが公表されました。また、ランサムウェアによるサイバー攻撃を受けて情報の暴露被害に遭った国内企業は、昨年1月から11月16日までで23社にも上りました。さらに、内部文書を誤ってインターネット上に公開してしまったり、公開チャットに投稿してしまったりするケースも過去に発生しています。
万一、個人情報などがサイバー犯罪者の手に渡ってしまった場合どうなるでしょうか。詐欺や脅迫、金銭窃取などの被害につながるかもしれません。また、サイバー犯罪者は入手した情報を自ら悪用するだけでなく、ネット上で暴露したり、商品としてネット上で売買したりすることもあります。結果、複数のサイバー犯罪者の手に渡ってしまえば、被害に遭うリスクが増大してしまいます。
情報の漏えいは、サービス利用者本人の不注意によっても引き起こされます。たとえば、フィッシングサイトや詐欺サイトに自ら情報を入力したこと、マルウェアに感染したことなどが原因としてあげられます。今年は新型コロナウイルスの影響で個人や企業のネット利用、およびクラウドサービス利用がさらに加速すると見られ、サービス利用者側の設定ミスや誤操作に起因する情報漏えい事故の増加が予想されます。
被害を回避するためにも、これらの予測を日々の対策に役立ててください。
図:偽装SMSの一例
図:Chromeのアップデートに見せかけて不正アプリをダウンロードさせる
図:ダウンロードが終わると権限の確認を表示し、Chromeを装ったままインストールを促す
図:インストールが完了した不正アプリはSMSの送受信や読み取りの他、情報詐取に必要な権限を獲得
図:調査時点での検索結果の表示例
図:Google広告の問題を報告する画面
図:公式アカウントのなりすましに関する注意喚起公表月別ブランド数
図:偽のDMに記載された短縮URLから誘導された公式アカウントの画像を流用した偽の当選ページから、公式アカウントとは異なるサービスの登録ページに誘導
図:公式アカウントとは異なるリンクをプロフィールに記載した「なりすましアカウント」から、偽のプレゼント当選ページを介して、公式アカウントとは異なるサービスの登録画面に誘導
コロナ禍でのインターネットサービス利用者の増加を背景に、ますます勢いを増しているネット詐欺。これは、ネット利用者を不正サイトへ誘導し、情報や金銭をだまし取ることなどを目的とするネット上の詐欺行為全般を指します。
たとえば、大手ショッピングサイト「楽天市場」からの商品発送通知を装うSMS(ショートメッセージサービス)の事例では、受信者が「商品発送状況はこちらにてご確認ください」といった案内を本物と信じてURLリンクを開いてしまった場合、不正サイトへ誘導されてしまいます。このような手口では、SMS内のURLリンクから不正サイトへアクセスしてきたスマホのOSによってリダイレクト(転送)先が切り替わることも往々にしてあります。
調査時点で、Android端末はリダイレクト先においてXLOADERと呼ばれる不正アプリのインストールを促されることがわかりました。これをインストールしてしまった場合、自身の端末から偽装SMSを拡散されたり、端末内の情報を窃取されたりする危険性があります。一方、iPhoneでは「auじぶん銀行口座への不正アクセスを検知した」という旨のポップアップを表示され、同行のログインページを模したフィッシングサイトが現れます。そこでお客様番号やログインパスワード、暗証番号、生年月日を入力してしまった場合、それらがサイバー犯罪者の手に渡ってしまいます。
SMSはメールアドレスと異なり、電話番号の形式にしたランダムな数字を用意するだけで送信できるため、電話番号が第三者に漏えいしていなくても偽装SMSを受信する可能性があります。また、スマホを持っているときに手元ですぐに開けるSMSは開封率も必然的に高くなります。そのため、サイバー犯罪者は、スマホ利用者を不正サイトへ誘導する手段としてSMSを多用しています。どんなにそれらしい内容のメッセージでもURLリンクを開かせたり、電話をかけさせたりしようとするものは詐欺を疑ってかかりましょう。スマホにもセキュリティアプリを入れ、常に最新の状態で利用することも大切です。これにより、不正サイトにアクセスしたり、不正アプリをインストールしたりするリスクを軽減できます。
URLにアクセスするまえに、そのURLの安全性を判定することも対策として有効です。
LINEの友だちに「ウイルスバスター チェック!」(@trendmicro_vbcheck)のアカウントを追加することで、トーク画面から利用できる無償のセキュリティサービスです。
URLを入力して確認をクリックするだけで安全性を4段階で判定することができます。
ネット詐欺に遭遇してしまったかもと感じたときの対処法も覚えておきましょう。
図:LINE上で共有される偽アンケートの表示例
図:謝礼を餌に誘導する偽のアンケートページ
図:偽のアンケート例
図:賞品選択ページと嘘の当選画面
図:偽アンケートの拡散を求めるページ
図:賞品の請求に必要だと称して電話番号を詐取しようとする
図:偽の申請フォーム例、個人情報やクレジットカード情報を詐取しようとする
図:フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)
図:2021年「情報セキュリティ十大トレンド」※ランク列の括弧内数値は昨年順位