
誘導されたサイト(スマートフォンでの表示画面の例。国民生活センターの発表資料より)
EMOTETに感染しメール送信に悪用される可能性がある.jpメールアドレス数(外部からの提供観測情報、JPCERT/CCの発表資料より)
「コンピュータウイルス・不正アクセスの届出事例[2021年(1月~12月)]目次(IPAの発表資料より)
情報セキュリティ10大脅威 2022(IPA発表資料より)
フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)
通信事業者を装うフィッシングSMSの例(JC3の発表資料より)
フィッシングメール(例)のイメージ(JPCERT/CCの発表資料より)
「活動再開後」に確認したEMOTET本体をダウンロードする不正マクロを含んだExce文書ファイルの例
フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)
2020年7月~2021年9月における相談件数の推移(IPAの発表資料より)
国内法人からのランサムウェア関連問い合わせ件数とそのうちの被害報告件数の推移(トレンドマイクロ調べ)
フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)
パソコンのメールソフトで表示される「送信元情報」の偽装の例(IPAの発表資料より)
ネット利用者を不正サイトへ誘導し、情報や金銭をだまし取るネット詐欺。多くの人の関心事や旬な話題に便乗するネット詐欺が、新型コロナウイルスをおとりとして利用しないはずがありません。サイバー犯罪者はメールだけでなく、SMSやSNSなどのさまざまなチャネルを通じて新型コロナウイルスに関連する話題を投げかけ、そこからネット利用者を不正サイトへ誘導しようとしています。その手口と対策を見ていきましょう。
新型コロナウイルスのワクチン接種予約を装うメールを介して受信者をフィッシングサイトへ誘導する事案が報告されました。フィッシング対策委員会が注意を呼びかけているのは、「自衛隊 大規模接種センターの概要 予約サイト案内(予約・受付案内)」を件名とするメールです。本文内の「予約サイトへ」と書かれたURLリンクを開いてしまった場合、どうなるでしょうか。厚生労働省が運営する新型コロナワクチン接種の総合案内サイト「コロナワクチンナビ」を模したフィッシングサイトへ誘導され、氏名や住所、郵便番号、電話番号、メールアドレス、生年月日、クレジットカード名義人、カード番号、有効期限、セキュリティコードの入力を促されます。一連の要求に応じてしまった場合、それらすべての情報がサイバー犯罪者の手に渡ってしまうかもしれません。
総務省をかたり「【特別定額給付金】二回目特別定額給付金の特設サイトを開設しました。」などと案内する不審なメールも見つかりました。本文内の「特別給付金の申請はオンラインでできます!」と書かれたURLリンクを開くと申請ページに見せかけたフィッシングサイトへ誘導され、氏名や国籍、生年月日、性別、郵便番号、住所、運転免許証番号、保険者番号、パスポート番号、職業、クレジットカード番号、有効期限、認証コード、電話番号、FAX番号、メールアドレスなどの入力を促されます。また、情報入力後に「次へすすむ」を押すと、運転免許証や保険番号、パスポート、入金カードの確認書類、通帳やキャッシュカード、インターネットバンキング画面などの写しのアップロードを求められます。なお、誘導先のフィッシングサイトの中には以下のように総務省を想起させるURLを使用しているものもあるため、だまされないように注意してください。
https://soumui.●●●●.com/
https://soumui.●●●●.net/
https://soumui.●●●●.shop/
https://soumu.●●●●.jp/
https://soumu.go.jp.●●●●.com/
https://soumu.go.●●●●.com/
https://soumu.go.●●●●.shop/
https://ousumi.●●●●.shop/
http://www.saumna.go-jp.●●●●.com/
厚生労働省をかたり、新しいコロナウイルスの発生の予防と管理を理由に「防疫作業の実行と緊急支援の調整のため、情報登録に協力してほしい」と呼びかけるフィッシングメールも確認されています。
ネット利用者を不正サイトへ誘導する手段はメールだけではありません。SMS(ショートメッセージサービス)やSNSもその1つです。たとえば、「新型コロナウイルス予防ワクチン無料予約受付中です、アプリインストールしてください」などと案内するSMSが確認されました。それを本物と信じてメッセージ内のURLリンクを開いてしまった場合、フィッシングサイトなどの不正サイトに転送されてしまいます。この事案ではAndroid端末とiPhoneで転送先が異なることが特徴的でした。
トレンドマイクロの調査によると、Android端末では「セキュリティ向上のため、最新バージョンのChromeにアップデートしてください」というポップアップを表示する不正サイトに行きつきます。そこで「OK」ボタンを押すと、Chromeの更新ファイルに見せかけた不正アプリのダウンロードとインストールを促されます。応じてしまった場合、自身の端末から偽装SMSを拡散されたり、端末内の情報を抜き取られたりする可能性があります。
iPhoneでは「APP Storeアカウントは安全異常があるので、再度ログインしてください」というポップアップが表示された後、Appleのログインページに似せたフィッシングサイトに誘導されます。それを正規のログインページと誤認してApple IDとパスワードを入力してしまった場合、アカウントの乗っ取りだけでなく、情報や金銭窃取の被害に遭うかもしれません。
TwitterやFacebookなどのSNS上にも新型コロナウイルスをめぐる情報が飛び交っていますが、その中には不確かな情報や事実と異なる情報、デマも含まれています。SNS上に根拠のあやふやな情報を発信する目的は単なるいたずらや承認欲求の充足だけではありません。SNS利用者を不正サイトに誘い込んで情報や金銭をだまし取ること、アフィリエイト(ネット利用者を特定のWebページに誘導することで報酬を得る仕組み)収入を得ることが目的の場合もあります。
総務省や行政機関の職員、あるいはその代理業者などになりすます電話にも注意してください。「予約金を支払えば、優先的に新型コロナワクチンを接種できる」などの内容を告げる電話は、あなたから銀行の口座番号、暗証番号、マイナンバーなどの情報や金銭を奪い取ることが目的かもしれません。
ネット詐欺の手口と事例を知っておけば、だまされるリスクを軽減できます。普段からセキュリティ関連団体などが発表する注意喚起情報に目を通しておきましょう。セキュリティ事業者などの公式SNSアカウントをフォローし、注意喚起情報を自動的に入手できるようにしておくのもおすすめです。なお、公的機関がメールやSMS、電話などを介して個人情報の提供や金銭の支払いを求めることはありません。不審なメールや電話などを受け取った際は最寄りの警察署にご相談ください。
パソコンやスマホに信用できるセキュリティソフト/アプリを入れ、それを常に最新の状態で利用しましょう。これにより、不正サイトにアクセスしたり、不正アプリをインストールしたりするリスクを軽減できます。トレンドマイクロはURLの安全性を判定するサービスを無料で提供しています。
たとえ公的機関や著名な企業が差出人でも、何らかの理由をつけてURLリンクを開かせようとするメールやSMSはあなたを不正サイトへ誘導するために送りつけられたものかもしれません。URLリンクを開く前に、そのメッセージの文言をネットで検索し、真偽を確認してください。
ネット上での個人情報やクレジットカード情報、インターネットサービスのアカウント情報(IDやパスワード)などの入力は慎重に行ってください。フィッシングサイトは、正規のログインページをコピーして作られることが多く、一見本物のように見えます。またURLに本物を想起させる文字列が含まれることもあるため、真偽の判別が困難です。メールやSMSなどを経由してたどり着いたWebサイトで情報入力を求められた場合は詐欺を疑ってかかるべきです。アカウントへのログインも必ずブックマークに登録した公式サイト、あるいは公式アプリから行いましょう。
メールやSMS経由でたどり着いたWebサイトからアプリをインストールしないでください。不正アプリ対策の基本は、Google PlayやApp Store、携帯電話事業者などが運営する公式アプリストア、開発元の公式サイト以外からアプリを入手しないことです。ただし、公式アプリストアにも運営元の審査をすり抜ける形で不正アプリが公開される場合もあるため、事前に当該アプリや開発元の評判を調べることも怠らないようにしましょう。
SNSに潜む詐欺師は、仰々しい見出しや人目を引く内容の投稿を介してSNS利用者を不正サイトへ引き込もうとします。SNS上で流れた新型コロナウイルス関連のデマとして記憶に新しいのは「ワクチンを打つと体内に長期間成分が残り、遺伝情報が書き換えられる」というものです。これについては厚生労働省や各国の保健当局が否定しています。他者に注意を呼びかけたいという善意の行動であってもSNS上の根拠のないうわさやデマを再投稿すれば、ネット詐欺に加担することになりかねません。社会に混乱を引き起こしてしまった場合、責任を問われる可能性もあります。新型コロナウイルス関連の情報を収集する際は公的機関のWebサイトなどの信用できる情報源を参照するようにし、真偽の定かでない情報をSNS上に拡散しないようにしてください。
国内標的型分析レポート2021年版
アクセス権限の許可を求めるポップアップの例(左:iOS、右:Android。IPAの発表資料より)
スマホ利用者を不正サイトへ誘導する手段の1つとしてSMSが悪用されています。サイバー犯罪者は著名な企業などを装ってもっともらしい内容のメッセージを送りつけてくるため、予備知識のないスマホ利用者はSMS内のURLリンクを開いてしまいがちです。偽装SMSの手口と対策を押さえておきましょう。
スマホ利用者を標的とするネット詐欺の勢いは増すばかりです。トレンドマイクロの調査では、不正サイトへ誘導された国内モバイル利用者数は2021年に450万件を突破しています。
図:不正サイトに誘導された国内モバイル利用者数推移
(2019年1月~2021年6月、トレンドマイクロ調べ)
不正サイトの入り口になっているのはいまやメールだけではありません。SMS(ショートメッセージサービス)もその1つです。SMSは電話番号を宛先にテキストメッセージを交換できるサービスです。確認コードの受け取りにSMSを利用している方も多いのではないでしょうか。しかし、相手の電話番号さえ知っていればメッセージをやり取りできるSMSは、サイバー犯罪者がスマホ利用者を不正サイトへ誘導する手段として悪用されがちです。電話番号の形式にしたランダムな数字を用意するだけで不特定多数に不正なメッセージをばらまくことができるためです。
サイバー犯罪者は著名な企業などを装ってもっともらしい内容のメッセージを送りつけ、受信者に不正なURLリンクを開かせようとします。その主な狙いは不正サイトへ誘い込み、情報や金銭をだまし取ることです。ここから偽装SMSの手口を見ていきましょう。
実在する配送業者をかたり「不在のため持ち帰りました。配送物をご確認ください」などと案内する不在通知メッセージはその一例です。大手ショッピングサイトを装って「商品発送状況はこちらにてご確認ください」などと通知するものもあります。さらに、携帯電話事業者を装って「キャリア決済が不正利用された可能性があります」と告知したりする手口も確認されています。しかし、それらはデタラメで、スマホ利用者の注意をひく演出に過ぎません。
こうしたSMSによる案内を本物と信じてURLリンクを開いてしまった場合、フィッシングサイトなどの不正サイトに誘導されます。たとえば、Android端末では「セキュリティ向上のため、最新バージョンのChromeにアップデートしてください」というポップアップを表示する不正サイトに行きつく場合があります。そこで「OK」ボタンを押すと、Chromeの更新ファイルに見せかけた不正アプリのダウンロード、およびインストールを促されます。それに応じてしまえば、自身の端末から偽装SMSを拡散されたり、端末内の情報を窃取されたりするかもしれません。
また、Google Playを模した偽サイトに誘導され、公式アプリを装う偽アプリをインストールさせられるかもしれません。
iPhoneではAppleや金融機関のログインページに似せたフィッシングサイトに転送される場合があります。それらを正規のログインページと誤認してApple IDとパスワード、顧客番号やログインパスワード、暗証番号、生年月日などを入力してしまった場合、それらがサイバー犯罪者の手に渡ってしまいます。
「ネットワークセキュリティのアップグレード」を口実に不正なiOS構成プロファイルのインストールを促すWebページへ誘導されるケースも確認されました。iOS構成プロファイルは、iOSのシステムやセキュリティ関連の各種設定が記載されたファイルで、iOS端末にインストールするとその設定を一括で適用できます。もし不正なiOS構成プロファイルをインストールしてしまった場合、端末やSIMカードの固有情報、OSのバージョンや製品情報を窃取される可能性があるため注意してください。
ネット詐欺の手口と事例を知っておけば、だまされるリスクを軽減できます。普段からセキュリティ関連団体などが発表する注意喚起情報に目を通しておきましょう。セキュリティ事業者などの公式SNSアカウントをフォローし、注意喚起情報を自動的に入手できるようにしておくのもおすすめです。
スマホに信用できるセキュリティアプリを入れ、それを常に最新の状態で利用しましょう。これにより、不正サイトにアクセスしたり、不正アプリをインストールしたりするリスクを軽減できます。トレンドマイクロはURLの安全性を判定するサービスを無料で提供しています。
スマホのOSやアプリには脆弱性(セキュリティ上の弱点)がつきものです。脆弱性を放置していると、正規のアプリを不正アプリに置き換えられたり、端末を不正操作されたりするリスクが日増しに高まります。OSやアプリの開発元から更新プログラムが提供された場合は速やかに適用しましょう。
たとえ著名な企業が差出人でも、何らかの理由をつけてURLリンクを開かせようとするSMSは疑ってかかるべきです。そのメッセージの文言をネットで検索し、公式のメッセージかどうかを必ず確認してください。偽装SMSでは、差出人名に任意の英数字を送信者IDとして指定できる機能が悪用されている場合もあります。SMSは同じ差出人名のメッセージが同一のスレッド内に表示されるため、実在する企業などと同じ送信者IDが指定された偽装メッセージが送られてきた場合、それも公式のメッセージと同じスレッド内に並んでしまいます。偽装メッセージを公式メッセージと誤認しないよう注意してください。
+メッセージを利用すれば、著名な企業を装う偽メッセージを本物と誤認してしまうリスクを減らせます。+メッセージの企業の公式アカウントには携帯電話事業者3社による審査をクリアしたことを示す認証済みマークが付与され、利用者がメッセージの真偽を判断する目安にできるためです。
図:事業者のアカウントに表示される認証済みマークの例
SMS経由でたどり着いたWebサイトからアプリをインストールしてはいけません。不正アプリ対策の基本は、Google PlayやApp Store、携帯電話事業者などが運営する公式アプリストア、開発元の公式サイト以外からアプリを入手しないことです。ただし、公式アプリストアにも不正アプリが紛れ込んでいる可能性があるため、アプリをインストールする前に著名な検索サイトでアプリ名や開発元を検索し、評判を調べることも怠らないようにしましょう。また、iPhoneで構成プロファイルのインストール画面が突然表示された場合も不用意に許可してはいけません。まずは正当性の確認を行ってください。
復旧に要した期間、調査・復旧費用の総額(警察庁の発表資料より)
企業や組織を狙うサイバー攻撃の勢いは一向に衰えません。サイバー攻撃と一口に言ってもその手口や種類はさまざまです。中にはコンピュータの「脆弱性」を悪用することで企業内ネットワークに侵入し、マルウェア感染や情報漏えいなどの被害をもたらすものもあります。事業部門の従業員が注意するべき脆弱性と対策を紹介します。
脆弱性は、プログラムの設計ミスなどが原因で生じるセキュリティ上の弱点で、マルウェア感染や不正アクセスの要因となる不具合です。OS(基本ソフト)やソフトには脆弱性がつきもので、サイバー攻撃を受けることによって初めてその存在が明らかになるものもあります。たとえば、サイバー犯罪者によって改ざんされたWebサイト(脆弱性攻撃サイト)の閲覧や、メールに添付されたファイルの開封がきっかけでパソコンがマルウェアに感染してしまうことがあります。こうした攻撃で悪用されるのが脆弱性です。ここから事業部門の従業員が行うべき脆弱性対策について見ていきましょう。
日々の業務遂行に欠かせないパソコンのOSやソフトにも脆弱性が存在します。通常、OSやソフトに脆弱性が見つかった場合、その開発元は速やかに脆弱性を修正するための更新プログラムを作成し、ユーザに無償で提供します。ユーザはそれを適用することでOSやソフトを安全に使い続けることができます。
一般に大企業は、統合管理ツールなどを用いることで多数のパソコンに更新プログラムを計画的に配布し、あらかじめ指定した日時に一斉適用できる体制をとっています。複数のパソコンを一括管理する仕組みを備えていない企業については、システム管理者が従業員に更新プログラムの適用を個別に依頼するケースなどがあげられます。
一般に、OSやソフトの開発元から更新プログラムが提供された場合は速やかに適用することが推奨されます。ただし、企業によっては更新プログラム適用による社内システムへの影響を事前に検証し、その緊急性や安全性を確認した上でアップデートのタイミングを従業員に指示する場合もあります。従業員には企業に定められた方法、手順、タイミングでOSやソフトをアップデートすることが求められるのです。
また、私たちはWindowsの標準ブラウザであるInternet Explorer(IE)を、少なくとも9カ月以内にMicrosoft Edgeなどの最新ブラウザに移行しなければなりません。Windows 10におけるデスクトップアプリとしてのIEが2022年6月15日にサポート終了になるためです。サポート期限切れのソフトは脆弱性が見つかっても、それを修正する更新プログラムが配布されません。つまり、脆弱性をそのまま放置せざるを得ず、マルウェア感染や情報漏えいなどのリスクが日増しに高まってしまうのです。業務用パソコンの既定ブラウザをIEからMicrosoft Edgeなどに切り替えるようシステム管理者から指示があった場合は速やかに従ってください。
企業によっては、商品やサービスの認知度アップ、販売促進などを目的としたキャンペーンサイト、およびECサイトを事業部門ごとに立ち上げるケースもあるでしょう。その設計・開発、運用・保守においてセキュリティの観点で欠かせないのがコンテンツ管理システム(CMS:Webサイトのコンテンツを構成するテキストや画像、デザイン・レイアウト情報などを一元管理するシステム)の脆弱性対策です。CMSの脆弱性を放置しているとどうなるでしょうか。Webサイトを不正に書き換えられ、マルウェア拡散の踏み台にされることがあります。またECサイトの決済画面を改ざんされ、そこで利用者が入力したクレジットカード情報を盗み取られるかもしれません。利用者に実害が及んでしまった場合、運営元である企業の管理責任を問われ、社会的な信用も失墜することになるでしょう。
CMSの運用・保守をオーナーである事業部門が担っている場合は、脆弱性情報の収集と修正パッチの迅速な適用を徹底してください。外部事業者に委託している場合は、契約書に明記されているとおりに脆弱性対策が行われていることを確認しましょう。
期間限定の特設サイトなどを公開したまま放置するのも避けてください。CMSのアップデートがおろそかになりがちで、Webサイト改ざんなどの被害に遭うリスクが高まるためです。不要になったWebサイトは速やかに閉鎖することをおすすめします。
企業にはシャドーITと脆弱性の問題もあります。シャドーITは企業が許可していない、あるいは利用ルールを設けていないIT機器やソフトなどを従業員がビジネスシーンに持ち込むことを指します。事業部門が企業やシステム部門の承認を得ることなく独自にIT機器やソフトなどを導入・利用することもそれに含まれます。
シャドーITはセキュリティ統制の観点で忌避すべきものです。シャドーITが行われると、システム部門が企業のIT環境の全容を把握できず、脆弱性などのセキュリティリスクを正確にとらえられないためです。当然、無断で使われるIT機器やソフトにはシステム部門の管理が行き届かず、それぞれの脆弱性対策は運用者の裁量に委ねられてしまいます。このため、厳しいセキュリティルールを定めている企業の多くは、従業員や事業部門が無断でIT機器やソフトなどを導入し、それらを業務利用することを認めていないのです。
ルールにはそれが作られた理由があります。禁止されているのであれば、それに従うのが従業員の務めです。企業やシステム部門が許可していないIT機器やソフトを業務に使いたい場合は必ず正式な申請・承認プロセスを経てください。ビジネスシーンへの持ち込みを許可された場合は企業のルールに従って脆弱性対策を行うことが重要です。
厚生労働省をかたる電子メールの例(JC3の発表資料より)