
図:最新版が適用されている表示例
iPhoneやAndroid端末などのスマホを安全に利用するためには、OS(基本ソフト)の脆弱性対策が欠かせません。脆弱性は、プログラムの不具合などが原因で生じるセキュリティ上の欠陥です。
スマホのOSに脆弱性があると、どのようなリスクが生じるでしょうか。たとえば、端末を不正操作されたり、端末内の連絡先情報やファイルを盗み取られたりする可能性があります。iOSではこれまで、端末にインストールされた正規アプリを不正アプリに置き換えられたり、Apple IDを流出させたりするリスクのある脆弱性が確認されています。Android OSでも過去に、端末を不正操作されたり、端末からの通信を傍受されたりしてしまうリスクのある脆弱性が見つかりました。
iPhoneやAndroid端末に存在するOSの脆弱性を解消するためには、OSのアップデートが欠かせません。iPhoneの場合、iOSの開発元であるApple社が脆弱性を発見すると、それらの脆弱性を修正したiOSの最新版を提供します。Android端末の場合、各端末メーカーや携帯電話会社が最新版をリリースするタイミングなどを判断します。ユーザは最新のOSを適用することで、脆弱性によって生じるリスクを回避できます。
ただし、機種によっては最新版のリリースが遅れたり、アップデートが公開されなかったりする場合もあるため、セキュリティアプリを最新の状態にして利用するといった対策は必須です。また、サポート切れの端末を使い続けている場合は脆弱性を放置しているも同然です。新機種への買い替えを検討してください。
通常、iPhoneやAndroid端末ではOSの最新版が提供されると、ロック画面や通知領域に更新の通知が届きます。しかし、何らかの理由で通知されなかったり、ユーザが通知を見落としたりすることがあるかもしれません。iPhoneやAndroid端末にOSの最新版が提供されているかどうかを定期的に確認する習慣をつけましょう。
端末の「設定」から「一般」へ進みます。「ソフトウェア・アップデート」をタップすると、「アップデートを確認中」と表示されるため、しばらく待ちます。利用可能なソフトウェア・アップデートがない場合、あるいは最新版を適用済みの場合は、「お使いのソフトウェアは最新です」と表示されます。iOSの最新版がある場合は、最新のiOSのバージョン名が表示されます。「今すぐインストール」をタップし、画面の指示に従って操作すれば最新のiOSにアップデートできます。
図:最新版のiOSが反映されている例
端末の「設定」から「システム(※)」、「詳細設定」に進み、「システムアップデート」を押すと、Android OSの最新版が提供されているかどうかを確認できます。利用可能なソフトウェア・アップデートがない場合、あるいは最新版を適用済みの場合は、「最新バージョンに更新されています」、「最新のソフトウェアを利用中です」、「お使いのシステムは最新の状態です」、「更新なし」などと表示されます。Android OSの最新版がリリースされている場合、「今すぐ更新」、「アップデート」、「(再起動して)インストール」などと表示されます。それをタップし、画面の指示に従って操作すれば最新のAndroid OSにアップデートできます。
※OSのバージョンや機種によっては、「システム」ではなく、「端末情報」や「端末管理」、「バージョン情報」などと表記されます。詳しくは各機種の取り扱い説明などを参照してください。
図:更新待ちのAndroid OSを最新版に更新した例
図:テレワークに関する社内規定・規則・手順等が守られていることの確認状況(IPAの公開資料より)
たびたび世間を騒がせている企業の情報漏えい。営業秘密や顧客情報の漏えいは、企業に致命的なダメージをもたらします。今回は、文書ファイルの共有時、クラウドサービス利用時、テレワーク時の3つのシーンで従業員の不注意がきっかけとなる情報漏えいパターンと防止策を紹介します。
みなさんは企業の情報漏えいと聞いたとき、サイバー攻撃による不正アクセスを真っ先に想像するのではないでしょうか。しかし、従業員の不注意や認識不足をきっかけとする情報漏えい事故も少なくありません。もし、パソコンやネット利用時のうっかりした行動で深刻な情報漏えいが生じてしまった場合、どうなるでしょうか。当事者はもちろん、勤務先の信用も失われ、業績などに悪影響が及んでしまうかもしれません。
一口に情報漏えいを引き起こす従業員の過失といってもその内容はさまざまです。今回は見落としがちなケースを「文書ファイルの共有時」「クラウドサービス利用時」「テレワーク時」の3つのシーンにおいて、情報漏えいパターンと防止策を見ていきましょう。
ビジネスシーンではMicrosoft Office(Word、Excel、PowerPoint)などで作成した文書ファイルを取引先や社外の関係者に送る機会がよくあるでしょう。その際は事前に文書の中身だけでなく、プロパティ情報(「作成者」「前回保存者」「タイトル」「件名」「タグ」「作成日時」などの属性情報)や非表示情報(「コメント」「変更履歴」「バージョン」「注釈」「隠し文字」など)もチェックしましょう。うっかりそれらの情報を残した文書ファイルを社外に出してしまった場合、情報漏えいにつながる可能性があります。
Microsoft Officeでは「ドキュメント検査」を使用することで文書ファイルに保存されている不要な情報を一括で削除できます。
また、Microsoft Officeの「名前を付けて保存」機能からPDFを生成するとOfficeファイルのプロパティ情報がそのままPDFファイルに引き継がれます。Officeファイルの不要なプロパティ情報を削除してからPDF化するか、保存の際に表示されるオプションから「印刷対象外の情報を含める」の項目のチェックを外しましょう。
図:「名前を付けて保存」機能からPDFを生成する際のオプション選択画面
利便性を重視して、個人で利用登録しているクラウドサービスを勤務先に無断で業務利用してはいけません。たとえば、クラウドストレージは取引先と大容量の業務データをやり取りするときなどに役立ちますが、クラウドサービスの利用においては情報漏えいリスクがつきものです。フリーメールサービスも同様です。業務メールを出先や私用のスマホなどで確認するためにフリーメールアドレス宛に無断で転送してはいけません。サービス事業者の人為的なミスやサイバー攻撃などが原因でクラウド上の業務データが流出してしまう事故も起こっています。勤務先の規程に反した行動で情報漏えいが生じてしまった場合、懲戒の対象になるだけでなく、損害賠償を請求される可能性もあります。
勤務先に許可されているクラウドサービスの利用にあたっても油断は禁物です。機能や仕様だけでなく、利用規約の内容(アップロードされたデータの取り扱いや、機密保持、第三者への業務委託、補償の範囲、禁止事項など)も十分に理解した上でサービスを利用しなければ、意図しない情報漏えいを招いてしまうかもしれません。過去には、あるクラウド翻訳サイトで翻訳にかけた文章が他の利用者にも閲覧できる状態になっていたケースがありました。原因は、翻訳結果をサービス事業者のサーバに保存することを許可する内容のチェックボックスをオンにしたままサービスを利用したことでした。
また、利用規約に「アップロードされたデータをサービス向上のためだけに用いる」という記載があっても、それ以外の目的に使われないという完全な保証はありません。クラウド上にアップロードした情報はユーザのコントロールが及ばなくなることに留意してサービスを利用するかどうかを判断してください。
テレワークという就業場所を問わない働き方が浸透しつつあります。一方、セキュリティが強固なオフィスとは別の場所で就労することになるため、情報漏えいリスクは高まります。
オフィス外では使い慣れた私用のパソコンを使って業務を行いたいと考えるかもしれません。しかし、勤務先の断りなく、私用の端末を業務に用いるのは危険です。通常、勤務先から支給された業務用端末にはマルウェア対策や情報漏えい対策がとられています。一方、私用端末のセキュリティレベルはユーザの知識やモラルによってまちまちです。セキュリティに不備のある私用端末を業務に利用した場合、マルウェア感染やフィッシングサイトでの情報入力などがきっかけで情報漏えいを引き起こしてしまうかもしれません。
また、自宅外でのテレワーク時は、公衆Wi-Fiを利用するケースもあるでしょう。ただ、公衆Wi-Fiスポットの中にはユーザの利便性を優先するためにあえてパスワード認証なしにつなげるようにしているものや、設定不備によって同一ネットワーク上の端末が互いに通信できる状態になっているものも存在します。そんな公衆Wi-Fiスポットを利用してしまった場合、悪意のある第三者に通信内容を盗み見られる可能性があります。どうしても公衆Wi-Fiにつながなくてはならない場合はVPNソフトを利用するなど、勤務先に指定された方法と手順をとってください。
公共の場でのパソコン作業時はのぞき見による情報漏えいも回避しなければなりません。最低限、端末画面にプライバシーフィルター(のぞき見防止フィルム)を装着し、壁を背にするなど、周囲の目線に気を配るなどの対策は必須です。また、パソコン作業中に離席する際は端末の盗難に注意するとともに、ごく短時間であっても必ずスクリーンロックをかけましょう。これはパソコン画面を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぐ仕組みです。使用を再開する場合、事前に設定したパスワード、あるいはPIN(4桁以上の暗証番号)を入力してロックを解除します。自分の名前や生年月日、規則的な数字(1234)など、簡単に推測できるパスワードや暗証番号を設定するのは避けましょう。
テレワーク時はマルウェア感染や情報漏えいなどのトラブルを回避するためにも勤務先が定めるガイドラインやポリシーに従ってください。また、在宅勤務時は家族であっても業務上は部外者であることを意識して業務にあたりましょう。
図:フィッシングメールの一例
図:偽メールから誘導していたフィッシングサイトの偽ログイン画面(スマホからアクセスした場合の表示)
図:偽メールから誘導していたフィッシングサイトの偽入力画面(パソコンからアクセスした場合の表示)背面には商品を表示させるなどし、正規サイトと誤認するような作りになっている
図:フィッシングサイトでの入力が完了すると、正規サイトにリダイレクト(転送)される
自宅のパソコンやスマホ、タブレット端末、スマート家電などを同時にインターネットにつなげてくれるホームルータ。そのセキュリティをおろそかにしていると、インターネットサービスのアカウントを不正利用されてしまうかもしれません。
インターネットとホームネットワークの出入口であるホームルータのセキュリティ設定は、ネット利用者にとって欠かせない対策の一つです。前回の記事ではルータのセキュリティ設定の不備を突いたDNS設定の書き換えにより、ルータ配下のパソコンやスマホを不正サイトへ誘導する手口を紹介しました。
誘導先は攻撃者の意図や目的によって変わりますが、自身が利用しているショッピングサイトや、Apple ID、Googleアカウントなどのログインページをコピーして作られたフィッシングサイトだった場合どうでしょう。フィッシングサイトへ誘い込まれたことに気づかず、認証情報を入力してしまうかもしれません。
その結果、アカウントの不正利用被害に遭うことが考えられます。たとえば、ショッピングサイトに不正ログインされた場合、配送先として登録してある個人情報や、購入履歴、付帯サービスのクラウドストレージ内の情報を盗み見られる可能性があります。また、換金率の高い商品を不正購入される被害に遭うことも考えられます。
また、攻撃者は窃取した認証情報を用いてさまざまなサービスへのログインを試みることもあります。そのため、複数のサービスに同じ認証情報を使い回している利用者は、各種サービスのアカウントを芋づる式に乗っ取られるかもしれません。さらに、攻撃者に盗まれた情報は、ストーカーや空き巣、ネット上や知人などへの暴露をネタとした恐喝などの犯罪に悪用される可能性もあるのです。
こうした被害に遭わないよう、ホームルータのセキュリティ設定を見直しましょう。ホームルータのセキュリティを強化するポイントについては以下の記事で紹介しています。
図:WordPress テーマのテンプレートがそのまま使われていた偽の企業ホームページ
パソコン購入時の選択肢の1つとなっているChromebook。Chromebookは一般に安全と評されていますが、どんなパソコンもセキュリティ対策が欠かせません。Chromebookを安全に利用するための7つのポイントを紹介します。
テレワークやオンライン学習の普及、GIGAスクール構想の加速に伴い、Chromebookが次第に存在感を増しています。Chromebookは、Googleが開発したChrome OSを搭載するパソコンです。Chrome OSはGoogle ChromeでWebアプリを使用し、ほとんどのデータをクラウドに保存することを前提に設計されており、低価格、バッテリーの持ちなどがChromebookの大きな魅力となっています。
セキュリティの高さにも定評があります。世間ではChromebookにウイルス対策ソフトは不要というイメージもあるほどです。たとえば、Chromebook では個々のWebページとアプリがOS内の隔離領域で動作します。このため、ユーザが不意にウイルスの仕込まれた不正サイトにアクセスしてしまっても他のタブやアプリなどに影響が及びにくいとされています。またChrome OSは最新版へのアップデートが自動で行われため、ユーザによる適用忘れによって脆弱性(セキュリティ上の欠陥)が放置されることもありません。それゆえ、ChromebookはOSの脆弱性を悪用する攻撃に強く、マルウェア(ウイルスなど不正なプログラムの総称)に感染しにくいとされています。
Chromebookはこれら以外にも強固なセキュリティ機能を備えています。しかし、すべての脅威に対処できるわけではありません。Chromebookユーザがセキュリティの観点で注意すべきことを紹介します。
ネット詐欺は、Chromebookユーザが警戒すべきセキュリティ脅威の1つです。これはネット利用者を不正サイトなどへ誘導し、情報や金銭をだまし取る手口の総称で、Chrome OSやWindows、macOSといったOSを問わない脅威です。
その代表例として挙げられるフィッシング詐欺は、実在するサービスの正規ログインページを装うフィッシングサイトにネット利用者を誘導し、そこで入力させた情報をだまし取る手口です。詐取の対象は各種インターネットサービスの認証情報(IDとパスワードなど)や個人情報、クレジットカード情報など多岐にわたります。フィッシングサイトの多くは本物のページをコピーして作られるため、見た目で真偽を判断することは困難です。トレンドマイクロの調査によると、2020年12月にフィッシングサイトへ誘導された国内利用者数は約59万人に上り、前年同期比で2倍となっています。フィッシングによる被害も2019年に引続き高止まり傾向にあるため、継続的な注意と対策が必要です。
図:フィッシングサイトに誘導された国内利用者数推移(2021年1月トレンドマイクロ調べ)
またChromebookユーザの多くは、Google Chromeに拡張機能を追加しているのではないでしょうか。拡張機能にはさまざまな種類があり、広告を表示させないようにするものや、複数に分割されているWebページを1ページに結合できるものなどもあります。しかし、拡張機能を配布するChromeウェブストアにはGoogleの審査をすり抜けて不正なものが紛れ込む場合があります。もし、不正な拡張機能を入れてしまった場合、望まない広告をしつこく表示されたり、フィッシングサイトへ誘い込まれたりするかもしれません。Chromeウェブストアから拡張機能を入手する際には事前に開発元の評判やレビューの内容を確認し、インストールすべきかどうかを慎重に判断してください。運営元不明のWebサイトから拡張機能を入手するのはもってのほかです。
アプリについても、Chromebookは不正アプリが入り込んでも影響を受けにくいとされていますが、リスクは回避する方が賢明です。アプリの入手に際しては必ずChromeウェブストアやGoogle Playなどの公式アプリストアか、公式Webサイトを利用しましょう。ただし、公式アプリストア内に不正アプリが紛れ込んでいる場合もあるため油断は禁物です。インストールする前に、必ず開発元やアプリが求める権限、評価などを確認し、不審な点がある場合は利用を見送りましょう。また、インストール時は無害だったアプリがアップデートに乗じて特定のWebサイトやネット広告へ誘導する不正アプリに入れ替わった例もあります。アプリによって不正サイトへ誘導される危険性もあるということを認識しておきましょう。
Chromebookを安全に利用するための7つのポイントを押さえておきましょう。
ネット詐欺の手口や狙いを知ることは、自衛策の基本です。メールやSNS内のURLリンク、ネット広告などからたどり着いたWebサイトで情報入力を促された場合、フィッシング詐欺の疑いがあります。日頃からセキュリティ事業者や関連団体などが公表する注意喚起情報に目を通しておきましょう。
Chromebookにはネット詐欺を回避するためのセキュリティソフトが必要です。Google PlayストアやChromeウェブストアからChromebookでの動作保証を明示しているセキュリティソフトを入手し、最新の状態で利用しましょう。たとえば、「ウイルスバスター Webセキュリティ for Chromebook」を利用すれば、不正サイトへアクセスしたり、詐欺メールにだまされたりするリスクを軽減できます。
Chromebookはオンライン環境での利用を前提としているため、ホームルータの保護も欠かせません。ホームルータのセキュリティを破られると、そこに接続するすべての機器に通信傍受や不正操作などの危険が及ぶためです。ホームルータを保護するポイントをチェックし、対策を行いましょう。
Chromebookを公衆Wi-Fiに接続する場合も注意してください。セキュリティに不備のあるWi-Fiスポットにつないでしまうと、端末の通信内容を盗み見られたり、詐欺サイトへ誘い込まれたりする可能性があります。「携帯電話会社などの信用できる事業者や団体から提供されている公衆Wi-Fiを優先的に利用する」「VPNを利用する」などの対策を行いましょう。
1台のChromebookを家族と共用する場合は、人数分の「ユーザーアカウント」を作成し、個々にサインインして使うようにしましょう。ユーザごとに個別の環境を用意すれば、本来のアカウント利用者以外に個人的なメールやファイルを見られたり、データを誤って消されてしまったりすることを防げます。
お子さん用のChromebook、およびユーザーアカウントには必ずペアレンタルコントロールを適用してください。Googleが無料で提供するペアレンタルコントロールアプリ「ファミリーリンク」を利用すれば、年齢に適さないアプリのインストールや有害サイトへのアクセスを防いだり、利用時間を制限したりすることができます。ただし、無理強いはかえって反発を生みかねません。お子さんと一緒にネットの利用ルールを決めると良いでしょう。
学校や地域によっては学習専用端末がお子さんに支給されることもあります。その場合、セキュリティツールによる保護や制限が有効になっていると考えがちですが、不十分な可能性もあります。保護者は上記を参考にセキュリティを強化してください。お子さんのネットの利用状況には常に気を配り、学校が定めたルールを子どもが守れるよう、保護者も協力しましょう。
Chromebookの「自動更新ポリシー」にも気を配りましょう。これは、GoogleがChrome OSを搭載している端末に対してソフトなどの自動アップデートを保証する期間です。自動更新ポリシーの期限が切れてしまうと、その後Chrome OSに脆弱性が見つかっても、それらを修正する更新プログラムが提供されません。つまり、それらの脆弱性を悪用する攻撃に対して無防備になり、セキュリティレベルが著しく低下してしまうのです。自動更新ポリシーは、メーカーや機種によって異なります。Googleの公式サイトでご利用のChromebookの自動更新ポリシーを確認しておきましょう。もちろん、サポート切れのChromebookを使い続けることはできますが、マルウェア感染などのリスクは日増しに高まります。有効期限が切れる前に年式の新しい機種に買い替えるなど、対策を検討してください。
図:2020年年間セキュリティラウンドアップ表紙
トレンドマイクロの公式インスタグラムアカウント
社会人には常にセキュリティを意識した慎重な行動が求められます。もし、自分の不注意で情報漏えいなどが生じてしまった場合、きっかけを作った本人だけでなく、勤務先も責任を問われてしまいます。
私たちがついやってしまいがちなのは作業中のパソコン画面をロックせずにその場を離れてしまうことです。もし、何者かにパソコンを操作されたり、スマホで画面を撮影されたりして業務情報を持ち出されてしまった場合、どうなるでしょうか。たとえば、開発中の製品やサービスの情報が競合他社に漏れてしまった場合、勤務先が多大な損失を被る可能性もあります。さらに、取引先や顧客にまで被害が及ぶ可能性も否めません。
社内外を問わずパソコン作業中に何らかの理由でその場を離れる際は、必ずスクリーンロックをかけましょう。これはパソコン画面を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぐ仕組みです。使用を再開する場合、事前に設定したパスワード、あるいはPIN(4桁以上の暗証番号)を入力してロックを解除する必要があるため、第三者にパソコンを不正使用されにくくなります。
また、パソコンのログインパスワードや、業務用サービスとアカウント情報(IDとパスワードなど)の組み合わせを忘れないよう、それらを付箋に書いてディスプレイに貼り付けている方もいるかもしれません。しかし、他人の目につく場所にパスワードを置いておくのは大変危険です。それを見れば第三者がパソコンにログインし、サービスの認証を突破できてしまいます。社会人は勤務先に決められた方法でアカウント情報を適切に管理してください。スマホやタブレットを貸与されている場合も同様です。第三者に作業内容を盗み見されたり、端末を操作されたりしないよう注意を払いましょう。
企業のセキュリティ確保への取り組みは、従業員一人ひとりの協力なくして成立しません。すべての従業員には当事者意識を持って最低限のセキュリティ知識を身につけるとともに、勤務先のガイドラインやポリシーに従って行動することが求められます。
訓練メールの本文(東京商工会議所の発表資料より)
図:手口の概要と基本的な対策(IPAの公表資料より)
4月に新社会人になるみなさんは、セキュリティについて意識したことがありますか。企業や組織の一員になるとパソコンやスマホを利用する時の不注意が個人だけの責任では済まなくなることがあります。あなたの行動がきっかけで情報漏えいなどを招けば、自身の立場を悪くするだけでなく、勤務先も社会的な信用を失ってしまいます。自身のセキュリティ成熟度をチェックし、社会人として必要なセキュリティ知識を身につけていきましょう。
従業員一人ひとりがセキュリティ意識を持たなくてはなりません。たとえ、専任部署がセキュリティポリシーを策定し、さまざまな技術的対策を講じても、従業員のセキュリティ意識や協力がなければ効果は限定的なものになってしまいます。すべての従業員には適切なセキュリティ知識を身につけ、勤務先の規定に従って行動することが求められるのです。
オフィスや出先でパソコン作業中に離席する際は必ずスクリーンロックをかけてください。これはパソコン画面を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぐ仕組みです。ただし、簡単に推測できるパスワードや暗証番号ではロックをかける意味が薄れてしまいますので注意しましょう。一定時間操作しないでいるとパソコン画面が自動でロックされる設定を有効にし、スリープ状態になるまでの時間もできるだけ短くしておくとより安全です。
一般にOSやソフトの提供元から更新プログラムが提供された場合すぐに適用し、脆弱性を修正することが推奨されます。パソコン内のOSやソフトの脆弱性を悪用してマルウェア(ウイルスなど不正なプログラムの総称)に感染させる手口もあるためです。ただし、企業によっては更新プログラム適用による社内システムへの影響を事前に検証し、その緊急性と安全性を評価してからアップデートのタイミングを従業員に指示する場合もあります。アップデートのタイミングや方法は勤務先の規定に従いましょう。
OSやソフトに脆弱性が存在するパソコンでは、攻撃者によって改ざんされたWebサイト(脆弱性攻撃サイト)を閲覧したり、Webサイト上に不正広告が表示されたりしただけでマルウェアに感染することもあります。それが原因で業務が停止したり、業務情報が外部に流出したりすれば勤務先に甚大な被害が及びます。このため、多くの企業では業務用に貸与したデバイスの私的利用を認めていません。また、企業や組織側はセキュリティの一環として従業員のWebアクセス履歴などを監視、ログ(履歴情報)の保存をしている場合もあることを知っておきましょう。
勤務先の管理部門から業務サービスへのログインや、アカウント情報の提供を求めるメールが届いた場合は警戒してください。それは、業務サービスのアカウント情報をだまし取るためにサイバー犯罪者が送りつけてきたフィッシングメールかもしれません。メールのリンク先でアカウント情報を入力してしまった場合、業務サービスのアカウントに不正アクセスされる可能性があります。業務サービスへのログインは必ずブックマークに登録した公式サイトか、社内イントラに記載されたリンクから行いましょう。
勤務先の許可を得ることなく私用のクラウドメールを利用するのは厳禁です。有償、無償サービスにかかわらず、サービス事業者のミスやサイバー攻撃、認証情報(IDとパスワード)の漏えいなどが原因で、そこに保存された業務データや個人情報が流出してしまう可能性もあるためです。また、データが消失、流出しても損害が補償されない場合もあります。組織の情報は重要な資産ということを忘れないようにしましょう。
テレワークにおけるフリーWi-Fi(公衆Wi-Fi)の利用は、勤務先の許可を得ていることが前提です。フリーWi-Fiを不用意に利用すると通信内容を盗み見られたり、不正サイトに誘導されたりする可能性があるためです。実際、フリーWi-Fiスポットの中には利用者の利便性を優先するためにあえて通信を暗号化せず、パスワード認証なしにつなげるようにしているものもあります。また正規のフリーWi-Fiスポットの周辺に同名、あるいは似た名称のSSID(ネットワーク名)を持つ偽Wi-Fiスポットを設置し、そこに誤って接続してしまう利用者を待ちかまえる手口もあります。フリーWi-Fiにつなぐ場合はVPNソフトを利用して通信を保護するなど、勤務先に指定された方法と手順をとってください。公共の場ではパソコン画面にプライバシーフィルターを装着した上で周囲の視線にも気を配り、物理的なのぞき見による情報漏えいも防ぎましょう。
SNSでは業務メールアドレスや勤務先で得た情報などの公開を控えてください。SNSは、特定の企業を狙うサイバー犯罪者にとって格好の情報収集活動の場です。彼らはSNSの公開情報などをもとに標的とする企業で進行している取引や人間関係などを把握します。その上で信ぴょう性を高める詐欺メールを作成、送信し、標的企業の従業員をだましにかかるのです。また、SNSで本来秘密にするべき職務の内容や顧客情報を明かしてしまえば、従業員を監督する立場にある勤務先も信用を失ってしまいます。勤務先が定めるSNSの利用規定を確認しておきましょう。勤務先の許可を得ている場合も社名を公表する以上は節度を持った投稿や発言を心がけてください。
使い慣れたプライベートのSNSで社内コミュニケーションを円滑に行いたいという気持ちはわからなくもありません。しかし、私用のSNSの業務利用がきっかけで情報漏えいを引き起こした場合、勤務先から責任を厳しく追及されます。業務連絡には必ず勤務先で許可されているメールやチャットツールを利用しましょう。
たとえ業務目的でも、勤務先から許可されていないアプリを貸与されている機器に勝手に入れてはいけません。誤って不正アプリをインストールし、端末内の業務情報や顧客情報などを外部に流出させてしまった場合、勤務先の信用問題に発展してしまいます。勤務先が定めるスマホの利用ルールに従いましょう。どうしても業務に使用したいアプリがある場合は担当者の許可を得た上で公式アプリストアから入手してください。
Q1.セキュリティの専任部署や担当者がいる場合、一般従業員はセキュリティを意識する必要がない。
Q2.パソコン作業中、些細な用でその場を離れる場合でもスクリーンロックをかけておくべきだ。
Q3.脆弱性(セキュリティ上の欠陥)が報告されていたソフトの更新プログラムが公開された。業務に使用するソフトの場合は公式サイトから最新版をすぐにインストールする。
Q4.休憩中に会社から支給された業務用パソコンで私的なWebサイトを閲覧した。休憩時間中であればなんら問題がない。
Q5.勤務先の管理部門から「パスワードの変更期限です。ここからログインしてください」と呼びかけるメールが届いた。できるだけ早くメール内のURLリンクを開き、パスワードを再設定しなければならない。
Q6.業務メールを私用のクラウドメールアドレス宛に自動転送している。勤務先の許可は得ていないが、外出先でも仕事を進めるためには仕方がない。
Q7.勤務先からテレワーク(リモートワーク)を許可されているため、カフェのフリーWi-Fiにつないで業務にあたっている。
Q8.仕事の交流を深めることが目的でも、不特定多数に公開するSNSで勤務先情報をむやみに書き込んではならない。
Q9.業務効率や利便性を高めるため、私用のSNSを同僚との業務連絡ツールとして使っている。
Q10.組織から貸与されているスマホに、業務効率が上がるアプリをインストールした。娯楽アプリではないので問題ない。
テレワークやオンライン学習の普及に伴い、Chromebookが次第に存在感を増しています。Chromebookは、Google が開発したChrome OSを搭載するパソコンです。低価格、起動の早さ、バッテリーの持ちなどを評価して購入した方も多いのではないでしょうか。
Chromebookは一般にウイルス対策ソフトが不要と評されています。その理由の1つは、自動アップデートによりOSを常に最新の状態に保つことができる仕組みにあります。ゆえに、ChromebookはOSの脆弱性(セキュリティの欠陥)を悪用する攻撃に強く、マルウェア(ウイルスなど不正なプログラムの総称)に感染しにくいとされているのです。
しかし、そんなChromebookといえどもネット詐欺と無縁ではいられません。これはネット利用者を不正サイトへ誘導し、金銭や情報をだまし取る手口の総称で、代表的なものにフィッシング詐欺があります。つまり、人をだますネット詐欺にChrome OSやWindows、macOSといったOSの違いによる安全性の優劣はほとんどないのです。フィッシングサイトの多くは正規サイトを複製しているため、見た目で判別することが困難です。近年はフィッシングサイトに誘導されてしまうネット利用者が増加しているため、より一層の警戒が求められます。
図:フィッシングサイトに誘導された国内利用者数推移(2021年1月トレンドマイクロ調べ)
Chromebookにもネット詐欺を回避するためのセキュリティソフトが必要です。Google PlayストアやChromeウェブストアからChromebookでの動作保証を明示しているセキュリティソフトを入手しましょう。たとえば、「ウイルスバスター Webセキュリティ for Chromebook」を利用すれば、不正サイトへアクセスしたり、詐欺メールにだまされたりするリスクを軽減できます。
また、お子さん用のChromebookには必ずペアレンタルコントロールも適用してください。Googleが無料で提供するペアレンタルコントロールアプリ「ファミリーリンク」を利用すれば、年齢に適さないアプリのインストールや有害サイトへのアクセスを防いだり、利用時間を制限したりすることができます。
図:情報セキュリティ10大脅威 2021(IPAの発表資料より)
図:LinkedInから特定できる標的ユーザの会社での役職
InstagramやFacebook、Twitter、LINEなどのSNSは、いまや私たちの生活の一部になっています。しかし、不用意に利用しているとネット詐欺などの被害に遭うかもしれません。SNS利用者が知っておくべきネット詐欺の手口と対策を紹介します。
SNS利用者にとってネット詐欺は身近な脅威の1つです。たとえば、LINEでは複数のブランドに偽装した偽のキャンペーン情報が拡散しており、「お客様アンケートと懸賞 今すぐ無料のギフトを獲得」「1年分の無料の食事が当たりました!とても簡単です。ぜひお試しください。」などの文言で、偽のアンケートサイトに誘導する手口を確認しています。そこでいくつかの質問に回答すると、「お好きな賞品を無料で獲得」という案内が表示されますが、全くのでたらめです。謝礼品を受け取ろうとすると、偽アンケートサイトのリンクをLINEでつながっている友だちやグループで一定数共有するように促し、さらに電話番号の入力、または海外に電話を発信させようします。応じてしまった場合、電話番号を盗み取られたり、高額な通信料金を請求されたりする危険性があります。このような手口により、利用者は自身が被害に遭うだけでなく、不正メッセージの拡散に加担することになってしまうのです。同様の手口による誘導先はさまざまです。著名なブランドを偽装するメッセージも複数確認されています。偽のメッセージにだまされないようにするとともに、家族や知人に拡散してしまわないよう注意が必要です。
図:不正サイトに誘導する偽のキャンペーンメッセージ例
Facebookでは、「プロフィールの訪問履歴確認」という内容の投稿からFacebookの公式ページに似せたフィッシングサイトへ誘導する事案が確認されています。そこにIDとパスワードを入力してしまった場合、サイバー犯罪者にFacebookアカウントを乗っ取られ、情報を盗み見られたり、アカウントから不正なメッセージをばらまかれたりする可能性があります。
SNS上のネット詐欺では、サイバー犯罪者が他人のアカウントを乗っ取り、本来のアカウント所有者になりすまして不正な投稿を行うこともあります。しかも、アカウント上の複数の友人をタグ付けすることで投稿の共有範囲を広げます。フォロワーやアカウントとつながっている相手は本来のアカウント所有者による投稿と思い込んで油断し、何気なく不正なURLリンクを開いてしまいがちです。
SNS上の広告にも安易に飛びつかないでください。SNSでも正規の広告審査をすり抜ける形で不正広告が表示されることがあるためです。たとえば、家具やインテリアを扱う正規ショッピングサイトを装う不正広告がFacebook上で確認されています。これは利用者をフィッシングサイトへ誘導し、名前やメールアドレス、電話番号、正規サイトのログイン用パスワードなどをだまし取ることが目的でした。
また、SNS上に偽のセール情報を拡散し、そこから不正サイトへ誘導しようとする手口も確認されています。値引き価格に惑わられないようにしましょう。
Instagramでは法人の公式アカウントに酷似したなりすましアカウントも出回っています。なりすましアカウントは、公式アカウントの投稿やプロフィールを流用するだけでなく、正規のユーザーネームと誤認してしまうようなユーザーネームを設定し、本物を装っています。このため、利用者は誤って偽アカウントをフォローしてしまったり、そのアカウントから届いたメッセージを信用してしまったりする危険性があります。
偽アカウントと気づけなかった場合、ダイレクトメッセージやプロフィール上のURLリンクから不正サイトに誘導されるかもしれません。実際、偽のダイレクトメッセージから「総額1億円の賞金を受け取る手順」などと書かれた偽の当選サイトを表示し、利用者にリンクを開かせることで特定サービスの登録ページに誘導する事案が確認されています。今回のケースにおいて偽アカウント取得者の狙いは、アフィリエイト(ネット利用者を特定のWebページに誘導することで報酬を得る仕組み)による金銭の獲得と見られます。ただ、このような手口では誘導先が変化しやすく、フィッシングサイトなどの不正サイトに差しかわっても不思議ではありません。その場合、利用者に実害が及ぶ可能性もあるのです。
また悪意のある第三者が本来の目的や身分を隠してアプローチしてくる場合もあります。実際、SNSではダイレクトメッセージで「簡単に収入を得られる」などと副業や投資話を持ちかけ、入会料や講習料などと称して金銭をだまし取る詐欺が発生しています。
SNSで知り合った相手とのコミュニケーションをきっかけとして被害に遭うのは大人だけではありません。SNSには年齢や性別を偽り、子どもたちに近づこうとする利用者もいます。そんな相手とやり取りする子どもたちが事件に巻き込まれたり、犯罪に加担させられたりするケースもあるのです。
これらはSNSにおけるサイバー脅威のほんの一部に過ぎません。しかも、サイバー犯罪者はSNS利用者から情報や金銭を巧みにだまし取ろうと、次々に新たな手口を生み出しています。執筆時においても、人気の紹介制SNS「Clubhouse」のアカウントをめぐるネット詐欺が話題になっています。こうした被害に遭わないためにはどんなことに気をつければよいでしょうか。
詐欺に引っかからないためには、その手口や事例を知ることが大切です。普段からセキュリティ関連団体や事業者などが発表する注意喚起情報をチェックしておきましょう。公式SNSをフォローしておくと情報が入手しやすくなります。
SNSの投稿やダイレクトメッセージ内のURLリンク、広告は不正サイトの誘導口として悪用されています。たとえ友人や知人、家族の投稿やメッセージでも何らかの理由をつけてURLリンクを開かせようとするものは疑ってかかりましょう。相手がだまされている場合や、なりすましの可能性もあります。
SNSで不特定多数に公開した情報は、だれが、どのような目的で見ているかわかりません。だれに見せるべき情報かを踏まえて適切なプライバシー設定を行い、プロフィールや投稿の公開範囲をコントロールしましょう。
SNS上の「フォローしたらプレゼント」「簡単に稼げる」などのうまい話には落とし穴があるかもしれません。そのような情報の発信者は、SNS利用者をだまして情報や金銭を奪ったり、フォロワーを不正に増やしたり、特定の有害サイトに引き込んだりすることを目的としている場合もあります。真偽不明の情報を自ら拡散しないことも大切です。
アカウントの乗っ取りを防ぐための基本的な対策は、利用中のインターネットサービスごとに異なるIDとパスワードの組み合わせを使用することです。パスワード認証のほかに、二要素認証などセキュリティを強化できる設定を利用できる場合は、必ず有効にしておきましょう。複数のアカウントをより効率的かつ安全に管理したい場合はパスワード管理ツールが役立ちます。
使わなくなったSNSアカウントは退会しましょう。そのまま放置していると、何かの拍子にアカウントを乗っ取られてもその事実に気づきにくく、情報を盗み見られたリ、不正メッセージを拡散されたりする可能性があるためです。サービスの案内に従って退会手続きをしたのち、アプリを使っていた場合はアプリをアンインストールしましょう。
セキュリティソフト/アプリを使えば、不正サイトに誘導されてしまうリスクを下げられます。また、ソフトによってはSNSのプライバシー設定をチェックし、プライバシー保護を強化する設定を案内してくれるものもあります。それらを正しく更新しながら利用してください。
リンク先が安全かどうか確認する方法としては、URL安全性判定サービスがあります。無償で利用できるサービスとして、トレンドマイクロでは、「Site Safety Center」と「ウイルスバスター チェック!」を提供しています。「Site Safety Center」はURLを入力して確認をクリックするだけで安全性を4段階で判定してくれます。LINE利用者向けのURL安全性判定サービス「ウイルスバスター チェック!」は、LINEの友だちに「ウイルスバスター チェック!」(@trendmicro_vbcheck)のアカウントを追加することで、トーク画面から利用できる無償のセキュリティサービスです。
図:出会い系サイトやマッチングアプリ等に関する年度別相談件数(国民生活センターの発表資料より)