誘導先の偽ログイン画面と入力ページ
偽のURLから誘導されるフィッシングサイトの入力画面
TwitterやInstagram、FacebookなどのSNSでは、メインのアカウント(本アカ)のほかに複数のサブアカウント(サブアカ)を所持し、交友関係や用途に合わせてそれらを使い分けることが珍しくありません。たとえば、共通の趣味を持つ仲間とつながれるプライベートアカウントと、職場やビジネス関連の仲間とつながるためのアカウントを分けるなどです。
若年層では、複数のアカウントを使い分ける中で、友達や家族には言えない秘密のアカウント、いわゆる裏アカウント(裏アカ)を所持しているケースもあります。ただ、裏アカウントでは過激なコメントなどを投稿したり、悪意のある人物とネット上でつながったりして自ら犯罪に足を踏み入れてしまうケースも報告されています。
SNSの複数アカウントの利用では、アカウントを作れば作るだけ管理が煩雑になります。その結果、複数のアカウントに同一のパスワードを使い回したり、第三者が簡単に推測できるパスワードを設定してしまったり、プライバシー設定が不十分なままアカウントを放置してしまったりする場合があります。
また、アカウントの使い分けが複雑になれば、投稿やコミュニケーションを誤った相手としてしまい、不要なトラブルを招くリスクも大きくなります。
SNSのアカウントを複数利用する場合は、自身で厳重に管理できる数に絞りましょう。その上で、それぞれのアカウントに異なるパスワードを設定し、用途に合わせて投稿の公開範囲などのプライバシー設定を行ってください。
アカウントごとにつながる友人を分けている場合は、登録済みのメールアドレスや電話番号を使ってあなたのアカウントを見つけられるようにするかどうかの設定も確認しておきましょう。
メールと電話番号の「見つけやすさ」のプライバシー設定について(Twitter)
https://help.twitter.com/ja/safety-and-security/email-and-phone-discoverability-settings
[知り合いかも]でおすすめされる人はどのようにして選ばれるのですか。(Facebook)
https://ja-jp.facebook.com/help/163810437015615?helpref=faq_content
使わなくなったアカウントについては個人情報を削除した上で退会してください。そのまま放置していると、何かの拍子にアカウントを乗っ取られてもその事実に気づきにくく、なりすましなどの悪用や、情報漏えいにつながる可能性があるためです。
SNSでは必要に応じてアカウントを上手に使い分け、さらに便利で快適なコミュニケーションを楽しみましょう。
「国内標的型攻撃分析レポート・2019年版」表紙
スマホ決済が消費者の新たな決済手段として注目を集めています。一方、悪意のある第三者にスマホ決済サービスを不正利用され、店舗やショッピングサイトなどで勝手に商品を購入される被害が報道されており、便利である反面その安全性に不安を感じている利用者もいるのではないでしょうか。今回はスマホ決済サービスを安全に利用するための7つのポイントを紹介します。
クレジットカードを筆頭としたキャッシュレス決済の利用が年々広がりを見せています。最近はQRコード決済の認知度も高まり、「スマホ決済」が注目されています。スマホ決済と一口に言っても「キャリア決済」「非接触型決済」「QRコード決済」の大きく3つの種類があり、それぞれ利用方法も異なります。
docomo、au、Softbank、Y!mobileの回線とひもづくスマホで利用できる決済サービス(ドコモ払い/d払い*、auかんたん決済、ソフトバンクまとめて支払い、ワイモバイルまとめて支払い)です。キャリア決済に対応する店舗やショッピングサイトでバーコードを提示したり、各通信事業者が提供するサービスを利用するためのIDとパスワード(dアカウント、au ID、 SoftBank ID)、暗証番号を入力したりするだけで、買い物代金を月々の通信料金と合算して支払うことができます。
*:d払いはドコモ回線以外も利用可能
スマホに搭載されたFeliCa、NFC、Bluetoothなどを利用して決済する仕組みです。SuicaやEdy、QUICPay、iDなどのサービスがあり、スマホを店舗の専用端末にかざすだけで決済できます。利用にあたっては各サービスの専用アプリをインストールし、事前にチャージ(入金)しておくか、クレジットカード情報などを登録しておく必要があります。
QRコードを利用して決済する仕組みです。国内ではPayPayや楽天Pay、Origami Pay、LINE Payなどのサービスが展開されています。QRコード決済の方法は2通りあります。1つは、店舗から提示されたQRコードを利用者がスマホで読み取り、支払額を入力するものです。もう1つは、利用者がスマホに表示したQRコードを店舗の専用端末などで読み取ってもらう方法です。いずれも利用者が各サービスの専用アプリをインストールし、クレジットカードや銀行口座などの決済に必要な情報を登録していることが前提になります。
スマホ決済のメリットの1つは、スマホを店舗の専用端末にかざすだけですばやく決済できることです。さらにWebサイトやアプリ上で利用履歴を確認できるため、お金を管理しやすいことも利点です。決済サービスによっては独自のポイント還元や、割引クーポンの配信などもあり、現金よりお得に買い物できる場合もあります。
さまざまなスマホ決済サービスが展開される中でそれらをめぐる犯罪も目に付くようになってきました。実際、悪意のある第三者にスマホ決済サービスを不正利用され、勝手に買い物をされるなどの被害が発生しています。不正利用の原因としてはどのようなことが考えられるでしょうか。
サイバー犯罪者は、決済サービスに用いられる認証情報(IDとパスワード)を入手しようとしています。たとえば、通信事業者を装うSMSやメールで「キャリア決済が不正利用された可能性がある」などと通知し、メッセージ内の不正なURLリンクから受信者をフィッシングサイトへ誘導する手口が確認されています。通信事業者の正規のログインページと誤認してIDとパスワードを入力すると、続けてクレジットカード情報の入力を求められるケースもあり、入力したすべての情報がサイバー犯罪者の手に渡ってしまいます。
サイバー犯罪者はフィッシング詐欺などで入手した認証情報をリスト化し、それらを用いてさまざまなサービスへのログインを試します。複数のサービスに同一のIDとパスワードの組み合わせを使い回していると、決済サービスを含む各種サービスのアカウントを芋づる式に乗っ取られるリスクを高めてしまいます。
小型でどこにでも持ち運べるスマホは盗難、紛失に遭いやすいものです。万一、悪意のある第三者の手に渡ってしまうとスマホを操作され、決済アプリを不正利用される可能性があります。
サイバー犯罪者は何らかの方法で入手した被害者のクレジットカード情報(カード番号、有効期限、セキュリティコード)を犯罪者のスマホ決済アプリに登録し、勝手にチャージした上で商品を購入するかもしれません。クレジットカード利用者ならだれもが不正利用に遭う可能性があります。
スマホ決済の広がりとともに、新しいサービスが次々と登場しています。お金に直結するサービスは犯罪者に狙われる傾向にあり、アプリやサービスの脆弱性を悪用される可能性があります。
アカウント情報やクレジットカード情報などの入力を求めるWebページにたどり着いたら一度立ち止まり、URLなどをもとに正規のサイトかどうかを必ず確認しましょう。メールやSMS、Web広告などから誘導されたWebサイトは詐欺サイトを疑ってかかるべきです。ネット詐欺の手口を知ることも自衛策の基本です。
アカウントの不正アクセスを防ぐため、サービスごとに異なるIDとパスワードの組み合わせを使用すること、そして二要素認証などを設定できる場合は必ず有効にしましょう。二要素認証は、サービスのログイン時にIDとパスワードだけでなく、認証コードなどの異なる情報も入力させることで認証の精度を高める仕組みです。認証コードは事前に登録したスマホに送られるSMSや専用アプリなどで取得する必要があるため、たとえ悪意のある第三者がIDとパスワードを入手してもアカウントの認証を突破するのは極めて困難になります。
決済アプリを入れているスマホには必ず画面ロックをかけておきましょう。これは、一定時間触れずにいると自動で画面をロックする機能です。ロック方式はパスワードや暗証番号、指紋や顔などの生体情報から選べます。ロックを解除するためには、事前に登録したパスワードや暗証番号を入力したり、生体情報を読み込ませたりしなければならないため、盗難、紛失時などに第三者にスマホを不正操作されにくくなります。
サービスによってはスマホに入れた決済アプリそのものにロックをかけることができます。ロックを解除するためには、事前に登録した暗証番号やパスワード、指紋などによる認証が必要になるため、盗難、紛失時などに第三者にアプリを不正利用されにくくなります。クレジットカードや銀行口座と直結し、高額決済が可能なアプリではロックが必須です。
スマホの盗難、紛失に備え、スマホのGPSと「iPhoneを探す(iOSの場合)」「端末を探す(Android OSの場合)」機能を有効にしておきましょう。ネットに接続されたパソコンなどからスマホの位置を特定したり、遠隔からスマホをロックしたりすることができます。いざという時に慌てないため、平常時にスマホを探す手順を試しておくことが大切です。
セキュリティを考慮して設計された決済サービスを利用しましょう。二要素認証やアプリ起動時に本人認証を求める機能などは必須と言えそうです。また、決済サービス事業者によってプライバシーポリシーや不正利用に遭った際の補償要件なども異なるため、よく比較した上でサービスを選択しましょう。月々の利用可能額やチャージの上限額を低めに設定しておくことも対策として有効です。
ポイント還元などを目当てにインストールしたものの、使わなくなった決済アプリもあるかもしれません。使わなくなったアプリをそのまま放置していても不正利用や情報漏えいのリスクになるだけです。チャージ用に登録したクレジットカードや銀行口座の情報を削除した上でアンインストールしましょう。
※不審な取引を見つけたら…
各決済サービスやクレジットカードの利用明細をこまめにチェックすることが大切です。万一、身に覚えのない不審な取引を確認した場合、速やかに決済サービス事業者やクレジットカード会社に連絡し、利用停止の手続きを行いましょう。そして、状況に応じて警察などへの届け出も行ってください。
フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)
違法・有害情報の内訳(SIAの発表資料より)
これからの時期、休暇を旅行や帰省にあてる方も多いのではないでしょうか。
長期に家を空けがちなこの時期は、FacebookやTwitter、Instagram、ライブ配信アプリなどのSNSへの投稿に注意してください。内容やタイミングによっては、空き巣被害を招くきっかけになることもあります。
みなさんは、不特定多数に公開しているSNSに、「旅行中」、「●日から●日まで●に滞在」などのコメントを書き込んでいませんか。SNSは、だれが、どのような目的で見ているかわかりません。ネット上で旅行中であることや旅の予定を明かすのは、留守を公言しているようなものです。過去の投稿やプロフィール、フォロー情報や交友関係などから住所を割り出されると、空き巣の被害に遭う可能性もあります。
また、ハッシュタグ(#)の使用にも注意しましょう。空き巣犯は、地名や「♯旅行中」など、関連キーワードのハッシュタグ検索を行い、ターゲットを絞り込んでいるかもしれません。
年末年始やゴールデンウイーク、お盆、シルバーウイークなどで長期間留守にしている際のネットへの投稿にはいつも以上に注意を払ってください。そして、リアルタイムの投稿に限らず、普段からSNSの公開範囲が自分の用途と合っているか、定期的に確認することも忘れないようにしましょう。
J-CRATの支援件数の推移(IPAの発表資料より)
あなたがパソコンを購入する際に重視する点や決め手はなんでしょうか。デザイン、性能、価格、安全性などありますが、どんなパソコンでもセキュリティ対策は必須です。サイバー攻撃の中には、特定のOS(MacやWindowsなどの基本ソフト)だけを狙うマルウェアも存在します。また、そのようなマルウェアだけでなく、OSに関係なく被害に遭うネット詐欺の脅威もあります。では、Macをネット上の脅威から守るためには、どのような対策が必要でしょうか。セキュリティを強化する5つのポイントを実践しましょう。
MacBookやiMacなどのMacが根強い人気を誇っています。統一されたデザインによる見た目や使い勝手だけでなく、セキュリティも評価してMacユーザになった方もいるのではないでしょうか。
Macは一般に安全と評されており、世間では「Macはマルウェア(ウイルスなどの悪意を持ったソフトウェアの総称)に感染しないためセキュリティソフトが不要」というイメージもあるほどです。しかし、残念ながらどのようなパソコンでもセキュリティ対策は必要です。実際、Macを標的とするマルウェアが存在しています。また、ネット利用者を不正サイトへ誘導し、金銭や情報をだまし取るフィッシング詐欺などのさまざまなネット詐欺は、OSを問わない脅威です。Macを取り巻く最新の脅威を見ていきましょう。
Macにマルウェアをインストールさせる手口には巧妙なものがあります。たとえば、サイバー犯罪者はあたかも正規のソフトやアプリ、更新通知のように見せかけてマルウェアをダウンロードさせようとします。もしマルウェアをインストールしてしまった場合、端末内の情報を窃取されたり、広告を表示させるアドウェアを実行されたりするなどの被害に遭う可能性があります。
図:人気のあるアプリに偽装したアドウェアの例
他の例では、利用者のタイプミス(入力間違え)を利用して偽のURLに誘導するタイポスクワッティングと呼ばれる手口も確認されています。タイポスクワッティングは、人気のWeb サイトに類似したURLを攻撃者が用意し、タイプミスによってそのURLに偶然アクセスしてしまったユーザを不正サイトへ誘導する手法です。確認された事例では、利用者が著名な動画共有サービスのURLをタイプミスして特定のURLを入力した場合、最終的にマルウェア感染を通知する偽の警告画面に誘導されるようになっていました。この警告を信じて表示されたスキャンボタンをクリックしてしまうと、誘導先で迷惑アプリがダウンロードされてしまいます。
図:タイポスクワッティングによって誘導された偽の警告画面の例
ネット詐欺もMac利用者が特に気を付けるべき脅威の1つです。フィッシング詐欺では、Macユーザを含むApple IDのサービス利用者をフィッシングサイトへ誘導する手口が確認されています。Apple社を名乗る偽のメッセージで「アカウントが一時的に無効になっています」などと通知し、URLを開かせる手口はその典型です。本文中のURLリンクを開くとAppleのログインページに似せたフィッシングサイトへ誘導され、そこで入力した認証情報(ID、パスワード)や個人情報、クレジットカード情報などを盗み取られてしまいます。
図:Appleをかたった偽のメールの例
こうしたネット上の脅威の被害に遭うリスクを軽減するために、Macで実践すべき対策を紹介します。
OSや、Adobe Acrobat Readerなどのソフトの脆弱性(セキュリティの穴)を悪用するサイバー攻撃への備えはMacでも必須です。macOSでも過去に、端末を不正操作されたり、端末内の情報を漏えいさせたりする脆弱性が見つかりました。開発元からOSやソフトの更新通知が届いたらできるだけ早く適用してください。また、脆弱性を悪用した攻撃に限らず、マルウェアやさまざまなネット詐欺から守るために、Macにもセキュリティソフトは必須です。最新の脅威に対抗するために、セキュリティソフトも最新の状態に保ちましょう。
利用したいアプリがある場合はAppleが運営するMac App Storeから入手しましょう。Mac App Storeでは、Appleによる安全性の審査を通過したアプリだけが公開され、審査基準に満たないアプリは排除されるためです。ただし、公式のアプリストアであっても、審査の目を逃れて不正なアプリがまぎれこんでいる場合があります。ダウンロードする前に、必ずレビューや詳細情報などをよく確認するように心がけましょう。アプリをダウンロードする際の確認ポイントは参考記事で紹介しています。
街中にはセキュリティに不備がある公衆Wi-Fiスポットも存在します。もし、こうしたWi-Fiスポットを利用すると、第三者に通信内容を盗み見られてしまうかもしれません。公衆Wi-Fiにつなぐ場合は、通信事業者などの信用できる事業者や団体が提供する、通信が暗号化された(WPA2以上)Wi-Fiスポットを優先的に利用しましょう。加えて、VPNソフトを使うことで、安全な通信を確保できるためさらに安心です。
また、自宅のネットワークも安全に利用できるよう、設定を確認しておきましょう。
Macを利用する上で、Apple IDはかかせません。万一アカウントが不正利用された場合、情報漏えいや金銭被害につながる可能性もあります。アカウントの不正利用を防ぐポイントの1つは、他のサービスと異なるIDとパスワードの組み合わせを使用することです。そして、2ファクタ認証(二要素認証)を必ず設定してください。これにより、サービスのログイン時にIDとパスワードだけでなく、事前に登録した機器で取得できる認証コードの入力も必要になるため、第三者による不正ログインへの対策を強化できます。
Apple ID の 2 ファクタ認証
https://support.apple.com/ja-jp/HT204915
Anubisに狙われた金融関連アプリの地理的分布
消費者ホットライン(全国統一番号)「188」のバナー(国民生活センターのリリースより)
ゲームアプリとカメラアプリに偽装していた不正アプリ。この8つが最後までGoogle Playに残っていたが、最終的にはすべて削除された。
テレワーク(リモートワーク、在宅勤務)の導入により、時間や場所にとらわれない働き方が広がりつつあります。ではその際、どのようなことに注意するべきでしょうか。
たとえば、カフェや空港などの公共の場では、だれかにパソコンやスマホの画面をのぞき見られたり、会話の内容を聞かれたりするかもしれません。また、セキュリティに不備のある公衆Wi-Fiの利用によって、通信内容を盗み見される可能性もあります。
もし、自身の配慮に欠ける行動によって、業務上の機密事項や、顧客情報、業務システムの認証情報などを悪意のある第三者に知られてしまった場合、ことによっては勤務先や取引先から責任を問われてしまうかもしれません。
公共の場では、画面にプライバシーフィルター(のぞき見防止フィルム)を装着し、のぞき見による情報漏えいを防ぐとともに、通信に利用するネットワークについてもセキュリティ対策を忘れないようにしましょう。
また、作業場所も慎重に選ぶ必要があります。プライベートな空間が確保できない場合は壁際など、周囲からのぞき見をされにくい場所をなるべく選ぶようにしましょう。そして、何よりもテレワーク時は勤務先が定めるガイドラインやポリシーに従って行動するのが原則です。
テレワーク時に注意を払うべきシーンは他にもたくさんあります。併せて確認しておきましょう。
参考:一人ひとりが最低限知っておくべきサイバー脅威と対策を
イラストを交えて分かりやすく解説したガイドブック
「働く大人なら最低限知っておきたいネットセキュリティの基本」
is702学習資料ダウンロードページはこちら
6月に入り「ShadowGate」に関連したトラフィックの検出数が増加(データはトレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」に基づく)
共通ポイントやSNS、オンラインゲームなどのWebサービスのアカウントを乗っ取る脅威が深刻化しています。サイバー犯罪者の主な目的の1つは金銭や、お金になる情報を得ることです。アカウント乗っ取りによる被害を防ぐための7つのポイントを紹介します。
ポイントサービスが多くの人に親しまれています。これは、買い物や交通機関を利用した際に付与されるポイントを、次回以降の支払いに充てたり、商品や商品券、他社のポイントや電子マネーなどと交換したりできる仕組みです。さまざまな業種の実店舗やインターネットサービスにまたがって使える共通ポイントサービス(TポイントやPontaポイント、楽天スーパーポイント、dポイントなど)も普及しています。
このようなポイントサービスの普及が進む一方で、悪意のある第三者のアカウント乗っ取りによるポイント窃取などの被害が報道されており、こうしたポイントは犯罪者に狙われやすいと考えられます。
では、自身が貯めたポイントが不正に奪われてしまう原因はなんでしょうか。その1つとして挙げられるのは、不正に入手したIDとパスワードによるポイントサービスの認証突破です。悪意のある第三者は、何らかの方法でポイントサービスのIDとパスワードを入手し、アカウントを不正利用することでポイントを勝手に何かと交換したり、別のアカウントに移動したりする可能性があります。
アカウント乗っ取りの対象は、ポイントサービスだけではありません。SNSやオンラインゲームのアカウントを不正利用され、なりすましや情報の盗み見に遭ったり、ゲーム内のアイテムやゲーム内の通貨を盗まれたりする被害も発生しています。また、Apple IDやYahoo! JAPAN ID、Googleアカウント、Amazonアカウントなど、複数のインターネットサービスを利用するためのマルチサービスアカウントも格好の標的になっています。利用者が多く、換金可能なアイテムやポイント、クレジットカードなどの金銭がらみの情報がひもづくインターネットサービスはサイバー犯罪者に狙われやすいのです。
では、ネット利用者のどんな行動がアカウント乗っ取りのリスクを高めているのでしょうか。
ネット利用者はフィッシング詐欺に注意が必要です。これは、実在する金融機関や各種インターネットサービスの正規のログインページを装う偽サイト(フィッシングサイト)へ誘導し、そこで入力させた個人情報やクレジットカード情報、認証情報(IDとパスワード)などを盗み出す手口です。
トレンドマイクロによると、2019年第1四半期(1月~3月)にフィッシングサイトへ誘導された国内利用者数は100万件を突破し、前四半期比の約1.6倍に増加しました。メールを起点としたフィッシング詐欺キャンペーンは41件確認され、そこから誘導されるフィッシングサイトの約8割はインターネットサービスの認証情報を入力させようとするものでした。
フィッシング詐欺では、人の心理の隙につけ込むソーシャルエンジニアリングが多用されます。誰もが知っているような大手企業を名乗るメールで「パスワードの有効期限が迫っている」「不正なアクセスを確認したのでログインし直してください」などと通知して受信者の不安をあおり、URLリンクを開かせる手口はその典型です。誘導先がフィッシングサイトと気付かずに入力した情報はサイバー犯罪者の手に渡ってしまいます。
サイバー犯罪者は、フィッシング詐欺やインターネットサービス事業者へのサイバー攻撃など、何らかの手口で不正に取得した認証情報や、闇市場で購入した漏えい情報をリスト化し、それらを用いて各種サービスへのログインを試みます。このため、複数のサービスに同一のパスワードを使い回していると、アカウントを芋づる式に乗っ取られるリスクを高めてしまいます。
個人情報や金銭に関わるようなサービスを提供しているWebサイトでは、利用者のアカウントを守るためにパスワード以外の認証(ログイン)手順を提供している場合があります。このような認証方法を利用していない場合、設定済みのパスワードを突破されただけでアカウントを乗っ取られてしまいます。
犯罪者の手口や狙いを知ることは、自衛策の基本です。日頃からセキュリティ事業者や関連団体などが公表する注意喚起情報に目を通しておきましょう。
フィッシング対策協議会
https://www.antiphishing.jp/
警視庁サイバーセキュリティ対策本部
https://twitter.com/MPD_cybersec
当選、限定キャンペーンなどのおいしい話は安易に信用しないようにし、文章内のリンクや添付ファイルを不用意に開かないでください。まずはその企業のホームページに掲載される注意喚起情報を一読したり、電話などで直接問い合わせたりして事実確認を行いましょう。オンラインゲームでは、ゲーム内のチャットなどを介して魅力的な条件のトレード話を持ちかけ、そこからフィッシングサイトへ誘導する手口が報道されています。ゲーム内のアイテムをだれかとやり取りする場合は、ゲーム事業者が提供する公式のトレードサイトを利用しましょう。また、ゲームを有利に進められるとそそのかし、不正ファイルをダウンロードさせてマルウェア(ウイルス)に感染させる手口も報道されています。現実でもネットでも甘い話には十分気をつけましょう。
メールやSNS、ネット広告、関連情報などからたどり着いたWebサイトは偽サイトかもしれません。ログインや情報入力を促すサイトには十分注意が必要です。ネット利用者に情報を入力させるWebサイトでは最低限、SSL(情報を暗号化して送信し、第三者による通信内容の盗み見を防いでくれる仕組み)に対応していることを確認しましょう。SSLに対応するWebサイトはアドレスバーのURLが「https://」で始まり、「鍵マーク」が表示されます。ただし、SSLに対応した偽サイトも存在するため、正規のサイトかどうか十分に確認してから利用しましょう。よく使うサービスについては正規のURLをブックマークに保存しておき、リンクなどからのアクセスを避けることも対策の1つです。
サービスごとに異なるパスワードを使うこと、そしてIDが変更できる場合はIDも固有のものを設定しましょう。さらに、二要素認証や多要素認証など、IDとパスワード以外の認証手順を設定できる場合は必ず有効にしてください。たとえば、二要素認証(2段階認証と呼ばれる場合もある)はサービスのログイン時にIDとパスワードだけでなく、SMSや専用アプリで取得できる認証コードも入力させることでアカウントの不正利用を防ぐ仕組みです。
クレジットカードやポイントの利用履歴をこまめにチェックし、不正利用の痕跡がないことを確認しましょう。万一、身に覚えのない利用履歴を見つけた場合、直ちにクレジットカード会社やポイントの発行元に連絡し、被害を最小限に留めるようにしましょう。そして、被害状況に応じて警察などに届け出を行ってください。
都道府県警察サイバー犯罪相談窓口
https://www.npa.go.jp/cybersafety/
使わなくなったアカウントを放置していると、何かの拍子にアカウントを乗っ取られてもその事実に気づきにくく、情報を盗み見られたり、悪用されたりするリスクを高めてしまいます。不要なアカウントは登録情報を削除し、退会手続きを行いましょう。
セキュリティソフトやアプリは、不正なURLを警告し、フィッシングサイトや偽サイトへのアクセスを未然に防ぐ手伝いをしてくれます。次々と生み出される新たな脅威に対抗するため、セキュリティソフトやアプリを常に最新の状態に保ちましょう。
特定アカウントに対し、制限を掛けることが可能に
スマホにアプリを入れる際には、不正アプリ(スマホウイルス)に注意しなければなりません。万一、不正アプリをインストールしてしまうと、スマホの不正操作や、端末内の情報窃取、不正広告や不正サイトに誘導されるといった被害に遭う危険性があります。
不正アプリを回避するポイントの1つは、Google PlayやApp Store、通信事業者などが運営している公式のアプリストアからアプリを入手することです。公式のアプリストアでは、公開するアプリの安全性を事前に審査し、不適切なアプリを排除してくれるためです。ただし、審査をすり抜けて不正アプリが紛れ込んでしまう可能性もあります。
実際、トレンドマイクロはGoogle Play上に、ボイスメッセンジャーやカメラ、ゲームアプリなど、他の機能に偽装したAndroid端末向けの不正アプリが複数公開されていたことを確認しました。これらは、不正アプリをインストールしてしまった端末に感染し、偽のポップアップから不正サイトに誘導したり、端末内の情報を窃取したりするものでした。
図:Google Playで確認された不正なカメラアプリ
AppStoreでも、家計簿アプリに偽装したiOS端末向けの不正アプリが見つかりました。これは、ユーザを非公式アプリストアへ誘導し、そこで別の不正アプリをインストールさせることが目的でした。このほか、広告収入を得ることを目的とする不正アプリも確認されました。
図:App Storeで配布されていた不正アプリの一例
(注:正規アプリ「こつこつ家計簿-無料で簡単人気のカレンダー家計簿」とは別のものです。)
たとえ、公式のアプリストアに公開されているアプリでもインストールする前には、必ずよく確認してください。
アプリをインストールする際のチェックポイントはこちらの記事で紹介しています。
個人認証を主にどのような方法で実施していますか(フィッシング対策協議会の発表資料より)
各ブラウザのアドレスバー表示(フィッシング対策協議会の発表資料より。2019年6月11日時点)
不正アプリ(スマホウイルス)は、スマホの代表的な脅威の1つです。最近は、メールやSNSの投稿、大手企業をかたった偽装SMSなどから誘導される不正なWebサイト上だけでなく、公式アプリストアでも不正アプリが確認されています。アプリを入手する前に確認しておきたい4つのポイントを紹介します。
不正アプリとは、スマホやタブレット端末内に入り込んで不正行為を働くアプリの総称です。万一、不正アプリをインストールしてしまうと、端末の不正操作や端末内の情報窃取に遭ったり、不正サイトへ誘導する広告をしつこく表示されたりするなど、さまざまな脅威にさらされる可能性があります。
サイバー犯罪者は、主に非公式のWebサイト(非公式ストア)で不正アプリを配布しています。たとえば、正規サイトを閲覧しているユーザに「システムエラー」「ウイルス感染」などの偽の警告画面を表示し、リンクを開かせることで不正なWebサイトへ誘導します。そこでシステムアップデートやウイルス除去に必要なファイルなどと称して不正アプリをインストールさせます。また、偽装SMS(ショートメッセージサービス)経由で実在する配送業者や通信事業者の偽サイトへ誘導し、不正アプリをインストールさせる手口もあります。さらに、ネット上にはゲームアプリやカメラアプリなどの人気アプリを装う偽アプリも複数公開されており、提供元が不明なWebサイトからアプリをインストールする際には注意が必要です。
不正アプリの基本的な回避策の1つは、「Google PlayやApp Store、通信事業者などが運営している公式のアプリストアからアプリを入手すること」です。しかし、公式ストアにも不正アプリが紛れ込んでいる場合があります。
公式のアプリストアでは運営元による安全性の審査を通過したアプリだけが公開され、審査基準に満たないアプリは排除されます。しかし、中には審査をすり抜けた不正アプリが公式のアプリストアに公開されてしまうケースもあります。
実際、トレンドマイクロは、Android端末向けのボイスメッセンジャーやカメラ、ゲームなどのアプリに偽装した不正アプリがGoogle Play上に複数公開されていたことを確認しました。これらは、端末内の情報を窃取したり、偽の広告などをポップアップで表示し、フィッシングサイトやポルノアプリの配布サイトへ誘導したりするものでした。
図:Google Playにアップロードされた偽音声アプリの例
図:Google Playで確認された不正なカメラアプリ
図:ゲームアプリに偽装した不正アプリ「Flappy Birr Dog」
AppStoreでも家計簿アプリに偽装したiOS端末向けの不正アプリが確認されました。これはiOS端末利用者をAppStore以外の非公式のアプリストアへ誘導し、そこで別の不正アプリをインストールさせることを目的としていました。誘導先では、iOSの制限を解除し、非公式のアプリストアの利用を可能にする「Jailbreak(脱獄)」アプリが配布されていたこともわかっています。
AppStore上にある特定のアプリの広告を表示する不正アプリも確認されています。これは、Appleの正規の広告サービスを利用することなく自社のアプリを宣伝したいと考える開発元から報酬を得ることが目的でした。
図:App Storeで配布されていた不正アプリ
(注:正規アプリ「こつこつ家計簿-無料で簡単人気のカレンダー家計簿」とは別のものです。)
こうした不正アプリのリスクを避けるため、非公式のWebサイトからアプリをインストールせず、必ず公式のアプリストアを利用してください。そして、たとえ公式のアプリストアに公開されているアプリでも無条件に信用せず、スマホにアプリをインストールする際は4つのポイントを確認しましょう。
公式のアプリストアからアプリを入れる前に、アプリ名や開発元を検索し、不正アプリかどうかを判断するための情報を収集しましょう。企業の公式アプリにもかかわらず、開発元が個人名になっている場合の正当性の判断には慎重さが求められます。
また、アップデートが長期間されていないアプリは、不正アプリではなくても、不具合や脆弱性(セキュリティの穴)が残されたままになっているかもしれません。入手する前に類似アプリと比較検討し、信用できるアプリを選択しましょう。
アプリのダウンロードページからレビューの数やその内容を確認しましょう。「起動しない」などの悪評が多いアプリや、評価が不自然に二分しているアプリの入手には慎重になるべきです。口コミが全く見当たらないアプリは、配布されて間もない不正アプリかもしれません。複数のWebサイトから情報を収集して比較し、真偽を判断するなどし、すぐに必要ではない場合はしばらく様子をみてから入手するようにしましょう。
Android端末では、アプリのインストール時にそのアプリが必要とする権限を一覧で表示してくれます。それらの項目を注意深く確認することで不正アプリを識別できることもあります。たとえば、シンプルな電卓アプリが、「連絡先データの読み取り」「現在地の読み取り」など、アプリ本来の機能や目的から外れるような権限を求めている場合は不正アプリの疑いがあります。
iPhoneの場合は、アプリをインストールした後に、設定画面から該当のアプリを選択するとアクセス権限の設定を確認、変更することができます。設定画面の「プライバシー」へ進めば、アプリごとに「位置情報サービス」や「連絡先」などへアクセスする権限を付与するか否かを選択できます。
また、不正アプリではなくても、必要以上に権限を求めるアプリは、過度に利用者情報を収集している場合があります。プライバシーポリシーなどを参照し、本当にそのアプリが必要かどうかよく考えてから入手しましょう。
万一、不正アプリのインストールボタンをクリックしてしまったとしても、セキュリティアプリがそのアプリをスキャンし、不正なものと判断した場合インストールをブロックしてくれます*。さまざまなアプリをインストールする前に、必ずセキュリティアプリを入れておきましょう。
*:アプリのスキャンはAndroidのみ可能
「スマホのOSやアプリを常に最新のバージョンに保つこと」「セキュリティアプリを最新の状態にして使うこと」は、不正アプリを回避するための前提条件です。これにより、不正サイトへのアクセスや不正アプリのインストールを未然に防ぐことができます。スマホに自ら不正アプリをインストールしてしまわないように用心しましょう。
