is702 2021-01-20T00:00:00+09:00 インターネット・セキュリティ・ナレッジ 偽装SMSから誘導される不正アプリをインストールしてしまったらどうなる? 偽の宅配便不在通知やECサイトからの配送状況を伝えるメッセージなどを装った偽装SMSによる被害が絶えません。万一誘導された先で不正なアプリをインストールしてしまった場合、どのような被害に遭うかを知り、対策に役立てましょう。 2021-01-20T00:00:00+09:00
不正サイトに誘導しようとする偽装SMS(電話番号宛に届くショートメッセージサービス)による攻撃が絶え間なく続いています。一見本物の様な通知に、ついリンクを開いてしまう利用者も少なくありません。

偽装SMSのメッセージ例:
「お荷物のお届けにあがりましたが不在の為持ち帰りました。ご確認ください。」
「お電話を差し上げましたが繋がらないようですので、ご指定の場所でご確認下さい。」
「この度貴方が民事訴訟として訴状が提出されました、下記より必ずご確認ください。」
「ご本人様不在の為お荷物を持ち帰りました。ご確認ください。」
「楽天市場でご購入ありがとうございます。商品発送状況はこちらにてご確認ください。」


不在通知を装う偽のメッセージとURLリンクをSMSで不特定多数に送り付け、騙されてしまった利用者を不正サイトに誘導する手口は2017年から確認されており、年々その手口も巧妙化しています。
今回は改めて万一不正アプリをインストールしてしまった場合、どのような危険に遭遇するのか、その対策と合わせて紹介します。
(不正アプリの動作内容は2020年12月時点で確認した検証結果を基にしています)


図:偽装SMSの一例

図:偽装SMSの一例


不正アプリのダウンロードを促す際に偽装する方法やブランドは複数あり、宅配便事業者の公式アプリや利用しているアプリの更新を装うなどさまざまです。調査時はChromeのアップデートを装っていました。メッセージ内のリンクをタップすると、このようなポップアップが表示され、アプリのダウンロードを促します。


図:Chromeのアップデートに見せかけて不正アプリをダウンロードさせる

図:Chromeのアップデートに見せかけて不正アプリをダウンロードさせる




図:ダウンロードが終わると権限の確認を表示し、Chromeを装ったままインストールを促す

図:ダウンロードが終わると権限の確認を表示し、Chromeを装ったままインストールを促す




図:インストールが完了した不正アプリはSMSの送受信や読み取りの他、情報詐取に必要な権限を獲得

図:インストールが完了した不正アプリはSMSの送受信や読み取りの他、情報詐取に必要な権限を獲得



不正アプリをインストールしてしまった結果、複数の権限が付与された不正アプリによって、今度は自身の端末からサイバー犯罪者の指示を受けた偽装SMSが勝手に送信されてしまいます。それによりサイバー攻撃に加担してしまう事になる上、SMS送信料金の負担、本物の通知と勘違いした相手から問合せを受けるといった可能性もあります。また、不審なメッセージを送り付ける番号として、ネット上で携帯電話番号が公開されてしまう例もあります。

さらに、SMSは金銭や個人情報などを扱うオンラインサービスの二要素認証(ワンタイムパスワード)に利用されることも多く、SMSのテキストメッセージが第三者に読み取られてしまうことで、認証情報を悪用したオンラインサービスの不正ログインや、自身の情報を不正登録されるといった被害の可能性もあります。それにより金銭被害や情報漏えいを招く危険性も否めません。

連絡先情報が攻撃者の手に渡ってしまった場合は、新たな攻撃先として悪用される、情報を売買されるといった可能性があり、自身のみならず連絡先に登録している相手にまで被害を広げてしまいます。

このように、一度不正アプリをインストールしてしまうと、その被害は多岐に渡るということを知っておきましょう。

■対策

偽のSMSから誘導される手口に限らず、公式アプリストア以外でアプリをインストールしないことが大前提です。メッセージやメールなどでリンクが送られてきた場合もそこからアプリのダウンロードを進めず、公式アプリストアでアプリを検索して詳細を確認しましょう。また、公式アプリストアであっても不正なアプリが紛れ込んでいる場合があります。確認を怠らないようにしてください。

関連記事:
公式ストアに紛れ込む不正アプリ
スマホにアプリを入れる前に確認したい4つのポイント

不正アプリのインストールを防ぐ手段として有効なのがセキュリティアプリの利用です。セキュリティアプリは、スマホにアプリをインストールする際にそのアプリをスキャンし、不正と判断された場合インストールを防ぎます(Android OSのみ)。
スマホを活用するにはさまざまなアプリのインストールが欠かせませんが、安全に利用するにはセキュリティアプリも欠かさずにインストールしておきましょう。

■不正アプリをアンインストールする

万一不正アプリをインストールしてしまった場合は、「設定」→「アプリと通知(機器によって表示が異なります)」から該当するアプリを見つけ、アンインストールしましょう。不正アプリの中には、ホーム画面にアイコンを表示させないものもあります。アプリ一覧から探すと良いでしょう。
他のアプリを装っている場合、どれが偽物か一見区別がつかない可能性があります。その場合はアプリの詳細を開き、インストール元の情報や権限、アンインストール可能かどうか*といった点を確認すると良いでしょう。
*:出荷時からインストールされているアプリは「無効」しか選択できない場合があります。

セキュリティアプリを利用する場合は、スキャンを行うことで不正アプリの有無を確認できます(Android OSのみ)。利用しているセキュリティアプリの表示に従ってアンインストールを行ってください。
]]>
https://is702.jp/main/images/news/S210120_1.png
【注意喚起】Googleサーチ結果に表示される偽広告経由のネット詐欺に注意 Googleサーチ結果に表示される広告からフィッシングサイトに誘導する事例を確認しています。検索結果の上位に表示されたものであっても注意してください。 2021-01-19T00:00:00+09:00
今回確認した事例では、特定の製品名を検索した結果表示されるネット広告の仕組みを悪用した手口であり、広告審査の網をすり抜けてしまったものと考えられます。


図:調査時点での検索結果の表示例

図:調査時点での検索結果の表示例


ネット広告の仕組みを悪用した手口は複数存在します。検索結果に表示される広告を悪用した手口も本件に限らず確認、報告されているため利用者は注意を怠らないようにしましょう。特にスマホなど画面の小さな機器では、広告かどうか確かめずに上位に表示されたリンクを開いてしまう可能性が高まります。表示されている内容が広告なのかそれとも公式サイトなのかどうか、左側の広告(Ad)表示やドメイン名をよく確認してから開きましょう。

関連記事:
ネット上の不正広告から身を守るための5つの対策とは


検索結果に不正広告が表示された場合は、URLの横にある「▼」をクリックし、報告を行ってください。また、正規サイトの問合せ窓口やフィッシング対策協議会(https://www.antiphishing.jp/)などに報告すると良いでしょう。


図:Google広告の問題を報告する画面

図:Google広告の問題を報告する画面


■対策
表示された広告が不正なものかどうか確認する方法としては、ドメイン名や表示を目視で確認するほかに、リンク先にアクセスする前のURL安全性判定サービスの利用も役立ちます。また、不正サイトに誘導されてしまうリスクを下げるには、セキュリティソフトやアプリを最新の状態で利用することも忘れないようにしましょう。

無償で利用できるURL安全判定サービスの一例
・ウイルスバスター チェック!
LINEの友だちに「ウイルスバスター チェック!」(@trendmicro_vbcheck)のアカウントを追加することで、トーク画面から利用できる無償のセキュリティサービスです。
・Site Safety Center
URLを入力して確認をクリックするだけで安全性を4段階で判定することができます。

公式サイトの運営者は、このような不正広告の発見、報告を受けた場合は速やかに広告事業者に申告して不正広告を停止させると共に、利用者に注意喚起を行うと良いでしょう。

Google Ads商標侵害の申し立て|Google
https://services.google.com/inquiry/aw_tmcomplaint


関連記事:
ネット通販詐欺に要注意、対策や被害に遭ってしまった時の相談先は?
]]>
https://is702.jp/main/images/news/S210119_001.jpg
【注意喚起】インスタグラムのなりすましアカウントに注意、不特定多数の法人アカウントで被害発生中 法人のインスタグラムアカウントのなりすましに関する注意喚起が相次いて行われています。利用者は偽のアカウントに騙されないよう注意してください。 2021-01-19T00:00:00+09:00
公式のインスタグラムアカウントを持つ複数の法人が、偽のインスタグラムアカウントを第三者に不正取得され、フォロワーに不正なDM(ダイレクトメッセージ)が送られているなどの注意を行っています。
今回の調査では、自社の公式サイトなどでインスタグラム(Instagram)のなりすましアカウントの注意喚起を行っていた企業から、無作為に100ブランドの情報を確認した結果(2020年12月31日から2021年1月14日まで)、それらの多くは12月に被害を受けたとし、1月に入ってからもなりすましアカウントの報告が続いています。


図:公式アカウントのなりすましに関する注意喚起公表月別ブランド数

図:公式アカウントのなりすましに関する注意喚起公表月別ブランド数


注意喚起や被害内容の記載に違いはあるものの、その多くは自社のフォロワーに対して偽のDMが送られ、メッセージ内のリンクから公式アカウントとは異なるサイトに誘導されるといった内容となっていました。DM以外にも、なりすましアカウントのプロフィールに記載されたリンクから誘導される手口も確認しています。

■偽のDMの一例(SNS上の投稿を基に抜粋)

あなたが勝者に選ばれました
賞品を受け取るには、以下の手順に従ってください。
1-(リンクをクリック)
<短縮URL>
2-自分で登録します(登録には2分もかかりません!)
3-ここに戻って、「完了」メッセージを送信します。完了したら、スクリーンショットの証明を送信してください。
証拠を見せて!


①偽のDMから誘導された例
図:偽のDMに記載された短縮URLから誘導された公式アカウントの画像を流用した偽の当選ページから、公式アカウントとは異なるサービスの登録ページに誘導

図:偽のDMに記載された短縮URLから誘導された公式アカウントの画像を流用した偽の当選ページから、公式アカウントとは異なるサービスの登録ページに誘導



②なりすましアカウントのプロフィールから誘導された例
図:公式アカウントとは異なるリンクをプロフィールに記載した「なりすましアカウント」から、偽のプレゼント当選ページを介して、公式アカウントとは異なるサービスの登録画面に誘導

図:公式アカウントとは異なるリンクをプロフィールに記載した「なりすましアカウント」から、偽のプレゼント当選ページを介して、公式アカウントとは異なるサービスの登録画面に誘導



今回確認した誘導先は、公式アカウントとは異なるサービスの登録画面であったためアフィリエイト(広告収入)を目的としていると考えられます。ただし、誘導先はそれぞれ異なるためフィッシングサイトなどの不正サイトへの誘導に変化する可能性もあります。また、登録を促す偽の当選画面はGoogleサイト(無料でWebサイトを作成できるサービス)を利用して作成されています。このような正規サービスを悪用する手口はこれまでもサイバー攻撃に利用されており、作業の効率化や、セキュリティ製品の回避につなげるなど攻撃者にとっては大きなメリットがあります。

なりすましを受けた法人もホテル、社団法人、アパレル、ペット保険など多岐に渡っており、一法人が複数のブランドで被害に遭っている例や、複数のユーザーネームでなりすましを受けている例もありました。その多くは公式アカウントのユーザーネームに含まれる文字を増減させる、「_(アンダーバー)」を2回続ける、「.(ドット)」に代えるまたは加える、「official」を追加するなどし、名称だけでは見分けることが困難です。また、公式アカウントの投稿を複製し、同じようなページを作り上げるため、なりすましアカウントからの投稿であっても、なりすましアカウントに対する注意喚起が掲載されていた例を確認しています。

さらに、なりすましアカウントは同じブランドのなりすましを続けるのではなく、数日でユーザーネームと投稿を差替え、ブランドを変えていることも確認できました。そのため、多くのアカウントをフォローしている場合、どのアカウントがなりすましであるか判別がつかなくなってしまう可能性もあります。

■なりすましアカウントによるブランド変化の一例(約2週間)
大手均一販売ショップ

アパレルショップ

コスメブランド

植物の販売サイト


このようにブランドを変えて公式アカウントの投稿を複製している場合、過去の投稿を最近の日付で投稿している場合があります。投稿の少ないアカウントや、過去の話題にも関わらず最近投稿している、同じ日にまとめて投稿を行っているようなアカウントには注意してください。

■対策

公式アカウントをフォローするには、青い認証バッジがついていることを確認するか、公式サイトでインスタグラムのアカウントを確認しましょう。なりすましアカウントに遭遇した場合や、不審なDMを受け取った場合はインスタグラムの報告機能を使って「スパムである」などの報告を行うと共に、公式アカウントの管理者にも通知を行ってください。また、このような手口から不正サイトに誘導されてしまう可能性もあります。スマホにもセキュリティアプリをインストールし、最新の状態に保って利用しましょう。

公式アカウントの管理者は、なりすましアカウントの発見、報告を受けた場合、速やかにフォロワーに通知して注意を促すと共に、サービス事業者に届け出てなりすましアカウントを停止させてください。

不正利用とスパム|Instagram
https://help.instagram.com/165828726894770/


執筆時点でもこの手口は続いています。インスタグラム利用者やアカウント管理者は引続き注意しましょう。
]]>
https://is702.jp/main/images/news/img_news47.jpg
すでに悪用されている脆弱性の修正を含む1月のセキュリティ更新プログラム公開|マイクロソフト マイクロソフトは1月13日(日本時間)、月例のセキュリティ更新プログラムを公開しました。独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)も注意を呼びかけています。 2021-01-14T00:00:00+09:00
対象となるソフトウェアは、「Microsoft Windows」「Microsoft Edge (EdgeHTML-based)」「Microsoft Office、Microsoft Office Servers および Web Apps」「Microsoft Windows Codecs Library」「Visual Studio」「SQL Server」「Microsoft Malware Protection Engine」「.NET Core」「.NET Repository」「ASP .NET」「Azure」で、深刻度が「緊急」の脆弱性も含まれています。

脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、リモートからの攻撃によって任意のコードを実行されたりする可能性があります。特に「Microsoft Defenderのリモートでコードが実行される脆弱性」(CVE-2021-1647)の脆弱性については悪用の事実がすでに確認されており、今後被害が拡大するおそれがあります。各製品のユーザは、Microsoft UpdateやWindows Updateなどを用いて、システムの更新を至急行ってください。自動更新を設定している場合も、念のため更新が適用されているか確認するのが望ましいでしょう。

なお1月12日(米国時間)には、アドビからもセキュリティアップデートが公開されています。対象となるソフトウェアは「Adobe Photoshop」「Adobe Illustrator」「Adobe Animate」「Adobe Campaign Classic」「Adobe InCopy」「Adobe Captivate」「Adobe Bridge」です。各製品のユーザは、アドビからの情報を確認し、アップデートを検討してください。
]]>
https://is702.jp/main/images/news/img_news29.jpg
偽装SMSを介したネット詐欺に要注意 軽井はボーナスで両親に贈り物をしたようです 2021-01-14T00:00:00+09:00
ひろしとアカリのセキュリティ事情

偽装SMSを介したネット詐欺に要注意

2021/01/14

ショッピングサイトから商品発送通知が届いたら

コロナ禍でのインターネットサービス利用者の増加を背景に、ますます勢いを増しているネット詐欺。これは、ネット利用者を不正サイトへ誘導し、情報や金銭をだまし取ることなどを目的とするネット上の詐欺行為全般を指します。

たとえば、大手ショッピングサイト「楽天市場」からの商品発送通知を装うSMS(ショートメッセージサービス)の事例では、受信者が「商品発送状況はこちらにてご確認ください」といった案内を本物と信じてURLリンクを開いてしまった場合、不正サイトへ誘導されてしまいます。このような手口では、SMS内のURLリンクから不正サイトへアクセスしてきたスマホのOSによってリダイレクト(転送)先が切り替わることも往々にしてあります。

調査時点で、Android端末はリダイレクト先においてXLOADERと呼ばれる不正アプリのインストールを促されることがわかりました。これをインストールしてしまった場合、自身の端末から偽装SMSを拡散されたり、端末内の情報を窃取されたりする危険性があります。一方、iPhoneでは「auじぶん銀行口座への不正アクセスを検知した」という旨のポップアップを表示され、同行のログインページを模したフィッシングサイトが現れます。そこでお客様番号やログインパスワード、暗証番号、生年月日を入力してしまった場合、それらがサイバー犯罪者の手に渡ってしまいます。

SMSはメールアドレスと異なり、電話番号の形式にしたランダムな数字を用意するだけで送信できるため、電話番号が第三者に漏えいしていなくても偽装SMSを受信する可能性があります。また、スマホを持っているときに手元ですぐに開けるSMSは開封率も必然的に高くなります。そのため、サイバー犯罪者は、スマホ利用者を不正サイトへ誘導する手段としてSMSを多用しています。どんなにそれらしい内容のメッセージでもURLリンクを開かせたり、電話をかけさせたりしようとするものは詐欺を疑ってかかりましょう。スマホにもセキュリティアプリを入れ、常に最新の状態で利用することも大切です。これにより、不正サイトにアクセスしたり、不正アプリをインストールしたりするリスクを軽減できます。

URLにアクセスするまえに、そのURLの安全性を判定することも対策として有効です。

無償で利用できるURL安全判定サービスの一例

  • ウイルスバスター チェック!

    LINEの友だちに「ウイルスバスター チェック!」(@trendmicro_vbcheck)のアカウントを追加することで、トーク画面から利用できる無償のセキュリティサービスです。

  • Site Safety Center

    URLを入力して確認をクリックするだけで安全性を4段階で判定することができます。

ネット詐欺に遭遇してしまったかもと感じたときの対処法も覚えておきましょう。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3787_l.jpg
【注意喚起】LINEを装う偽のお客様アンケートに注意 LINEを装う偽のアンケートがLINE上で拡散しています。アンケート協力の謝礼取得に必要だと称して偽アンケートをLINEグループや友だちに共有するように促すため注意してください。 2021-01-12T00:00:00+09:00
「Lineお客様アンケートと懸賞 今すぐ無料のギフトを獲得」「たった今、いくつかの質問に答えるだけで無料の賞品を獲得しました!懸賞が終わる前までに、ぜひお試しください!」などの文言で偽のアンケートに誘導し、謝礼として希望の品が獲得できるかのように見せかけて情報を詐取するネット詐欺が発生しています。利用者はこのような偽のキャンペーンに注意するとともに、グループや友だちに不正なメッセージを拡散させてしまわないようにしてください。


図:LINE上で共有される偽アンケートの表示例

図:LINE上で共有される偽アンケートの表示例


同様のネット詐欺は、昨年も実在する企業を騙った内容で複数確認しており、時節ネタに応じたキャンペーンタイトルや、なりすましに悪用するブランドを変えながら継続的に行われていると考えられます。
今回確認した偽サイトにおいても、簡単なアンケートの後に賞品を選択させ、嘘の当選画面を表示します。次に賞品取得に必要だと称して自身のLINEグループや友だちに偽アンケートの共有を促します。さらに、当選した賞品の請求に必要だと称して電話番号の入力を求めます。

関連記事
【注意喚起】LINEなどで拡散中の偽プレゼントキャンペーン、今度は新年を祝う内容に変化
【注意喚起】偽のクリスマスプレゼントキャンペーン、LINEなどでのメッセージ拡散に注意
【注意喚起】LINEに届くアディダスを装う偽のプレゼントキャンペーンに注意


■対策

たとえ知人や家族からのメッセージであっても、SNSやメッセージアプリなどで共有されたURLはそのまま開かず、URLの安全性判定サービスなどを使ってリスクを確認してからアクセスすると良いでしょう。また、公式サイトや公式アカウントで情報の真偽を確認することも大切です。顧客やサービス利用者へのアンケートを装う手口は過去にも発生しています。一見正規の案内に見えても、不正なものである可能性があることを常に意識してください。

URL安全性判定サービスの一例として、LINE上で無償利用できる「ウイルスバスター チェック!」があります。友だちに追加してLINEグループに招待すると、リスクのあるURLを含むメッセージを自動で検知し、グループメンバーにも危険を知らせることができます。また、1:1のトークで個別に確認することもできるので、LINE以外のサービスで共有されたURLでも安全性を判定することができます。このようなサービスを使って、自身や周りの人々がネット詐欺に巻き込まれてしまうリスクを回避しましょう。
また、ネット上のさまざまな脅威から保護するには、セキュリティソフトやアプリの利用も欠かせません。パソコン、スマホ、タブレット端末にはそれらを予めインストールし、最新の状態に保って利用してください。


図:謝礼を餌に誘導する偽のアンケートページ

図:謝礼を餌に誘導する偽のアンケートページ


図:偽のアンケート例

図:偽のアンケート例


図:賞品選択ページと嘘の当選画面

図:賞品選択ページと嘘の当選画面


図:偽アンケートの拡散を求めるページ

図:偽アンケートの拡散を求めるページ


図:賞品の請求に必要だと称して電話番号を詐取しようとする

図:賞品の請求に必要だと称して電話番号を詐取しようとする


]]>
https://is702.jp/main/images/news/S210112_01.jpg
【注意喚起】偽の特別定額給付金申請案内メールに注意 昨年10月に確認されたものと同様の特別定額給付金の給付申請を装った偽のメールが再度横行しています。同様の手口に注意してください。 2021-01-08T00:00:00+09:00
1月7日の緊急事態宣言発出に便乗した詐欺メールが発生しています。
「【重要】特別定額給付金(新型コロナウイルス感染症緊急経済対策関連)」などの件名で、特別定額給付金の申請手続きの通知を装った偽のメールから、偽の給付金申請サイトに誘導する不正なメールを確認 しています。他にも類似のメールを受信したという利用者がSNS上に投稿 していることから、同様の手口が複数存在しているものと考えられます。利用者はこのような偽のメールや情報に騙されないように注意してください。
ネット上を流れる情報の中には、誤りやデマが紛れ込んでいる可能性があります。政府の施策については、必ず政府や行政の公式サイト・公式アカウントの情報を参照しましょう。真偽が定かではない投稿を拡散させないことも大切です。緊急時こそ、ネット上でも一人ひとりが落ち着いた行動を心掛けてください。

関連記事
【注意喚起】追加の特別定額給付金申請を装うフィッシング詐欺に注意
ネット詐欺の被害に遭わないためのセキュリティ手引き


今回確認した偽の申請フォームでは、氏名や住所などの個人情報の他、クレジットカード情報、証明書類のアップロードを求められます。このような情報を詐取された場合、情報そのものを悪用される他、ネット上で情報を売買され、複数のサイバー犯罪者に悪用されてしまう危険性があります。万一同様の手口によって騙されてしまった場合は、速やかに警察に届け出るとともに、クレジットカードの利用停止を行ってください。

関連リンク
都道府県警察本部のサイバー犯罪相談窓口一覧



図:偽の申請フォーム例、個人情報やクレジットカード情報を詐取しようとする

図:偽の申請フォーム例、個人情報やクレジットカード情報を詐取しようとする

]]>
https://is702.jp/main/images/news/S210108_2.png
2020年12月のフィッシング報告件数、3万2千件超で過去最高を更新|フィッシング対策協議会 フィッシング対策協議会は1月6日、フィッシングに関する2020年12月の集計結果を発表しました。2020年11月に初めて3万件を突破しましたが、それを上回り、過去最高をさらに更新しました。 2021-01-08T00:00:00+09:00
それによると、同協議会に寄せられたフィッシング報告件数は、2020年11月の30,967件より1,204件増加し32,171件でした。2020年11月に初めて3万件を突破しましたが、それを上回り、過去最高をさらに更新したこととなります。

全体の傾向としては、Amazonを騙るフィッシングメールが多く、全体の50.0%を占めています。その他では、三井住友カード、楽天、アプラス(新生銀行カード)、MyJCBが続き、これら上位5ブランドで報告数全体の約86.0%を占めましたとしています。

発信元情報をなりすましたSMS(ショートメッセージサービス)は、宅配業者の不在通知を装ったものに加え、Amazonや金融機関を装ったものに引き続き注意が必要です。携帯電話番号宛に送られるSMSは、メールと比較すると本物と誤認したり、詳細を確認しようとついリンク先にアクセスしてしまったりする傾向があります。本文に電話番号やリンクを含むSMSは安易に信用しないようにしましょう。
その他、性的脅迫メールやなりすましメールも多数観測されたとのことです。


図:フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)

図:フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)


■対策
フィッシングサイトへの主な誘導手段となっているフィッシングメールやSMSには、メールのフィルタリング機能やSMSの振り分け機能、セキュリティソフト・アプリによる対策が有効です。誤って誘導先にアクセスしてしまわないためにも、不正なメッセージの受信を防ぐことが大切です。もし不審なメッセージを受け取った場合は、各サービス事業者の問い合わせ窓口、またはフィッシング対策協議会に連絡してください。
SNS広告を悪用した手口に対しては、広告からではなく認証済みの公式アカウントや正規サイトを検索し、そこから商品やサービスの情報を確認するなどし、安易に広告をタップしないようにしてください。また、ログインを促すようなメールやSMSを受信した際は、公式アプリやブックマークした正規のURLからサービスへログインして確認しましょう。

メールなどで送られてきたURLが不正なものかどうかを確認する手段としては、無償で利用できるトレンドマイクロの「ウイルスバスター チェック!(@trendmicro_vbcheck)」も役立ちます。LINEの友達に追加することで、サイトにアクセスする前にトーク画面でURLの安全性を判定でき、フィッシングサイトなどの不正サイトへのアクセス回避につながります。また、昨今注目されている個人情報漏えい被害への対策として、自身のメールアドレスがネット上に流出しているかどうかを確認することも可能です。自身や家族のセキュリティ対策に役立てましょう。


]]>
https://is702.jp/main/images/news/img_news46.jpg
2021年のセキュリティ十大トレンド、“テレワークの在宅勤務者を守る対策”が重要に|JASA 特定非営利活動法人日本セキュリティ監査協会(JASA)は1月6日、「監査人の警鐘―2021年 情報セキュリティ十大トレンド」を発表しました。 2021-01-08T00:00:00+09:00
同協会では、情報セキュリティ監査人1,800人を対象にアンケート調査を実施。有効回答数228件をもとに、2021年のセキュリティ脅威の潮流を予測しています。その結果、2021年の十大トレンドとして、下記の10項目が選定されました。


図:2021年「情報セキュリティ十大トレンド」※ランク列の括弧内数値は昨年順位

図:2021年「情報セキュリティ十大トレンド」※ランク列の括弧内数値は昨年順位


今回は前回の5位から「テレワークニーズに追いつかないセキュリティ対策」が1位にランクアップしました。コロナ禍により急拡大したテレワークのセキュリティ対策の現状に、多くの監査人が不安を抱いている様子がうかがえます。

その他でも、6位「在宅勤務のセキュリティ対策に求められる説明責任」、8位「在宅勤務者を踏み台にして組織を狙うフィッシング詐欺の横行」、10位「ニューノーマルに対応した新たな情報セキュリティ監査」なども、新たにトップ10入りしています。

サイバー犯罪者もテレワーク普及を視野に、在宅勤務者に対する攻撃を活発化させようとしています。手法の高度化・巧妙化が進む一方で、使い古された手口による被害も後を絶ちません。一人での作業が多くなるテレワークだからこそ、セキュリティ対策やその運用を従業員任せにすることなく、事業継続の一環としてとらえたセキュリティを講じることが重要です。新しい勤務形態や生活様式において、いかにセキュリティを組み立てていくかが、企業とそのセキュリティ担当者にとってカギになるでしょう。同時にクラウドサービス、ネットサービスの提供者もさまざまな攻撃に備えなければなりません。

各トレンドの詳細な内容、監査のポイントについては、日本セキュリティ監査協会サイトよりPDFファイルがダウンロード・閲覧可能です。]]>
https://is702.jp/main/images/news/img_news44.jpg
システム担当者は2021年夏の祝日移動に注意を 今年の夏は1年延期となった「東京オリンピック・パラリンピック2020」の開催が予定されています。これにともない2021年のみ、祝日が移動することが日本政府から発表されています。 2021-01-06T00:00:00+09:00
具体的には、「海の日」が7月22日に、「スポーツの日」が7月23日に、「山の日」が8月8日に移動します。さらに8月8日は日曜日にあたるため、8月9日が振替休日となります。祝日を移動させると、オリンピック開会式の7月23日前後が4連休、オリンピック閉会式の8月8日前後が3連休となりますが、これにより、東京中心部の混雑を緩和し、選手や観客のスムーズな移動を図るとともに、一般の経済活動や市民生活と共存するのが狙いです。なおこの移動は、「令和三年東京オリンピック競技大会・東京パラリンピック競技大会特別措置法」に基づくもののため、2021年1回限りの移動です。

こういった変則的な祝日・休日は、一般的な営業やサービス提供に加え、勤怠管理・給与管理、さらにはセキュリティに影響を与えます。とくに今回の祝日移動は、2020年11月末に正式決定したため、一部のカレンダーでは祝日移動が反映されておらず、人によっては祝日移動を把握していなかったり、誤った日程で予定をたてていたりする可能性があります。

システム管理者は、自社サービスやシステムの設定、動作、メンテナンススケジュールなどに問題がないか、連休期間の人員確保に問題がないかなど、早期に確認・対処しておくのが望ましいでしょう。特に組織インフラの定期パッチ作業は、休日や平日深夜に行われることが多いため今回の休日移動に合わせてメンテナンススケジュールに変更の必要が生じないか再確認をすると良いでしょう。また、各種スケジュールデータに、祝日を反映させること、そして2022年までに元に戻す作業も着実に行いましょう。
]]>
https://is702.jp/main/images/news/S210106.jpg
【注意喚起】LINEなどで拡散中の偽プレゼントキャンペーン、今度は新年を祝う内容に変化 LINEなどのメッセージアプリ上で拡散している偽のプレゼントキャンペーンがクリスマスから新年を祝う内容に変化しています。同様の手口に注意すると共に、不正サイトに誘導するメッセージを拡散させてしまわないようにしましょう。 2020-12-28T00:00:00+09:00
12月23日にis702で注意喚起を行った偽のプレゼントキャンペーンによる攻撃が継続しています。
今回も簡単なアンケートの後に時間制限付きの偽当選ページが表示され、その後に受取に必要だと称してLINEでの偽キャンペーン共有を促します。さらにその先では、スマホを安価で購入できるかのように見せかけた詐欺サイトに誘導します。
また、コーヒーチェーンのブランドに偽装した手口では、残りのプレゼント数のカウントが徐々に減っていくため、焦った利用者が確認を十分にしないまま偽のアンケートを続けてしまう可能性が高まります。
このように残り時間や数を表示して利用者を急かし、判断を鈍らせる手口はネット詐欺の常とう手段です。騙されないようにしてください。

■共有される偽キャンペーンへのメッセージ例
 <不正なURL>
新年の贈り物をゲ…
この簡単なアンケートに回答して、500ドルの…


関連記事
【注意喚起】偽のクリスマスプレゼントキャンペーン、LINEなどでのメッセージ拡散に注意



図:偽のプレゼントキャンペーンリンク共有例、複数のブランドに偽装

図:偽のプレゼントキャンペーンリンク共有例、複数のブランドに偽装




図:「アマゾンの新年の贈り物」と表示された偽のキャンペーンページ例

図:「アマゾンの新年の贈り物」と表示された偽のキャンペーンページ例




図:偽の当選画面、キャンペーンの共有を促している

図:偽の当選画面、キャンペーンの共有を促している





図:コーヒーチェーンのブランドに偽装した偽キャンペーンページ例

図:コーヒーチェーンのブランドに偽装した偽キャンペーンページ例




図:偽のスマホ購入ページ例、個人情報などを詐取しようとする

図:偽のスマホ購入ページ例、個人情報などを詐取しようとする



■対策

たとえ知人や家族からのメッセージであっても、SNSやメッセージアプリなどで共有されたURLはそのまま開かず、URLの安全性判定サービスなどを使ってリスクを確認してからアクセスすると良いでしょう。また、公式サイトや公式アカウントから情報の真偽を確認することも大切です。年末年始は、例年ネット詐欺が他の時期に比べて増加傾向にあります。一見正規のキャンペーンやセールに見えても、不正なものである可能性がるため普段以上に注意しましょう。

URL安全性判定サービスの一例として、LINE上で無償利用できる「ウイルスバスター チェック!」があります。友達追加してLINEグループに招待すると、リスクのあるURLを含むメッセージを自動で検知し、グループメンバーにも危険を知らせることができます。また、1:1のトークで個別に確認することもできるので、LINE以外のサービスで共有されたURLでも安全性を判定することができます。このようなサービスを使って、自身や周りの人々がネット詐欺に巻き込まれてしまうリスクを回避しましょう。
また、ネット上のさまざまな脅威から保護するには、セキュリティソフトやアプリの利用も欠かせません。パソコン、スマホ、タブレット端末にはそれらを予めインストールし、最新の状態に保って利用してください。


]]>
https://is702.jp/main/images/news/S201228_01.jpg
2021年のサイバー脅威、「テレワークの一般化」と「既知の脆弱性」がカギに トレンドマイクロは12月22日、脅威動向を予測したレポート「2021年セキュリティ脅威予測」を公開しました。あわせて公式ブログ記事も公開しています。 2020-12-24T00:00:00+09:00
2020年は、新型コロナウイルス感染症(COVID-19)の拡大により、業務形態、流通網、生活様式など、世界中で幅広い変化が発生しました。サイバーセキュリティにおける脅威も、そうした変化で発生した隙をつくように、さらに巧妙さと危険度が増しています。

こうした背景から「2021年セキュリティ脅威予測」では、まず「自宅のテレワーク環境がサイバー攻撃の弱点になる」「テレワーク用企業向けソフトウェアやクラウドアプリケーションの深刻な脆弱性が狙われる」といった可能性を指摘しており、脆弱なホームネットワークから従業員の自宅のコンピュータを乗っ取って組織ネットワークへ侵入する事例などが予想されています。他方で、既にインターネット上では、脆弱性の影響を受ける特定のVPN機器のリストも公開されており、該当する組織での早急な対応が求められています。

また「新型コロナウイルスに便乗する攻撃キャンペーンの継続」「医療機関が直面するセキュリティリスク」も予測されています。2020年に日本国内では、マスク不足に便乗した偽の通販サイトや偽の給付金の申請サイトなどが確認されました。今後も、感染状況やワクチン関連の情報に偽装した不正サイトや不正メールが横行すると考えられます。一方で、医療機関やワクチン開発関連組織への諜報活動が懸念されます。

そして、サイバー攻撃に悪用される脆弱性(セキュリティ上の欠陥)において、ベンダからの修正プログラム(パッチ)提供などの対応策がない「ゼロデイ脆弱性」だけでなく、修正プログラムが提供されているものの、公開されたばかりでパッチが適用されていない可能性がある既知の脆弱性「Nデイ脆弱性」がより一層問題になると予測されています。

「2021年セキュリティ脅威予測」では、その他にも以下のようなトピックを解説しています。

・攻撃者はホームオフィスを新たな犯罪拠点に
・テレワークの導入によって企業はハイブリッド環境と持続困難なセキュリティアーキテクチャに直面
・外部からアクセス可能なAPIが企業の情報漏えいの攻撃経路に
・パンデミックで進む個人情報の収集と共有に注目するサイバー犯罪者
・セキュリティ強化の推進

「2021年セキュリティ脅威予測」(PDFファイル)は、トレンドマイクロの公式サイトから無償でダウンロード可能です。


「2021年セキュリティ脅威予測」表紙

「2021年セキュリティ脅威予測」表紙

]]>
https://is702.jp/main/images/news/S201224_2.jpg
2020年、コロナ禍で一変した日常におけるネットの脅威と対策をおさらい 2020年はネット詐欺やメール、SMSを起点とする攻撃が目につきました。ランサムウェアによるサイバー攻撃をきっかけとした事業者の被害も相次いでいます。2020年に流行したネットの脅威を知り、対策に役立てましょう。 2020-12-24T00:00:00+09:00
ネット詐欺の被害が深刻に

2020年、コロナ禍で一変した日常におけるネットの脅威と対策をおさらい

2020/12/24
ネット詐欺の被害が深刻に 2020年、コロナ禍で一変した日常におけるネットの脅威と対策をおさらい

新型コロナウイルスによって日常が一変した2020年。インターネットサービス利用者や特別定額給付金の申請者を狙うネット詐欺、メールやSMSを起点とした不特定多数への攻撃などが横行しました。また、事業者からの情報漏えい被害も多数報告されています。いま、私たちが知っておくべきネットの脅威と対策を紹介します。

ネット詐欺や在宅時間増加をめぐるネットの脅威への対策を

2020年はコロナ禍で増加したインターネットサービス利用者を狙ったネット詐欺が横行しました。ネット詐欺は、ネット利用者を不正サイトへ誘導し、情報や金銭をだまし取ることなどを目的とする詐欺行為の総称です。

ネット詐欺はこれまでも、多くの人が関心を寄せる話題や出来事の悪用を常とう手段としており、新型コロナウイルスの話題に便乗したさまざまな手口が発生しました。たとえば、マスクの入手が困難だった時期にはマスクを入手できると称した偽のメッセージやWebサイトが横行。また、感染対策の通知を装った偽メールからマルウェア(ウイルスなど不正なプログラムの総称)に感染させようとする手口や、4月の特別定額給付金の給付確定時には詐欺サイトへ誘導する偽メールも出現しました。10月には、「二回目特別定額給付金の特設サイトを開設しました。」を件名とするメールを介して、申請ページに見せかけたフィッシングサイトへ誘導する事案も確認されています。話題性の高いトピックを口実とするネット詐欺には今後も注意してください。

外出自粛に伴う巣ごもり需要やオンラインでのコミュニケーションが増加する中、実在するオンラインサービスを装うフィッシングサイトや詐欺を目的とする偽サイトが乱立しました。たとえば、利用者が急増したビデオ会議ツールを装ったフィッシングサイトやサービスの隙を突く攻撃だけでなく、大手ショッピングサイトを装った注文確認メールや発送通知、偽のセキュリティアラートを送りつけ、URLリンクを開いてしまった受信者をフィッシングサイトへ誘導する事案も確認、報告されています。また、偽のネット広告などから偽サイトに誘導する手口にも注意が必要です。検索結果やSNS上でも表示される可能性がある偽広告は、ネット利用者であればだれもが遭遇するかもしれない脅威の1つです。万一、偽サイトを利用してしまった場合、代金を支払っても商品が届かなかったり、模造品や粗悪品を送りつけられたりするかもしれません。さらに、決済時に入力した個人情報やクレジットカード情報を盗まれ、悪用されたりネット上で売買されたりする危険性もあります。正規のログインページを模した偽サイトの場合、入力してしまった認証情報(IDやパスワード)を奪われ、不正ログインの被害に遭う可能性もあるのです。

昨年に続き、不正送金の被害も相次ぎました。中には、オンラインサービスに登録していない利用者が被害に遭うケースもあり、事業者には対策の強化が求められています。不正送金被害に遭うきっかけの1つは、正規のログインページを模したフィッシングサイト上でIDとパスワードだけでなく、二要素認証情報も入力してしまったことです。各種サービスのアカウントの不正利用を防ぐため、メールやSMSのURLリンクを不用意に開かないことに加え、口座やクレジットカードの履歴を定期的に確認する習慣も大切です。ネット口座振替を利用する予定がない場合はあらかじめ停止手続きを行い、身に覚えのない利用履歴があった場合は速やかに金融機関や警察などに相談しましょう。

新型コロナウイルスの影響で働き方も大きく変化しています。企業によるテレワーク(リモートワーク、在宅勤務)の導入が一気に進み、職種によっては時間や場所にとらわれずに働けるようになりました。一方、セキュリティが十分に確保されたオフィスの外で就労することになるため、情報漏えいやマルウェア感染などのリスクは、職場と比較した場合一般的に高まります。テレワーク時は職場や取引先を危険にさらさないよう、必要なセキュリティ知識を身につけた上で適切な対策を行ってください。最優先事項は職場が定めるガイドラインやポリシーに従うことです。特に公共の場での作業、SNSやビデオ通話サービスなどのインターネットサービスと私用端末の業務利用、業務データの持ち出し、社内システムへのアクセス方法、ホームルータの保護、OSやソフトの更新、公衆Wi-Fiの利用などについての規定をしっかりと確認しておきましょう。また、家庭内であっても機密情報の保持や貸与端末の管理を怠ってはなりません。家族が貸与端末を誤って利用してしまうことがないよう、スクリーンロックなどの対策を必ず行ってください。

メールを起点とした不特定多数への攻撃が横行

メールを起点としてマルウェアに感染させたり、金銭を脅し取ったりする攻撃への警戒も緩めてはなりません。トレンドマイクロの調査では、脅威の約9割がメールを起点としていることがわかりました。たとえば、2019年後半頃から国内への攻撃が活発になったEMOTET(エモテット)と呼ばれるマルウェアもそのひとつです。実在する企業や組織、過去のやり取りの返信などを装うメールを送りつけ、受信者に添付ファイル、あるいは本文中のURLリンクからダウンロードさせたWordなどのOfficeファイルを開かせ、不正なマクロによってマルウェアに感染させる攻撃が2020年も継続して確認されました。中には一部のセキュリティソフトによる検知を避けるため、パスワード付きの圧縮ファイルを添付するパターンもあります。Officeファイルを開き、メッセージバーの「編集を有効にする」「コンテンツの有効化」ボタンをクリックしてしまった場合、不正なマクロが実行され、マルウェアに感染する危険性があります。EMOTET以外にもマクロ機能を悪用する事例が確認されているため、メールの添付ファイルを不用意に開かないこと、必要なとき以外はマクロを無効にすることを徹底してください。メールのあやしい添付ファイルを開いてしまったと感じたときの対処法も押さえておきましょう。

メールやメッセージサービスはセクストーション(性的脅迫)の手段にもなっています。この攻撃のターゲットは特定の個人だけではありません。不特定多数を狙う手口としては「パソコンを乗っ取ってプライベートな動画や写真を入手した、知人などにばらまかれたくなかったら暗号資産で要求額を支払うように」といった文面で受信者を脅し、金銭を要求するスパムメールが以前から確認されています。サイバー犯罪者は、送信元メールアドレス(From)を受信者自身のメールアドレスに偽装するなどの手法で脅迫内容を信じ込ませようとしますが、偽の脅迫なので騙されないようにしましょう。

個人情報漏えいに備える

氏名や生年月日、電話番号、メールアドレス、クレジットカード番号、銀行口座情報、各種インターネットサービスの認証情報といった個人に紐づく情報が漏えいする被害も複数報道されました。これは私たちにとって決して無視できない問題です。それらの情報がサイバー犯罪者の手に渡ってしまった場合、詐欺や金銭被害などにつながる恐れがあるためです。また、流出した個人情報は悪用されるだけでなく、ネット上で取引されたり、暴露されたりすることもあります。その結果、個人情報は複数のサイバー犯罪者の手に渡ってしまいます。

ネット利用時における情報漏えい経路の1つがフィッシングサイトです。サイバー犯罪者は実在するショッピングサイトや銀行、クレジットカード会社などの正規ログインページを装う偽サイトにネット利用者を誘導し、そこで入力させた情報を盗み取るのです。また、マルウェア感染も情報漏えいのきっかけになります。たとえば、マルウェアの一種であるスパイウェアに感染した場合、パソコン内の情報やキーボードから入力した情報を外部に送信されてしまいます。スマホに不正アプリをインストールしてしまった場合でも、端末内の情報を奪われる危険性があります。

個人情報の漏えいは、個々のネット利用者の不注意だけが原因で起こるわけではありません。サービス事業者の人為的ミスや内部不正、サイバー攻撃などに起因するものもあります。いま、事業者にとって深刻な脅威の1つとなっているのがランサムウェアによるサイバー攻撃です。ランサムウェアはもともとパソコンなどを操作不能にしたり、端末内のファイルを暗号化し、元に戻してほしければ身代金を払えと脅迫するマルウェアとして知られてきました。しかし最近では、「支払いに応じなければ窃取したデータをネット上に公開する」などと脅し、身代金を要求するだけに留まらず、奪った情報をネット上に暴露されてしまう被害が発生しています。トレンドマイクロのまとめによると、ランサムウェアによるサイバー攻撃を受けて情報の暴露被害に遭った国内企業は、2020年1月1日から2020年11月16日までに23社に上りました。自身の情報がネット上に流出してしまう要因はさまざまで、それはだれにでも起こり得るのです。

ネット利用者が最低限行うべき対策は、パソコンやスマホ、タブレット端末に入れたセキュリティソフトやアプリを常に最新の状態で利用することです。これにより、フィッシングサイトなどの不正サイトへのアクセスや、マルウェア感染などのリスクを軽減できます。脆弱性の悪用も深刻です。OSや各種ソフト、アプリのセキュリティ更新プログラムが提供された場合は速やかに適用させてください。また、認証情報やメールアドレス、クレジットカード番号、銀行口座番号などがネット上に流出した際に通知してくれるセキュリティツール(ダークウェブモニタリング)の利用も有効です。たとえば、クレジットカード情報の流出を察知できれば、カード会社への利用停止の届け出を能動的に行えます。認証情報やメールアドレス、銀行口座番号などがネット上に流出してしまった場合も、悪用を想定した対応や準備を自発的に整えることで被害を最小限にとどめられます。

自身や家族を守るためにも、出来ることから対策を整えましょう。

]]>
http://rss.is702.jp/main/rss/3782_l.jpg
【注意喚起】偽のクリスマスプレゼントキャンペーン、LINEなどでのメッセージ拡散に注意 複数のブランドに偽装した偽のクリスマスプレゼントキャンペーンが発生しています。LINEなどのメッセージアプリで不正メッセージの拡散を促しているため、知人などから届いた場合でも同様のメッセージに注意してください。 2020-12-23T00:00:00+09:00
■共有される偽キャンペーンへのメッセージ例*
 <不正なURL>
アマゾンのクリスマス…
この簡単なアンケートに回答して、500ドルのAmazo…

*SNS上の複数の投稿をもとに構成


図:偽のクリスマスプレゼントキャンペーンサイトの一例

図:偽のクリスマスプレゼントキャンペーンサイトの一例


今回の手口ではAmazonの他にも、世界展開しているファストフード店やコーヒーチェーン店など、複数の著名なブランドを装ってクリスマスプレゼントを獲得できるかのように偽のアンケートページに誘導します。誘導先では、簡単なアンケートの後に偽の当選ページを表示し、プレゼントの受け取りに必要だと称してメッセージアプリ上で偽キャンペーンの共有を促します。


図:ファストフード店やコーヒーチェーン店に偽装した偽キャンペーンサイト例

図:ファストフード店やコーヒーチェーン店に偽装した偽キャンペーンサイト例




図:キャンペーンの共有を促す偽の当選画面

図:キャンペーンの共有を促す偽の当選画面


続けて、iPhoneを100円で購入できるかのように思わせる詐欺サイトが表示されます。この詐欺サイトでは、氏名や住所など個人情報の入力を求められます。入力項目の下部には定期購入の許諾を求めるチェックボックスがあり、そのまま登録を進めてしまった場合サブスクリプション契約を申し込んでしまう恐れがあります。


図:特価でのスマホ購入を装う詐欺サイト例

図:特価でのスマホ購入を装う詐欺サイト例


SNSやメッセージアプリなどで知人を介して共有された情報は、警戒されにくく騙されてしまう可能性が高まります。たとえ知人や家族からのメッセージであっても、リンクを不用意に開かないことが重要です。年末年始は、例年ネット詐欺が他の時期に比べて増加傾向にあります。一見正規のキャンペーンやセールに見えても、不正なものである可能性がるため注意しましょう。

今回と同様の手口は過去にも確認しています。本件に限らず情報を共有する際は、事前に真偽を確認する習慣を身につけましょう。

関連記事【注意喚起】LINEに届くアディダスを装う偽のプレゼントキャンペーンに注意

■対策

メッセージアプリなどで共有されたURLはそのまま開かず、URLの安全性判定サービスなどを使ってリスクを確認してからアクセスすると良いでしょう。また、公式サイトや公式アカウントから情報の真偽を確認することも大切です。
URL安全性判定サービスの一例として、LINE上で無償利用できる「ウイルスバスター チェック!」があります。友達追加してLINEグループに招待すると、リスクのあるURLを含むメッセージを自動で検知し、グループメンバーにも危険を知らせることが出来ます。また、1:1のトークで個別に確認することもできるので、LINE以外のサービスで共有されたURLでも安全性を判定することができます。
このようなサービスを使って、自身や周りの人々がネット詐欺に巻き込まれてしまうリスクを回避しましょう。
また、ネット上のさまざまな脅威から保護するには、セキュリティソフトやアプリの利用も欠かせません。パソコン、スマホ、タブレット端末にはそれらを予めインストールし、最新の状態に保って利用してください。


]]>
https://is702.jp/main/images/news/S201222_01.jpg
企業経営者や経営層に向け、サイバーセキュリティの取り組み強化を呼びかけ|経産省 経済産業省は12月18日、企業経営者を対象に、サイバーセキュリティの取り組みを強化するよう、注意を呼びかけました。最近の攻撃の特徴、目的を解説し、注意すべき点を整理した資料を公表しています。 2020-12-22T00:00:00+09:00
コロナ禍の広がりにともなって、中小企業を含む取引先や、企業の海外拠点、あるいはテレワークにともない性急に構築された環境を狙う攻撃が今年は急増しています。経産省ではこうした状況を踏まえ「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」と題する文書を公開しました。

この文書では、まず2020年3月以降、インシデントの相談件数が増加していること、メールを起点に感染を広げるマルウェア「EMOTET(エモテット)」による被害の相談が急増していることを説明しています。EMOTETの事例では、セキュリティが不十分であった中小企業が感染し攻撃の足掛かりとされ、取引先への攻撃に利用され感染を広げるといったケースが多く発生したとしています。
また、VPN(バーチャルプライベートネットワーク)の脆弱性を突いた攻撃や、新たなランサムウェア手口として、「二重の脅迫」を行うランサムウェアが紹介されています。この手口では、侵入した組織のデータを暗号化する前に窃取し、データやシステムの復旧に加え、窃取したデータの公開を行わないことに対しても見返りとして金銭を要求します。つまり、窃取された情報によって影響範囲が大きく変わるため、被害組織にとって困難な判断が求められる手口です。このように、企業を取り巻く昨今のサイバー攻撃は、セキュリティ担当部門の判断だけでは対処できない課題となっています。対策・被害発生時には、関係者や取引先との調整、顧客への説明、事業継続の判断など、経営者や経営層によるリーダーシップが欠かせません。

目下、企業規模や業種の別なくサイバー脅威にさらされています。経営者や経営層は、対策や対処を現場に任せるだけでなく、セキュリティの脅威は経営課題の1つであると改めて認識し、事前対策から事後対応までリーダーシップを発揮することが求められています。資料を参考に自社の状況確認を行うと良いでしょう。


サイバー攻撃に関する相談窓口の最近の状況(経産省の発表資料より)

サイバー攻撃に関する相談窓口の最近の状況(経産省の発表資料より)

]]>
https://is702.jp/main/images/news/S201221.png
ネット詐欺やマルウェア感染に注意、年末年始を迎える前に改めて対策チェックを 独立行政法人情報処理推進機構(IPA)は12月17日、年末年始の長期休暇に向け、情報セキュリティに関する注意を改めて呼びかけました。 2020-12-21T00:00:00+09:00
長期休暇中は、不正メールやネット詐欺などサイバー攻撃が増加しがちな時期です。一方で、管理者や自身が不在であるなど、いつもとは違う状況になります。そのため、セキュリティ被害やインシデントが発生しても、対処が遅れたり気づかなかったりし、被害が拡大してしまう可能性が高まります。さらに個人の行動においても、今年は新型コロナウイルスによる外出自粛で、自宅でのネット利用時間や機会が増えています。マルウェア(ウイルスなど不正なプログラムの総称)感染やネット詐欺への対策を改めて確認しておきましょう。

組織における長期休暇時の基本的なセキュリティ対策では、対応体制や関係者への連絡方法を事前調整するといった「長期休暇前の備え」、不審なアクセスや侵入の痕跡がないかチェックするといった「長期休暇後の確認」が重要です。また家庭においては、「長期休暇中の対策」が主に挙げられています。以下にそれらの概要を紹介します。

【組織における長期休暇前の備え】
・管理者は緊急時の連絡体制を確認しておく。
・長期休暇中に使用しない機器の電源をOFFにする。
・利用者は機器やデータの持ち出し、社内ネットワークへの接続など、組織のルールを確認、遵守する。

【組織における長期休暇後の確認】
・休暇期間中の修正プログラムの有無を確認し、組織の指示に従って適用させる。
・セキュリティソフトを最新の状態にしてから業務を開始する。
・休暇中に持ち出していたデータや機器は利用開始前にウイルスチェックする。
・休暇中のメールが溜まっていても、リンク先URLや添付ファイルに注意し、不用意に開かないようにする。
・管理者は休暇中のサーバやシステムに、不審なアクセス履歴がないか確認する。

【家庭における長期休暇中の対策】
・SNSへの投稿内容や公開範囲、やりとりに注意する。
・偽のセキュリティ警告に注意する。
・メールやSMS(ショートメッセージサービス)、SNSでの不審なファイルやURLに注意する。

対策の詳細はIPAの公式サイトで解説されています。

また、具体的な例として最近多く寄せられる相談事例「宅配業者を装った偽ショートメッセージ」「身に覚えの無いZIP圧縮ファイル付きメールの受信」の2件が紹介されています。

宅配業者を装った偽のSMSは、宅配便の不在通知に見せかけた内容で不正アプリの配布やフィッシング詐欺を行う不正サイトに誘導します。メッセージ内にあるリンクを不用意に開かないようにしてください。万一リンクを開いてしまっても、情報入力やアプリのインストールを行わないでください。
年末年始は荷物の受取が多くなる時期でもあります。同様の手口に騙されないようにしましょう。

一方ZIP圧縮ファイル付き不正メールの手口では、「EMOTET(エモテット)」などのマルウェアを拡散させるものが流行しています。たとえ知人からや、心当たりのあるようなメールであっても、添付ファイルやリンク先からファイルをダウンロードさせようとするメールには注意を払ってください。返信メールや実際の文面を悪用している場合もあります。万一文書を開いてしまっても、マルウェアに感染させようとするマクロを有効にする「編集を有効にする」「コンテンツの有効化」といった指示のボタンを押さないようにしてください。

こうした対策は、長期休暇に限らず日常的なセキュリティとしても有効です。日頃から意識するようにしましょう。
]]>
https://is702.jp/main/images/news/img_news41.jpg
若者を狙う「SNSきっかけの悪質商法」事例を紹介|東京都 東京都は12月16日、消費生活総合サイト「東京くらしWEB」において、「SNSがきっかけに!悪質商法に気をつけろ!!」と題するページを公開し、改めて注意を呼びかけました。 2020-12-17T00:00:00+09:00
若者を狙った近年の悪質商法や詐欺では、フォロー/フォロワーの関係がきっかけになったり、不正な広告が表示されたり、メッセージが悪用されたりと、「SNS」がなんらかの形で利用されています。今回公開された「SNSがきっかけに!悪質商法に気をつけろ!!」のページは、そうした事例をマンガ形式でわかりやすく紹介する内容となっています。

紹介されているのは「マルチ商法・マルチまがい商法」「アポイントメントセールス」「架空請求・不当請求」「ネット広告などをきっかけとしたトラブル」の4つの事例で、被害内容や類似手口、見抜くための注意点などが解説されています。

このようなトラブルや詐欺などに巻き込まれてしまった場合は、最寄りの消費生活センターもしくは消費者ホットラインに連絡しましょう。また東京都では、毎年1月~3月を「若者向け悪質商法被害防止キャンペーン月間」とし、関東甲信越ブロック1都9県6政令指定都市と国民生活センターと共同で、キャンペーンを実施しています。主な事業としてはポスター・リーフレットの配布、交通広告、SNSでの動画配信、相談の受け付けなどを行っており、2021年3月8日・9日には特別相談「若者のトラブル110番」の来所・電話受け付けも行う予定とのことです。
]]>
https://is702.jp/main/images/news/img_news33.jpg
オンライン帰省におけるセキュリティの注意点とは? 軽井は、はじめてのオンライン帰省を楽しんでいるようです 2020-12-17T00:00:00+09:00
ひろしとアカリのセキュリティ事情

オンライン帰省におけるセキュリティの注意点とは?

2020/12/17

オンライン帰省を安全に楽しむために

人混みや長距離移動を避けるため、年末年始の「オンライン帰省」を考えている方も多いのではないでしょうか。オンライン帰省は、ZoomやMicrosoft Teams、Google Meetなどのビデオ通話サービスを利用して遠く離れた親や親戚、友人と連絡を取り合うことです。ただ、利用に際してはセキュリティの観点でいくつか注意すべきことがあります。

まず、セキュリティとプライバシーを考慮して設計されたビデオ通話サービスを利用することが重要です。サービス事業者が規定するセキュリティポリシーにも必ず目を通してください。ビデオ通話サービスのアプリ版を入手する際はサービス事業者の公式サイトか、Google PlayやApp Store、通信事業者などが運営する公式のアプリストアを利用しましょう。

パソコンやスマホ、タブレット端末のOSだけでなく、ビデオ通話アプリの脆弱性対策も不可欠です。脆弱性はプログラムの設計ミスなどが原因で生じるセキュリティ上の欠陥で、マルウェア感染や不正アクセスの要因となる不具合を指します。OSやアプリの開発元から脆弱性を修正する更新プログラムが提供された場合、速やかに適用しましょう。セキュリティソフトを常に最新の状態で利用することも忘れないでください。

ルータの保護も欠かせません。ルータのセキュリティを破られると、そこに接続するすべての機器に通信傍受や不正操作などの危険が及ぶためです。ルータを安全に利用するために最低限、「ルータの管理画面に入るためのIDとパスワードの初期設定値を変更する」「ファームウェアの自動更新を有効にする」「暗号化方式にWEPではなく、WPA2かWPA3を指定し、なるべく複雑で長いパスワードを設定する」の3つの対策を行ってください。

これらのポイントを押さえ、オンライン帰省を安全に楽しみましょう。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3777_l.jpg
【注意喚起】NPO法人を装う偽の寄付金支援サイトに注意 実在するNPO法人を装ったフィッシングサイトを確認しています。本年度の寄付金控除対象の締め切り間際の時期を狙った同様の手口に注意しましょう。 2020-12-15T00:00:00+09:00
納税者は、ふるさと納税や特定公益法人などへの特定寄付金に対し、所得控除を受けることが出来ます。本年度の控除対象は年末までの寄付が対象となる為、この時期駆け込みでの利用者が多くなる傾向にあります。ふるさと納税の偽サイトも過去に見つかっていますが、今回報告されている実在する認定NPO法人を騙った例では、偽のメールからフィッシングサイトに誘導している手口でした。同法人でのクレジットカードによる寄付の締め切りが12月15日決済分までということもあり、年内に寄付を行おうとする納税者を狙ったものと考えられます。


図:認定NPO法人のサイトを模倣したフィッシングサイトの一部、税金控除を誇張している

図:認定NPO法人のサイトを模倣したフィッシングサイトの一部、税金控除を誇張している


偽の寄付フォームでは、寄付額の入力のほか、個人情報とクレジットカード情報の入力を求めます。フィッシングサイトは、利用者を騙すために必要なページ以外は正規サイトのリンクを残している場合があり、このフィッシングサイトもページ内にある問合わせフォームや定款、アニュアルレポートのリンクは公式サイトにリンクしていました。


図:フィッシングサイトの寄付フォーム、正規サイトでは銀行振込なども選択できるがクレジットカードによる寄付のみとなっていた

図:フィッシングサイトの寄付フォーム、正規サイトでは銀行振込なども選択できるがクレジットカードによる寄付のみとなっていた


■対策
年末に寄付を予定している利用者は、このような偽サイトに騙されないよう注意してください。フィッシングサイトは正規サイトの画像や情報をコピーして作られることも多く、見た目だけでは真偽の判断が困難なほど巧妙に作られています。情報やパスワードを入力する前に必ず公式サイトかどうかURLを再確認すると共に、URLの安全性確認サービスなどを利用すると良いでしょう。
また、メールやSMS、ネット広告(Webサイト上やアプリ内、検索結果などに表示される広告)のリンクをむやみに開かないことです。不正サイトに誘導されてしまう危険性があります。普段から利用しているサイトであればブックマークや公式アプリから、新しく利用するサイトの場合は一旦検索エンジンを使って公式サイトや注意喚起情報を確認すると良いでしょう。

無償で利用できるURL安全性判定サービスの一例

・ウイルスバスター チェック!
LINEの友だちに「ウイルスバスター チェック!」(@trendmicro_vbcheck)のアカウントを追加することで、トーク画面から利用できる無償のセキュリティサービスです。
・Site Safety Center
URLを入力して確認をクリックするだけで安全性を4段階で判定することができます。

万一、フィッシングサイトで寄付を行ってしまった場合は警察に相談すると共に、入力したクレジットカードの事業者に利用停止を届け出ましょう。
警察庁 サイバー犯罪相談窓口]]>
https://is702.jp/main/images/news/S201215_01.jpg
学習資料、いま気をつけたいネットの脅威とその対策 2020年12月版公開 一般のネット利用者向け学習資料「いま気をつけたいネットの脅威とその対策 2020年12月版」を公開開始しました。 2020-12-15T00:00:00+09:00
普段ネットを利用される方に知っておいて頂きたい最新のネット脅威動向、2020年12月版です。
今気をつけたい脅威とその対策を学習資料で押さえておきましょう。
(本学習資料は主に2020年10月末までの情報をまとめたものです)

PDF資料は、is702 学習資料ダウンロードページより無料でダウンロードをして頂けます。


]]>
https://is702.jp/main/images/news/S201214.JPG
消費者庁が人気ゲーム機などの偽通販サイトを名指しで公表、同様の悪質なサイトに注意を 消費者庁は12月10日、人気の家庭用テレビゲーム機などを販売しているかのように装う偽の通信販売サイトについて、注意を呼びかけました。 2020-12-14T00:00:00+09:00
それによると、2020年の夏ごろより「通信販売サイトで、人気の家庭用テレビゲーム機やゲームソフトを購入したが、商品が届かない」という相談が、消費生活センターなどに多数寄せられており、今回、公表に踏み切ったとしています。

この通信販売サイトは、人気の家庭用テレビゲーム機、パソコン、スマホ、カメラ、家電製品などを通信販売しているかのように装っています。日本語も自然で、一見しただけでは詐欺と気付きません。検索サイトで「ゲーム機名 安い」「ゲーム機名 ストア名」などと検索すると、これらのサイトへのリンクが、広告として表示されます。サイトで注文を行うと、振込の指示や発送の連絡といったメールが届きますが、最終的に商品は届かず、サイトは半月程度で消滅して代金も戻ってこなかったとのことです。

事業者は、通販サイトを開設しては半月程度で閉鎖し、屋号だけ変えて似た構成のサイトをまた開設する、ということを繰り返していました。こうして複数の相手から金銭を詐取していると考えられます。消費者庁は、「OTOKU」「TAKUMI」「FIRST」「PLUS」など、使用されていた8つの屋号、URL、公開されていた時期について、リストを公表しています。各偽サイトのURLは「○○store.jp」の「○○」の部分のみが変更されているなど、規則性が見られます。最新のサイトは本記事執筆時点(2020年12月11日)も公開されており、また今後同様のサイトが作られる可能性もあるため引続き注意が必要です。

こうしたオンラインショッピング詐欺では、平均的な販売価格より割安な販売価格を表示して、消費者の興味を惹くのが一般的な手口でしたが、今回の事例では、人気で品薄が続いている家庭用テレビゲーム機だったため、メーカー希望小売価格より高い価格であるにもかかわらず、注文してしまったという事例が含まれていました。

通信販売サイトで商品を購入する際は、価格にかかわらず慎重に検討してください。消費者庁では、代金を前払いで個人名義の口座に振り込ませようとするようなサイトは特に注意が必要だとし、このような不審な取引に遭遇した場合は代金を支払う前に消費生活センターや警察の相談窓口に連絡することを推奨しています。
]]>
https://is702.jp/main/images/news/img_news41.jpg
12月のセキュリティ更新プログラムが公開、深刻度「緊急」の脆弱性あり 速やかな適用を|マイクロソフト マイクロソフトは12月9日(日本時間)、月例のセキュリティ更新プログラムを公開しました。独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)も注意を呼びかけています。 2020-12-11T00:00:00+09:00
対象となるソフトウェアは、「Microsoft Windows」「Microsoft Edge (EdgeHTML-based)」「ChakraCore」「Microsoft Office、Microsoft Office Servers および Web Apps」「Microsoft Windows Codecs Library」「Microsoft Exchange Server」「Azure DevOps」「Microsoft Dynamics」「Visual Studio」「Azure SDK」「Azure Sphere」で、深刻度「緊急」への対応を含む脆弱性が公開されています。

脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、リモートからの攻撃によって任意のコードを実行されたりする可能性があります。

各製品のユーザは、Windows Updateなどを用いてシステムの更新を至急行ってください。自動更新を設定している場合も、念のため更新が適用されているか確認するのが望ましいでしょう。
]]>
https://is702.jp/main/images/news/img_news29.jpg
ソフトウェア開発会社向けにランサムウェア対策のガイドラインを発表|CSAJ 一般社団法人コンピュータソフトウェア協会(CSAJ)は12月8日、ソフトウェア開発企業の経営者、システム管理者、開発担当者を対象に、ランサムウェアへの注意を改めて呼びかけるとともに、具体的な対策手法のガイドラインを発表しました。 2020-12-10T00:00:00+09:00
ソフトウェア開発企業がランサムウェアの被害に遭った場合、自社はもちろん、顧客企業やサプライチェーン全体にも多大な影響を及ぼします。またソフトウェア開発環境は、管理者モードで利用されていることが多く、最初から強力なツール(コマンドラインインターフェイスやPowerShellなど)が用意されています。そのため、万が一ランサムウェアの攻撃者に侵入されると、攻撃者がこうした強力なツールを悪用し、被害がより拡大するといったケースが考えられます。

今回CSAJは、被害を最小限に抑えることを目指し、以下の10ヶ条からなる対策手法を策定、一般業務環境と開発環境を分離するなど、ソフトウェア開発会社に最適化したガイドラインを提案しています。

(1)開発端末での電子メール閲覧の禁止
(2)一般業務と開発業務の端末・ネットワークの分離と脆弱性管理
(3)開発業務でのコミュニケーションにはビジネスチャットを利用
(4)Officeマクロ(VBA)、PowerShellスクリプトへの電子署名とポリシーの適用
(5)ソースコード、重要データのバックアップと分離
(6)ローカルAdministratorのパスワードはすべてユニークに設定
(7)一般業務での管理者権限の利用禁止
(8)アンチウイルスソフトのクイックスキャン、完全スキャンの定期実行と脆弱性修正プログラムの適用訂正の整備
(9)ユーザ教育・社内啓発
(10)管理端末のネットワーク分離

また、10ヶ条それぞれについて「対策を実施した場合の業務への影響やコスト」「リスクを受容する場合の理由、補助的な対策」「設定予定日・完了日」「経営者の承認」を確認できるチェックシートも公開しています。対象の事業者はガイドラインを活用して、自社の対策に不備や不足が無いか見直しを行うと良いでしょう。
]]>
https://is702.jp/main/images/news/img_news42.jpg
ネット詐欺の被害に遭わないためのセキュリティ手引き 私たちはネット詐欺に遭うリスクと常に隣り合わせにあります。年末年始はネット詐欺が活発になるため、普段以上に気を引き締めて行動しなければなりません。4つのネット詐欺対策を実践しましょう。 2020-12-10T00:00:00+09:00
年末年始は例年ネット詐欺が活発に

ネット詐欺の被害に遭わないためのセキュリティ手引き

2020/12/10
年末年始は例年ネット詐欺が活発に ネット詐欺の被害に遭わないためのセキュリティ手引き

ネット詐欺は決して他人事ではありません。これはネット利用者を不正サイトへ誘導し、情報や金銭をだまし取ったり、マルウェア(ウイルスなど不正なプログラムの総称)に感染させたりすることなどを目的とするネット上の詐欺行為全般を指します。これから年末年始にかけてはネット詐欺が活発になりやすい時期です。特に今年は新型コロナウイルスの影響もあり、ネットの利用頻度が増加した利用者も少なくありません。被害に遭わないよう4つの対策を行いましょう。

多くの人の関心事や旬な話題に便乗

ネット詐欺は、多くの人の関心事や旬な話題に便乗します。今年は新型コロナウイルスによって人との接触や移動の制限もあり、オンライン会議ツールなどこれまでは特定の用途や利用者が利用していたツールや、さまざまなオンラインサービスが広く浸透しました。すると、それに便乗したネット詐欺が複数発生し、フィッシングサイトがこれまでにないほど急増しました。

図:国内からアクセスの発生したフィッシングサイト数推移

最近の事例では、「新型コロナウイルス感染症緊急経済対策にかかる特別定額給付金の申請手続き」を名目とするスパムメールがあります。4月に定額給付金の給付が確定した際にも同様の手口が見つかっており、サイバー犯罪者はその後も攻撃の機会をうかがっていたと考えられます。
今回の手口は、「二回目特別定額給付金の特設サイトを開設しました。」などを件名とするメールを不特定多数にばらまき、受信者を偽の給付金オンライン申請サイトに誘導するものでした。誘導先である偽申請サイト上の「よくある質問」や「関連サイト」のリンクは正規サイトにつながっており、利用者が本物のサイトと錯覚してしまう作りになっていました。だまされて「オンライン申請」に進んでしまうと偽の情報入力ページが現れ、その先のページでも運転免許証などの本人確認書類をアップロードするよう求められます。もし一連の要求に応じてしまった場合、それらすべての情報がサイバー犯罪者の手に渡ってしまいます。

開催延期となった東京オリンピックに便乗したネット詐欺も発生しています。実際に確認されたのは、五輪組織の関係者をかたって寄付金を募る不審なメールです。トレンドマイクロによると、このメールは「巨額の損害賠償を負担せざるを得ない」「もし賠償できなければ、東京オリンピックはキャンセルされる」といった文面で、開催延期に伴う損害賠償費用の支援を求める内容でした。さらに、寄付の対価として東京オリンピックのチケットを割引価格で入手できるとうたっていました。東京オリンピックを口実に金銭や情報をだまし取るネット詐欺には今後も注意が必要です。

年末年始に気をつけたい手口とは?

年末年始にかけては、ギフトや料理などをオンラインで注文する方も多いのではないでしょうか。その際、実在するショッピングサイトを装う偽サイトに注意してください。偽サイトへの誘導手段として悪用されているのがメールやネット広告です。大手ショッピングサイトをかたる注文確認メールや、正規の商品画像とともに大幅な値引き価格を表示するネット広告を不用意に開かないよう注意してください。また、年末はふるさと納税の駆け込み利用者を狙った手口にも警戒が必要です。誤って偽サイトを利用してしまった場合、偽物や粗悪品を送りつけられたり、決済時に入力したクレジットカード情報や個人情報などを詐取、悪用されたりする危険性があります。

実在する配送業者をかたるメールやSMS(携帯電話番号宛に届くショートメッセージサービス)への警戒も怠ってはなりません。サイバー犯罪者は多くの配送物が流通する買い物シーズンを狙って「不在の為お荷物を持ち帰りました」、「配送状況をこちらにてご確認ください」といった文言とURLを含む偽のメッセージをばらまき、受信者を不正サイトへ誘導しようとするためです。特定の事業者を除き、主だった配送事業者はSMSで不在通知を送ることはありません。このような通知は偽物の可能性があると認識しておきましょう。

SNS利用者も狙われている

SNS利用者を標的とするネット詐欺も勢いを増しています。実際、Facebookでは「プロフィールの訪問履歴確認」という投稿や、動画のリンクを装ったメッセージからFacebookの公式ログインページを模したフィッシングサイトや不正サイトへ誘導する事案が確認されています。もし、そこでIDとパスワードなどを入力してしまった場合、サイバー犯罪者にFacebookアカウントを乗っ取られ、公開していない情報を盗み見られたり、なりすましによって不正なメッセージを投稿されたりする可能性があります。

この攻撃のやっかいなところは、サイバー犯罪者が何らかの方法で乗っ取ったFacebookアカウントを使って本来のアカウント利用者になりすまし、その「友達」に対してメッセージ送信や投稿を行うことです。しかも、投稿にアカウント上の複数の「友達」をタグ付けすることで投稿の拡散力を高めます。友人やフォロワーは本人の投稿と思い込んで安心してしまい、不正なURLリンクを開いてしまいがちです。

4つのネット詐欺対策を実践しよう

1.ネット詐欺の手口と事例を知る

ネット詐欺の被害を防ぐため、セキュリティ知識を更新し続けましょう。普段からセキュリティ関連団体や企業などが発表する注意喚起情報に目を通し、ネット詐欺の最新の手口と事例を知ればだまされにくくなります。注意喚起などが共有されているSNS公式アカウントをフォローしておくと情報を入手しやすくなります。

2.メールやSMS、SNSのURLリンク、ネット広告を安易に開かない

実在する企業や組織、友人が差出人でも、何らかの理由をつけてURLリンクを開かせようとするメッセージは、あなたから情報や金銭をだまし取るためにサイバー犯罪者が送りつけてきたものかもしれません。また、検索結果に表示される広告の中にも、偽サイトに誘導する広告が紛れ込んでいる場合があります。その企業のホームページに掲載される注意喚起情報をチェックしたり、友人に電話や他のチャットなどで直接連絡したりして事実確認を行いましょう。なお、総務省や行政機関から特別定額給付金申請についての案内が直接メールで届くことはありません。一見怪しくないメッセージが届いた場合でも、金銭や情報の入力を求める内容には十分注意してください。万一被害に遭ってしまった場合は、速やかに警察に相談するとともに、クレジットカードやアカウントを悪用されないよう、各事業者に届け出ましょう。

3.ネットでの情報入力やアプリ連携は慎重に行う

SNSやショッピングサイトなどのアカウントへのログインは必ずブックマークに登録した正規サイトや、公式アプリから行いましょう。ネット上で何らかの情報入力を求められた際は必ず一度立ち止まり、正規サイトかどうか改めて確認しましょう。ただし、正規サイトが不正に書き換えられている場合もあるため、セキュリティソフトを最新の状態で利用し、不正な書き換えによるリスクを下げておくことも大切です。
アプリ連携を促された場合も不用意に許可せず、そのアプリに与えられる権限を確認しましょう。もし、不正アプリとの連携を許可してしまうと、アプリの開発元にアカウントを乗っ取られてしまうかもしれません。

4.セキュリティソフトを最新の状態で利用する

ネット詐欺の手口は日々進化しているため、自力での対策には限界があります。セキュリティソフトを常に最新の状態で利用し、不正サイトにアクセスしたり、マルウェアに感染したりするリスクを減らしましょう。パソコンだけでなく、スマホでもセキュリティアプリを利用してください。
また、機器やソフト、アプリの脆弱性を悪用されないためにも、OSやソフト、アプリの開発元からセキュリティに関する更新プログラムが提供された場合は速やかに適用しましょう。

メールなどの怪しいURLリンクや不審な添付ファイルを開いてしまったときの対処法も押さえておきましょう。

]]>
http://rss.is702.jp/main/rss/3773_l.jpg
Fortinet製 VPN装置に重大な脆弱性、情報流出の危険性も|NISC 内閣サイバーセキュリティセンター(NISC)は12月3日、重要インフラ事業者に対し、Fortinet製品が抱える脆弱性について、あらためて注意を呼びかけました。 2020-12-08T00:00:00+09:00
テレワークなどで安全にインターネット接続が利用できるように、企業や省庁では「VPN」(Virtual Private Network)と呼ばれる仕組みを用いています。一方、Fortinet製の「FortiOS」のVPN機能には、外部から当該機器内にある任意のファイルを読み取ることが可能な脆弱性「CVE-2018-13379」が存在していました。この脆弱性については2019年夏ごろより知られていましたが、今年に入って、この脆弱性の影響を受ける機器やURLのリストがインターネットで公開され、悪用の危険度が増しています。
内閣サイバーセキュリティセンターでは、公開情報をもとに情報収集・分析を行い、重要インフラ事業者218事業者などのVPN装置、4,954IPアドレスに対して、所管省庁より注意を呼びかけたとしています。

対象となる装置を利用している企業は、自社の状況を確認し、製品のアップデートなどを速やかに行うことが望ましいでしょう。]]>
https://is702.jp/main/images/news/img_news40.jpg
11月の月間フィッシング報告件数、ついに3万件を突破|フィッシング対策協議会 フィッシング対策協議会は12月3日、フィッシングに関する11月の集計結果を発表しました。それによると、同協議会に寄せられたフィッシング報告件数は、10月の28,727件より2,240件増加し30,967件となりました。1月には6,653だった報告件数が、ほぼ1年で5倍近くにまで急増したこととなります。コロナ禍の世相に合わせるように急拡大しており、引き続き注意が必要です。 2020-12-04T00:00:00+09:00
全体の傾向としては、Amazonを騙るフィッシングメールが多く、全体の62.3%を占め、次いで三井住友カード、楽天、MyJCB、アプラス(新生銀行カード)が続き、これら上位5ブランドで報告数全体の約90.1%を占めています。また、国税庁など、新しいブランドをかたるフィッシングも増えました。

発信元情報をなりすましたSMS(ショートメッセージ)は、宅配業者の不在通知を装ったものが引き続き大量配信されています。一方、新たに「楽天市場」の発送通知を装った文面が報告され、その他では検索サイトの検索結果に表示される広告やSNSの広告から、フィッシングサイト(または偽ECサイト)に誘導されるケースが、少数ながら報告されました。フィッシングサイトのURLについては、先月に引き続きIPアドレスを直接使用したURLが多くみられ、こうしたURLではブラウザでセキュリティ警告の反映に時間がかかるケースがあるため、注意が必要だとしています。

■対策
フィッシングサイトへの主な誘導手段となっているフィッシングメールには、メールのフィルタリング機能やセキュリティソフト、アプリによる対策が有効です。誤って誘導先にアクセスしてしまわないためにも、不正なメールやメッセージの受信を防ぐことが大切です。もし不審なメールを受け取った場合は、各サービス事業者の問い合わせ窓口、またはフィッシング対策協議会に連絡してください。
SNS広告を悪用した手口に対しては、広告からではなく認証済みの公式アカウントや正規サイトを検索し、そこから商品やサービスの情報を確認するなどして、安易に広告をタップしないようにしてください。また、ログインを促すようなメールやSMSを受信した際は、公式アプリやブックマークした正規のURLからサービスへログインして確認しましょう。

メールなどで送られてきたURLが不正なものかどうかを確認する手段としては、無償で利用できるトレンドマイクロの「ウイルスバスター チェック!(@trendmicro_vbcheck)」も役立ちます。LINEの友達に追加することで、サイトにアクセスする前にトーク画面でURLの安全性を判定でき、フィッシングサイトなどの不正サイトへのアクセス回避につながります。また、昨今注目されている個人情報漏えい被害への対策として、自身のメールアドレスがネット上に流出しているかどうかを確認することも可能です。自身や家族のセキュリティ対策に役立てましょう。


フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)

フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)

]]>
https://is702.jp/main/images/news/img_news46.jpg
年末年始に気をつけたいネット詐欺とは? ママは、セール開催中のショッピングサイトを見つけたようです 2020-12-03T00:00:00+09:00
ひろしとアカリのセキュリティ事情

年末年始に気をつけたいネット詐欺とは?

2020/12/03

偽のショッピングサイトに要注意

セールや贈り物などで普段よりもまとまった買い物の機会が増える年末年始はネット詐欺が活発になりやすい時期です。普段以上に気を引き締めて行動しなければなりません。

これからのシーズンにおいて特に注意したいのは、実在するショッピングサイトを装う偽サイトと、年末に駆け込みで寄付しようとする利用者を狙った偽のふるさと納税サイトです。もし、これらの偽サイトを利用してしまった場合どうなるでしょうか。代金を支払っても商品が届かなかったり、模造品や粗悪品を送りつけられたりする可能性があります。また、そこで入力した個人情報や決済情報などを詐取され、ネット上で売買されたり、他の詐欺に悪用されたりする危険もあります。正規サイトを装う偽サイトでは入力した認証情報(ID、パスワードなど)を奪われ、正規サイトへの不正ログインを許してしまうかもしれません。

不正サイトへの主な誘導手段は、メールやSMS(ショートメッセージサービス)、SNSなどの投稿やダイレクトメッセージ、ネット上に表示される広告です。年末年始は配送サービスの利用が増えることから、実在する配送業者やECサイトをかたり「配送物をご確認ください」「商品発送状況はこちらにてご確認ください」などと通知する偽のSMS(ショートメッセージサービス)にはより一層警戒してください。

ネット詐欺に引っかからないためには、だましの手口と事例を知っておくことが大切です。消費者関連団体やセキュリティ事業者が公表する注意喚起情報を定期的に確認しましょう。実在する企業やサービスからのメッセージであっても、なりすましの可能性があるためURLリンクや添付ファイルを開かせようとするものは用心するに越したことはありません。通知内容の確認が必要な場合は、予めブックマーク済みの正規サイトや公式アプリから確認してください。

また、セキュリティソフトを最新の状態で利用することも忘れないでください。これにより偽サイトへ誘導されるリスクを軽減できます。トレンドマイクロは、LINEトーク画面上のURLの安全性をチェックできる無償サービスも提供しています。

万一のときに備えて対処法も覚えておきましょう。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3772_l.jpg
「税金関連のネット詐欺」を米国の最新事例から学ぶ 国内でも国税庁を騙る手口が発生 トレンドマイクロは11月12日、公式ブログで「米国の税金詐欺事例に学ぶ:金銭とデータの安全を保つには」と題する記事を公開しました。日本でもこれから年末調整や確定申告など、納税関連の手続きのシーズンを迎えますが、この記事では、納税に関連したサイバー犯罪・サイバー攻撃について、米国の事例をもとに考察しています。 2020-12-01T00:00:00+09:00
海外においては「Tax Scams」と呼ばれる税金関連の詐欺が、サイバー犯罪者の注目を集めています。サイバー犯罪者は、納税者をだまして資金を送金させること、銀行口座や社会保障番号(SSN)などの個人情報(PII)を入手することなどを目的としており、米国国税庁は、こういった攻撃が原因で「数千人が数百万ドルとその個人情報を失った」と主張しています。

税金関連の詐欺の手口で、もっとも一般的なのは、ソーシャルエンジニアリング手法(心理的な隙やミスに付け込む手法)により、納税者を騙してお金や個人情報を送信させるものでしょう。そのほかにも、以下のような多彩な手口を用いて、サイバー犯罪者は攻撃を仕掛けてきます。

・なりすまし
米国国税庁の代表者になりすまし、未払いの税金または罰金があると主張して、電信送金またはプリペイドのデビットカードを介した支払いや、個人情報・財務情報を要求する手口です。慈善団体で働いているふりをして、被災者の税金還付請求を支援する名目で個人情報を要求する手口もあります。

・偽装、フィッシング、マルウェア
米国国税庁や税務申告代行などから送信されたように見せかけ、マルウェアを添付した電子メールなどを送る手口です。メール文章やSNSメッセージ内のリンクから不正サイトに誘導するパターンもあります。いずれも個人情報を窃取されたり、ランサムウェアに感染させられたりする可能性があります。

・虚偽の確定申告
詐取した個人情報などを利用して、納税者本人に代わって確定申告を行い、還付金を横取りする手口です。本人が正当な納税申告書を提出するまで発覚しないため、問題解決に数か月以上かかる場合もあります。

・申告者を狙う攻撃
米国では、確定申告をサポートしてもらうために申告者の半数以上が税理士や公認会計士などの税務申告代行を利用しています。そのため、最近発見された事例において税務申告代行のWebサイトが侵害され、訪問者がページを読み込むと、即座にマルウェアがダウンロードされるようになっていたケースがありました。マルウェアが窃取した税務情報をもとに、被害者の名前で虚偽の確定申告を行うのが狙いとみられます。

こうした詐欺被害に遭わないために、以下の対策を講じることを記事では推奨しています。

・最新の総合的なセキュリティ対策ソフトをインストールしておく。
・国税庁や税務署から送信されたと称する一方的なメッセージに注意する。
・メールの送信元やリンク先が正当なものかどうかを確認し、安易にリンクや添付ファイルを開かない。
・不審なメールについては、該当組織や警察、フィッシング対策協議会、利用しているセキュリティ対策製品のセキュリティベンダーなどに通報する。
・Webサービスのログイン情報を保護する。可能な場合は「多要素認証」を有効にし、パスワード管理ツールを使用してログイン情報の推測や解読を難しくする。

国内においても、11月に国税庁を騙る偽の還付金通知メールから誘導するフィッシングサイトが報告されています。確定申告に便乗したネット詐欺に注意し、メールやSMSなどで通知された案内を安易に信用しないようにしましょう。

関連記事
国税庁をかたるフィッシング (2020/11/20)|フィッシング対策協議会

]]>
https://is702.jp/main/images/news/img_news39.jpg
偽の警告で脅し「遠隔操作」や「有償サポート契約」に誘導する詐欺に注意|IPA 独立行政法人情報処理推進機構(IPA)は11月25日、偽の警告画面を表示し、遠隔操作による有償サポート契約などに誘導する手口について、改めて注意を呼びかけました。 2020-11-26T00:00:00+09:00
IPAの「安心相談窓口だより」では今年6月にも、偽の警告画面でユーザを不安にさせることで電話をかけさせ、遠隔操作の許可を迫る手口について注意喚起を行っています。さらに最近は、「契約を断ったら、パソコンが再起動しなくなった」「パソコンがロックされて使えなくなった」など、より悪質な手口の相談を受けているとのことです。

第三者の言葉を鵜呑みにして遠隔操作を許可してしまうと、不審なソフトウェアをインストールされる、設定を変えられパソコンが操作できなくなる、パソコン内のデータが窃取・悪用される、といった可能性があります。また、許可を与えたということを口実に、有償サポート契約や有償ソフトウェア購入を強要される恐れもあります。

自分が利用しているセキュリティソフトからの警告ではない場合、偽物の警告である可能性が高いと考えられます。ただし、セキュリティソフトやOSからの通知に偽装している手口もあります。真偽の判断が難しい場合は画面をそのままの状態にして、IPAや利用しているセキュリティソフトの窓口に相談しましょう。


図:IPAに寄せられた偽警告(有償サポート契約へ誘導)に関する相談件数の推移(IPAの発表資料より)

図:IPAに寄せられた偽警告(有償サポート契約へ誘導)に関する相談件数の推移(IPAの発表資料より)



]]>
https://is702.jp/main/images/news/S201126.png
セキュリティの必要性を理解しよう 私たちをさまざまなネットの脅威から守ってくれるセキュリティソフトやアプリ。みなさんは、セキュリティソフトがマルウェアの検出・駆除のほかにどんな機能や役割を持っているか知っていますか。自らに合ったセキュリティソフトやアプリを利用することでネット上の脅威から身を守りましょう。 2020-11-26T00:00:00+09:00
年末年始はネット詐欺が活発に

セキュリティの必要性を理解しよう

2020/11/26
年末年始はネット詐欺が活発に セキュリティ対策の必要性を理解しよう

ネットの脅威が増え続ける中で対策の重要性はますます高まっています。対策にはSMSやメールに記載されているリンクを安易にクリックしないなど、みなさん自身でできるものがあります。しかし、それだけでは不十分。セキュリティソフトやアプリによる補助も必要です。みなさんは、そもそもセキュリティソフトやアプリがどんな働きをしているか知っていますか。その機能と役割を理解するとともに、自らの用途や目的に合ったものを利用することでネットを安心・安全に楽しみましょう。

急増するネット詐欺対策にもセキュリティソフトやアプリが有効

ネット詐欺が世間を騒がせています。これは、ネット利用者を不正サイトへ誘導し、情報や金銭をだまし取ったり、マルウェアに感染させたりすることなどを目的とするネット上の詐欺行為の総称です。

ネット詐欺の自衛策として有効なのは、その事例や手口を知っておくことです。情報収集の方法の1つは、セキュリティ関連組織や事業者などが発表する注意喚起情報を定期的に確認しにいくことです。さらに手軽な方法はそのような情報を発信している公式SNSをフォローすることです。しかし、ネット詐欺の手口は日々巧妙化しているため、利用者自身による判断や気づきによる対策には限界があります。技術的な対策としてのセキュリティソフトやアプリの併用が欠かせません。

セキュリティソフトと言えば、ウイルスを検出・駆除するための専門ソフトというイメージを持っている方もいるのではないでしょうか。しかし、いまやセキュリティソフトの役割はそれだけにとどまりません。次々と生み出される新たな脅威への対策が随時追加される中で、いくつもの役割を持つようになっています。ここからはセキュリティソフトやアプリの機能と役割について見ていきましょう。

セキュリティソフトやアプリでなにができるの?

主要な製品が備えている機能を紹介します。製品によって詳細機能や性能は異なります。

マルウェア対策

パソコンやスマホ、タブレット端末をマルウェア感染から守ってくれる機能です。マルウェアはコンピュータに何らかの損害を与えるために作成された不正プログラムや悪意のあるソフトの総称です。ウイルスもマルウェアの一種です。最近のマルウェアには利用者に気づかれて駆除されないよう、感染を悟らせないタイプもあります。それらが機器に侵入しても目立った症状は現れません。機器に潜伏して情報を盗み出したり、別のマルウェアをダウンロードしたりするなど、攻撃者が意図する動作を秘密裏に行うのです。

パソコン内に常駐して動作するセキュリティソフトの多くはファイルの読み込みや書き込みを常時監視し、マルウェア感染のきっかけとなる通信を遮断したり、不正ファイルの開封などを未然に防いだりしてくれます。一般に、パソコンに侵入したマルウェアを検出、駆除する機能も持っています。
スマホやタブレット端末では利用者が不正アプリをインストールしてしまわないよう、事前にアプリの安全性や権限をチェックします。「公式アプリストアを使っていれば不正アプリの被害に遭わない」と考えている利用者も少なくありませんが、実際は公式アプリストアに不正アプリが紛れ込んでいた事例も数多く見つかっています。また、偽の不在通知から不正アプリのインストールを促す手口による被害も後を絶ちません。このような不正アプリから守る役割も、セキュリティアプリは担っているのです。
※iOS端末は通常の使用下においてApple社で審査済みのアプリのみをインストール可能な仕組みになっています。このため、セキュリティアプリは事前のアプリチェックに対応していません。

ネット詐欺対策

セキュリティソフトやアプリの多くは、不正サイトへのアクセスを未然にブロックする機能を備えています。昨今の不正サイトは非常に精巧に作られている上、正規のWebサイトやSNSに表示された広告、なりすましメールなどから誘導されることもあるため、利用者が自身で不正なものと気づけないケースも少なくありません。セキュリティソフトやアプリを利用すればフィッシングサイトや脆弱性攻撃サイトなどへ誘導されるリスクを軽減できるため、金銭や情報をだまし取られたり、マルウェアに感染させられたりする被害に遭いにくくなります。

迷惑メール、詐欺メッセージ対策

迷惑メールや詐欺メッセージ対策の基本機能は、メールやSMSの件名や本文、URLリンクなどの内容、添付ファイルなどさまざまな情報をもとに自動的に真偽を判別し、事前に指定されたフォルダに振り分けてくれるものです。最近は、不正なメールやSMSをきっかけとした不正サイトへの誘導、マルウェア感染の被害が相次いでいます。さらに、正規ドメインを差出人アドレスとして設定した「なりすましメール」による被害も深刻化しています。このようなメールの真偽を受信者が判断することは非常に困難です。セキュリティソフトやアプリを利用することで、不正なメール、SMSを遠ざけましょう。

脆弱性対策

パソコン内のOSやソフトの脆弱性(セキュリティの弱点)を突いてマルウェアに感染させるなどの攻撃を検知し、ブロックします。また、OSやソフトのアップデート状況を確認し、未適用の更新プログラムが存在した場合には最新版へのアップデートを促してくれるものもあります。

プライバシー保護

セキュリティソフトの中には、SNSやWebブラウザの設定内容を確認し、プライバシー情報を漏えいさせる可能性のある不備を指摘してくれるものがあります。また、セキュリティソフトの管理ページで事前に登録したクレジットカード番号やマイナンバー、電話番号などがWebブラウザやメールなどを介して送信されることを防いでくれるものもあります。さらに、プライバシー保護機能の1つとして提供される決済保護ブラウザを利用すれば、ネットバンキングやショッピングサイト上で口座情報やクレジットカード情報を窃取する攻撃をブロックできます。
また、最近はオンラインでのコミュニケーションも活発化していますが、不正なプログラムによって第三者が勝手にマイクやカメラを操作する危険性もあります。セキュリティソフトは、盗聴や盗撮を防止するため、そのような動きを通知したり、ブロックしたりする機能も備えています。

ペアレンタルコントロール

保護者がパソコンやスマホ、タブレット端末の使用を管理、制限することで、子どもをネットの危険から守ります。たとえば、利用規定年齢に達していないSNSやアプリの利用を防いだり、成人向けサイトなどの有害サイトへのアクセスや有害アプリの起動、ネットの利用時間を制限したりすることができます。

盗難・紛失対策

セキュリティソフトの中には、パソコンやスマホの盗難・紛失に伴う情報漏えいを防ぐ機能を搭載しているものもあります。代表的なのは、特定のファイルを暗号化して保管する機能です。ファイルを開くためには事前に登録されたパスワードを入力しなければならないため、第三者に情報が漏れにくくなります。また、持ち運ぶ機会が多く紛失の可能性が高いスマホなどのモバイル端末では、紛失時の遠隔操作によって端末のロックやデータの削除、位置情報の確認、不正利用者の撮影、SIMカードを抜かれた場合の端末ロックなどが可能です。ただし、これらの機能を利用するためには事前の設定が必要になります。

セキュリティソフトやアプリの失敗しない選び方

セキュリティソフトやアプリの種類はさまざまです。無料で配布されているものもあれば有料版もあります。どれも似たり寄ったりに見えるため、なんとなく無料版を入れている方も多いのではないでしょうか。しかし、実際には未知のマルウェアの検出率や不正サイトのブロック率の高さを売りにするものもあれば、使いやすさと動作の軽さを訴求するものもあり、同じように見えるセキュリティソフトやアプリにも基本機能やサービスに差があります。また、製品によってライセンス形態やサポート体制なども異なります。

では、セキュリティソフトやアプリの選定で失敗しないポイントはなんでしょうか。重要なのは、各セキュリティソフトやアプリの機能を確認、比較した上で、用途や目的、家族構成に合ったものを選ぶことです。一般に、無償のものや試用版は機能制限があり、リアルタイムでの保護も有効でない場合があります。また、最新の脅威への対応が反映されていない可能性もあります。ほかにも、無償である代わりにどのような情報を提供する規約になっているのかを確認し、納得した上で利用しましょう。
個人情報や決済情報、金融サービスなど、重要な情報を扱う端末では有償版製品を利用することをおすすめします。また、スマホの他にWindowsパソコンとMacなど複数の端末を所有している場合は、マルチOSに対応し、1つのライセンスで複数のデバイスにインストールできるセキュリティソフトを選びましょう。すべての端末を一括で管理できるため便利です。ネットバンキングやショッピングサイトなど、金銭に直結するWebサービスをよく利用する場合はプライバシー保護機能が充実しているセキュリティソフトが最適かもしれません。デジタル機器の扱いに不慣れな方は、サポートに注目してみましょう。セキュリティソフトやアプリの中にはデジタル機器の基本的な設定や操作などの相談を24時間365日受け付けるサービスを付帯しているものもあります。お子さんがいる家庭ではペアレンタルコントロールが充実しているセキュリティソフトやアプリが便利です。

ホームルータも保護しよう

セキュリティ製品による保護が必要なのは、パソコンやスマホ、タブレット端末だけではありません。家庭ではホームルータのセキュリティも意識しなければなりません。ホームネットワークの要であるホームルータのセキュリティを破られると、そこに接続するすべての機器に通信傍受や不正サイトへの誘導といった危険が及ぶためです。ホームルータやスマート家電など、セキュリティソフトをインストールできない機器はホームネットワーク全体を保護、管理できるセキュリティ製品で保護しましょう。たとえば、ウイルスバスター for Home Networkは、ホームネットワーク内の通信を監視し、マルウェアの侵入や不正サイトへのアクセスだけでなく、外部との不審な通信もブロックしてくれます。

ネットは便利な一方で、さまざまな危険性もあることを理解しなければなりません。生活スタイルや家族構成に合ったセキュリティ製品を利用し、安全、安心にネットを活用しましょう。

]]>
http://rss.is702.jp/main/rss/3767_l.jpg