
図:偽装SMS例、リンクにamazonの文字列を含ませることで利用者の誤認を誘う
図:公式サイトを模倣した偽のログイン画面と情報入力ページ
図:偽の登録画面と完了画面、クレジットカード情報などの入力が完了すると最終的に公式サイトに転送される
セキュリティの脅威は毎年進化していますが、今年もその流れは止まりません。2021年はテレワーク環境のセキュリティの不備を突く攻撃や、新型コロナウイルスに便乗するネット詐欺がさらに勢いを増しそうです。企業向けソフトやアプリの脆弱性を悪用する攻撃だけでなく、個人情報の漏えいにも備えなければなりません。2021年、私たちが注意すべき脅威と対策を紹介します。
新型コロナウイルスとの闘いは長期戦の様相を呈しています。2020年はテレワークの導入が一気に進みました。これは新型コロナウイルスの影響により、企業や個人が通常のオフィスワーク主体の労働形態からテレワーク(リモートワーク、在宅勤務)への対応を余儀なくされたためです。そして、2021年以降もテレワークを継続、拡大する方針を示している企業や組織が少なくありません。
一方、セキュリティの強固なオフィスの外で作業する場合、一般に情報漏えいやマルウェア感染などのリスクが高まります。パソコンやスマホ、ネット利用時における仕事とプライベートの境界があいまいになり、私用端末の業務利用や、業務用端末のプライベート利用を行ってしまうことが一因です。また、公共のワークスペースでの勤務ではセキュリティに不備のある公衆Wi-Fiや偽のアクセススポットに接続してしまい、悪意を持った第三者に通信内容を盗み見られてしまうといったことも起こり得ます。加えて、物理的な盗み見や盗み聞きなどの危険性もあります。
2021年は在宅勤務において利用されるホームネットワークへの侵入やクラウドサービスアカウントの乗っ取りを足がかりとした企業内ネットワークへの攻撃が活発化する可能性が指摘されています。そのため、業務用端末をホームネットワークで利用している場合、同じネットワーク上に存在する機器やネットワークそのものへの対策が欠かせません。特に外部のネットワーク(インターネット)とホームネットワークの出入口であるホームルータのセキュリティを確保することは基本対策の1つです。たとえば、攻撃者はセキュリティに不備のあるホームルータや、それにつながるパソコン、スマホ、タブレットなどを介してホームネットワークに侵入し、勤務先や取引先への攻撃の踏み台にする可能性もあります。実際、ある国内企業の従業員がリモートで接続していた業務利用が許可された私用端末を足掛かりに、社内システムに不正アクセスされたことが昨年公表されています。在宅勤務者はホームネットワーク上のすべての機器を適切に保護する必要があると同時に、企業側も自社のセキュリティの一環として在宅勤務者を支援する対応が求められるようになるでしょう。
利用する機器やネットワークのみならず、クラウドサービスの認証情報(ID、パスワード)を詐取しようとする攻撃にも注意が必要です。システム管理部門やサービス事業者を装ったメールや電話を安易に信用しないことです。情報の詐取以外にもマルウェア(ウイルスなど不正なプログラムの総称)感染を狙った不正メールによる攻撃も継続しており、自身の端末から感染を広げないよう一人ひとりのセキュリティに対する意識醸成が欠かせません。
テレワーク勤務者にとって重要なことは、勤務先が定めるガイドラインやポリシーに従って行動することです。自宅や公共の場でのパソコン作業、私用の端末とインターネットサービスの業務利用、企業内ネットワークへのアクセス、OSやソフトの更新、公衆Wi-Fiの利用などについての規定を確認しておきましょう。また、家庭内であっても家族が誤って業務用端末を操作してしまったり、機密情報を共有してしまったりしないよう、配慮や対策を欠かさないようにしてください。
2021年はテレワーク用の企業向けソフトやアプリの脆弱性を悪用する攻撃がさらに激化すると予想しています。脆弱性は、プログラム設計時のミスや不具合などが原因で生じるセキュリティ上の欠陥で、マルウェア感染や不正アクセスの要因となる弱点を指します。OSやソフトには脆弱性がつきもので、サイバー攻撃を受けて初めてその存在が明らかになるものもありますが、既知の脆弱性であってもパッチ(修正プログラム)が適用されるまでの隙を突かれることがあります。
たとえば、SharePointやOffice 365、Exchange、Microsoft Teamsといった社内コラボレーションソフトの脆弱性が狙われるかもしれません。というのも、業種によってはこのようなサービス上で機密性の高い情報が扱われているためです。他方では、テレワークの増加によってクラウドへの移行や利用するサービスの見直しが進んでおり、利便性や事業継続性を担保しつつセキュリティを強化することが企業にとっての課題になっています。また、従業員が自宅や出先などから企業内ネットワークへ安全にアクセスするためのVPN機器の脆弱性も悪用されるかもしれません。実際、既知の脆弱性の影響を受ける特定のVPN機器のリストがネット上で昨年公開され、悪用の危険度が増したため内閣サイバーセキュリティセンターでも改めて注意を呼びかけています。
一般に、OSやソフトの開発元から更新プログラムが提供された場合は速やかに適用し、脆弱性を修正することが推奨されます。また、ソフトの自動更新機能を有効にし、パソコンやスマホに脆弱性が存在する期間を最小限にとどめることも大切です。ただし、企業では更新プログラム適用による企業内システムへの影響を事前に検証し、その緊急性や安全性を確認した後にアップデートのタイミングを従業員に指示するケースもあります。更新のタイミングについては勤務先のルールに従いましょう。
サイバー犯罪者は、多くの人の関心事や旬な話題、出来事を便乗攻撃の絶好の機会ととらえています。世界中で猛威を振るう新型コロナウイルスも例外ではなく、2020年はそれに便乗するネット詐欺が急増しました。
サイバー犯罪者は今後も、メールや、SNS上などで新型コロナウイルスに関連する「健康情報」「開発予定のワクチン」「ワクチン利用の待機者リスト提供」などを名目とする誤情報やデマをばらまき、ネット利用者に不正なURLリンクや添付ファイルを開かせようとするかもしれません。もし、ネット利用者がそれらを有益な情報と思い込み、ネット上に拡散してしまった場合どうなるでしょう。ネット詐欺に加担してしまうだけでなく、社会に混乱を引き起こしてしまうかもしれません。東京オリンピックについての誤情報やデマにも惑わされないよう注意してください。
また、コロナ禍で急増したインターネットサービス利用者を狙うネット詐欺も、今後さらに勢いを増しそうです。人気オンラインサービスを装った通知や、配送業者をかたる偽の不在通知、大手ショッピングサイトからの商品発送通知を装うSMS(ショートメッセージサービス)などには引き続き警戒してください。こうした案内を本物と信じてURLリンクを開いてしまった場合、フィッシングサイトや不正アプリのダウンロードページなどの不正サイトへ誘導されてしまうかもしれません。
フィッシング対策協議会
https://www.antiphishing.jp/
都道府県警察サイバー犯罪相談窓口
https://www.npa.go.jp/cybersafety/
2020年は生活のオンライン化も急速に進みました。教育や行政、金融、医療・介護などの分野でもインターネット経由での利用を前提としたサービスが次々に生まれています。ただし、インターネットサービスを利用する場合、サービス内容によっては事業者に氏名や生年月日、住所、身分証明証、電話番号、メールアドレス、決済情報といった個人に紐づく情報を預けることもあります。一般に、著名なインターネットサービスは厳格なセキュリティ基準を満たしていますが、セキュリティに絶対はありません。対策を行っていたとしても、事業者の人為的なミスや内部不正、外部からのサイバー攻撃などが原因で個人情報が漏えいしてしまうこともあるのです。実際、国内利用者も多いイベント管理サービスが昨年外部からの不正アクセスを受け、最大677万件の利用者情報を窃取されたことが公表されました。また、ランサムウェアによるサイバー攻撃を受けて情報の暴露被害に遭った国内企業は、昨年1月から11月16日までで23社にも上りました。さらに、内部文書を誤ってインターネット上に公開してしまったり、公開チャットに投稿してしまったりするケースも過去に発生しています。
万一、個人情報などがサイバー犯罪者の手に渡ってしまった場合どうなるでしょうか。詐欺や脅迫、金銭窃取などの被害につながるかもしれません。また、サイバー犯罪者は入手した情報を自ら悪用するだけでなく、ネット上で暴露したり、商品としてネット上で売買したりすることもあります。結果、複数のサイバー犯罪者の手に渡ってしまえば、被害に遭うリスクが増大してしまいます。
情報の漏えいは、サービス利用者本人の不注意によっても引き起こされます。たとえば、フィッシングサイトや詐欺サイトに自ら情報を入力したこと、マルウェアに感染したことなどが原因としてあげられます。今年は新型コロナウイルスの影響で個人や企業のネット利用、およびクラウドサービス利用がさらに加速すると見られ、サービス利用者側の設定ミスや誤操作に起因する情報漏えい事故の増加が予想されます。
被害を回避するためにも、これらの予測を日々の対策に役立ててください。
図:偽装SMSの一例
図:Chromeのアップデートに見せかけて不正アプリをダウンロードさせる
図:ダウンロードが終わると権限の確認を表示し、Chromeを装ったままインストールを促す
図:インストールが完了した不正アプリはSMSの送受信や読み取りの他、情報詐取に必要な権限を獲得
図:調査時点での検索結果の表示例
図:Google広告の問題を報告する画面
図:公式アカウントのなりすましに関する注意喚起公表月別ブランド数
図:偽のDMに記載された短縮URLから誘導された公式アカウントの画像を流用した偽の当選ページから、公式アカウントとは異なるサービスの登録ページに誘導
図:公式アカウントとは異なるリンクをプロフィールに記載した「なりすましアカウント」から、偽のプレゼント当選ページを介して、公式アカウントとは異なるサービスの登録画面に誘導
コロナ禍でのインターネットサービス利用者の増加を背景に、ますます勢いを増しているネット詐欺。これは、ネット利用者を不正サイトへ誘導し、情報や金銭をだまし取ることなどを目的とするネット上の詐欺行為全般を指します。
たとえば、大手ショッピングサイト「楽天市場」からの商品発送通知を装うSMS(ショートメッセージサービス)の事例では、受信者が「商品発送状況はこちらにてご確認ください」といった案内を本物と信じてURLリンクを開いてしまった場合、不正サイトへ誘導されてしまいます。このような手口では、SMS内のURLリンクから不正サイトへアクセスしてきたスマホのOSによってリダイレクト(転送)先が切り替わることも往々にしてあります。
調査時点で、Android端末はリダイレクト先においてXLOADERと呼ばれる不正アプリのインストールを促されることがわかりました。これをインストールしてしまった場合、自身の端末から偽装SMSを拡散されたり、端末内の情報を窃取されたりする危険性があります。一方、iPhoneでは「auじぶん銀行口座への不正アクセスを検知した」という旨のポップアップを表示され、同行のログインページを模したフィッシングサイトが現れます。そこでお客様番号やログインパスワード、暗証番号、生年月日を入力してしまった場合、それらがサイバー犯罪者の手に渡ってしまいます。
SMSはメールアドレスと異なり、電話番号の形式にしたランダムな数字を用意するだけで送信できるため、電話番号が第三者に漏えいしていなくても偽装SMSを受信する可能性があります。また、スマホを持っているときに手元ですぐに開けるSMSは開封率も必然的に高くなります。そのため、サイバー犯罪者は、スマホ利用者を不正サイトへ誘導する手段としてSMSを多用しています。どんなにそれらしい内容のメッセージでもURLリンクを開かせたり、電話をかけさせたりしようとするものは詐欺を疑ってかかりましょう。スマホにもセキュリティアプリを入れ、常に最新の状態で利用することも大切です。これにより、不正サイトにアクセスしたり、不正アプリをインストールしたりするリスクを軽減できます。
URLにアクセスするまえに、そのURLの安全性を判定することも対策として有効です。
LINEの友だちに「ウイルスバスター チェック!」(@trendmicro_vbcheck)のアカウントを追加することで、トーク画面から利用できる無償のセキュリティサービスです。
URLを入力して確認をクリックするだけで安全性を4段階で判定することができます。
ネット詐欺に遭遇してしまったかもと感じたときの対処法も覚えておきましょう。
図:LINE上で共有される偽アンケートの表示例
図:謝礼を餌に誘導する偽のアンケートページ
図:偽のアンケート例
図:賞品選択ページと嘘の当選画面
図:偽アンケートの拡散を求めるページ
図:賞品の請求に必要だと称して電話番号を詐取しようとする
図:偽の申請フォーム例、個人情報やクレジットカード情報を詐取しようとする
図:フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)
図:2021年「情報セキュリティ十大トレンド」※ランク列の括弧内数値は昨年順位
図:偽のプレゼントキャンペーンリンク共有例、複数のブランドに偽装
図:「アマゾンの新年の贈り物」と表示された偽のキャンペーンページ例
図:偽の当選画面、キャンペーンの共有を促している
図:コーヒーチェーンのブランドに偽装した偽キャンペーンページ例
図:偽のスマホ購入ページ例、個人情報などを詐取しようとする
「2021年セキュリティ脅威予測」表紙
新型コロナウイルスによって日常が一変した2020年。インターネットサービス利用者や特別定額給付金の申請者を狙うネット詐欺、メールやSMSを起点とした不特定多数への攻撃などが横行しました。また、事業者からの情報漏えい被害も多数報告されています。いま、私たちが知っておくべきネットの脅威と対策を紹介します。
2020年はコロナ禍で増加したインターネットサービス利用者を狙ったネット詐欺が横行しました。ネット詐欺は、ネット利用者を不正サイトへ誘導し、情報や金銭をだまし取ることなどを目的とする詐欺行為の総称です。
ネット詐欺はこれまでも、多くの人が関心を寄せる話題や出来事の悪用を常とう手段としており、新型コロナウイルスの話題に便乗したさまざまな手口が発生しました。たとえば、マスクの入手が困難だった時期にはマスクを入手できると称した偽のメッセージやWebサイトが横行。また、感染対策の通知を装った偽メールからマルウェア(ウイルスなど不正なプログラムの総称)に感染させようとする手口や、4月の特別定額給付金の給付確定時には詐欺サイトへ誘導する偽メールも出現しました。10月には、「二回目特別定額給付金の特設サイトを開設しました。」を件名とするメールを介して、申請ページに見せかけたフィッシングサイトへ誘導する事案も確認されています。話題性の高いトピックを口実とするネット詐欺には今後も注意してください。
外出自粛に伴う巣ごもり需要やオンラインでのコミュニケーションが増加する中、実在するオンラインサービスを装うフィッシングサイトや詐欺を目的とする偽サイトが乱立しました。たとえば、利用者が急増したビデオ会議ツールを装ったフィッシングサイトやサービスの隙を突く攻撃だけでなく、大手ショッピングサイトを装った注文確認メールや発送通知、偽のセキュリティアラートを送りつけ、URLリンクを開いてしまった受信者をフィッシングサイトへ誘導する事案も確認、報告されています。また、偽のネット広告などから偽サイトに誘導する手口にも注意が必要です。検索結果やSNS上でも表示される可能性がある偽広告は、ネット利用者であればだれもが遭遇するかもしれない脅威の1つです。万一、偽サイトを利用してしまった場合、代金を支払っても商品が届かなかったり、模造品や粗悪品を送りつけられたりするかもしれません。さらに、決済時に入力した個人情報やクレジットカード情報を盗まれ、悪用されたりネット上で売買されたりする危険性もあります。正規のログインページを模した偽サイトの場合、入力してしまった認証情報(IDやパスワード)を奪われ、不正ログインの被害に遭う可能性もあるのです。
昨年に続き、不正送金の被害も相次ぎました。中には、オンラインサービスに登録していない利用者が被害に遭うケースもあり、事業者には対策の強化が求められています。不正送金被害に遭うきっかけの1つは、正規のログインページを模したフィッシングサイト上でIDとパスワードだけでなく、二要素認証情報も入力してしまったことです。各種サービスのアカウントの不正利用を防ぐため、メールやSMSのURLリンクを不用意に開かないことに加え、口座やクレジットカードの履歴を定期的に確認する習慣も大切です。ネット口座振替を利用する予定がない場合はあらかじめ停止手続きを行い、身に覚えのない利用履歴があった場合は速やかに金融機関や警察などに相談しましょう。
新型コロナウイルスの影響で働き方も大きく変化しています。企業によるテレワーク(リモートワーク、在宅勤務)の導入が一気に進み、職種によっては時間や場所にとらわれずに働けるようになりました。一方、セキュリティが十分に確保されたオフィスの外で就労することになるため、情報漏えいやマルウェア感染などのリスクは、職場と比較した場合一般的に高まります。テレワーク時は職場や取引先を危険にさらさないよう、必要なセキュリティ知識を身につけた上で適切な対策を行ってください。最優先事項は職場が定めるガイドラインやポリシーに従うことです。特に公共の場での作業、SNSやビデオ通話サービスなどのインターネットサービスと私用端末の業務利用、業務データの持ち出し、社内システムへのアクセス方法、ホームルータの保護、OSやソフトの更新、公衆Wi-Fiの利用などについての規定をしっかりと確認しておきましょう。また、家庭内であっても機密情報の保持や貸与端末の管理を怠ってはなりません。家族が貸与端末を誤って利用してしまうことがないよう、スクリーンロックなどの対策を必ず行ってください。
メールを起点としてマルウェアに感染させたり、金銭を脅し取ったりする攻撃への警戒も緩めてはなりません。トレンドマイクロの調査では、脅威の約9割がメールを起点としていることがわかりました。たとえば、2019年後半頃から国内への攻撃が活発になったEMOTET(エモテット)と呼ばれるマルウェアもそのひとつです。実在する企業や組織、過去のやり取りの返信などを装うメールを送りつけ、受信者に添付ファイル、あるいは本文中のURLリンクからダウンロードさせたWordなどのOfficeファイルを開かせ、不正なマクロによってマルウェアに感染させる攻撃が2020年も継続して確認されました。中には一部のセキュリティソフトによる検知を避けるため、パスワード付きの圧縮ファイルを添付するパターンもあります。Officeファイルを開き、メッセージバーの「編集を有効にする」「コンテンツの有効化」ボタンをクリックしてしまった場合、不正なマクロが実行され、マルウェアに感染する危険性があります。EMOTET以外にもマクロ機能を悪用する事例が確認されているため、メールの添付ファイルを不用意に開かないこと、必要なとき以外はマクロを無効にすることを徹底してください。メールのあやしい添付ファイルを開いてしまったと感じたときの対処法も押さえておきましょう。
メールやメッセージサービスはセクストーション(性的脅迫)の手段にもなっています。この攻撃のターゲットは特定の個人だけではありません。不特定多数を狙う手口としては「パソコンを乗っ取ってプライベートな動画や写真を入手した、知人などにばらまかれたくなかったら暗号資産で要求額を支払うように」といった文面で受信者を脅し、金銭を要求するスパムメールが以前から確認されています。サイバー犯罪者は、送信元メールアドレス(From)を受信者自身のメールアドレスに偽装するなどの手法で脅迫内容を信じ込ませようとしますが、偽の脅迫なので騙されないようにしましょう。
氏名や生年月日、電話番号、メールアドレス、クレジットカード番号、銀行口座情報、各種インターネットサービスの認証情報といった個人に紐づく情報が漏えいする被害も複数報道されました。これは私たちにとって決して無視できない問題です。それらの情報がサイバー犯罪者の手に渡ってしまった場合、詐欺や金銭被害などにつながる恐れがあるためです。また、流出した個人情報は悪用されるだけでなく、ネット上で取引されたり、暴露されたりすることもあります。その結果、個人情報は複数のサイバー犯罪者の手に渡ってしまいます。
ネット利用時における情報漏えい経路の1つがフィッシングサイトです。サイバー犯罪者は実在するショッピングサイトや銀行、クレジットカード会社などの正規ログインページを装う偽サイトにネット利用者を誘導し、そこで入力させた情報を盗み取るのです。また、マルウェア感染も情報漏えいのきっかけになります。たとえば、マルウェアの一種であるスパイウェアに感染した場合、パソコン内の情報やキーボードから入力した情報を外部に送信されてしまいます。スマホに不正アプリをインストールしてしまった場合でも、端末内の情報を奪われる危険性があります。
個人情報の漏えいは、個々のネット利用者の不注意だけが原因で起こるわけではありません。サービス事業者の人為的ミスや内部不正、サイバー攻撃などに起因するものもあります。いま、事業者にとって深刻な脅威の1つとなっているのがランサムウェアによるサイバー攻撃です。ランサムウェアはもともとパソコンなどを操作不能にしたり、端末内のファイルを暗号化し、元に戻してほしければ身代金を払えと脅迫するマルウェアとして知られてきました。しかし最近では、「支払いに応じなければ窃取したデータをネット上に公開する」などと脅し、身代金を要求するだけに留まらず、奪った情報をネット上に暴露されてしまう被害が発生しています。トレンドマイクロのまとめによると、ランサムウェアによるサイバー攻撃を受けて情報の暴露被害に遭った国内企業は、2020年1月1日から2020年11月16日までに23社に上りました。自身の情報がネット上に流出してしまう要因はさまざまで、それはだれにでも起こり得るのです。
ネット利用者が最低限行うべき対策は、パソコンやスマホ、タブレット端末に入れたセキュリティソフトやアプリを常に最新の状態で利用することです。これにより、フィッシングサイトなどの不正サイトへのアクセスや、マルウェア感染などのリスクを軽減できます。脆弱性の悪用も深刻です。OSや各種ソフト、アプリのセキュリティ更新プログラムが提供された場合は速やかに適用させてください。また、認証情報やメールアドレス、クレジットカード番号、銀行口座番号などがネット上に流出した際に通知してくれるセキュリティツール(ダークウェブモニタリング)の利用も有効です。たとえば、クレジットカード情報の流出を察知できれば、カード会社への利用停止の届け出を能動的に行えます。認証情報やメールアドレス、銀行口座番号などがネット上に流出してしまった場合も、悪用を想定した対応や準備を自発的に整えることで被害を最小限にとどめられます。
自身や家族を守るためにも、出来ることから対策を整えましょう。
図:偽のクリスマスプレゼントキャンペーンサイトの一例
図:ファストフード店やコーヒーチェーン店に偽装した偽キャンペーンサイト例
図:キャンペーンの共有を促す偽の当選画面
図:特価でのスマホ購入を装う詐欺サイト例
サイバー攻撃に関する相談窓口の最近の状況(経産省の発表資料より)
人混みや長距離移動を避けるため、年末年始の「オンライン帰省」を考えている方も多いのではないでしょうか。オンライン帰省は、ZoomやMicrosoft Teams、Google Meetなどのビデオ通話サービスを利用して遠く離れた親や親戚、友人と連絡を取り合うことです。ただ、利用に際してはセキュリティの観点でいくつか注意すべきことがあります。
まず、セキュリティとプライバシーを考慮して設計されたビデオ通話サービスを利用することが重要です。サービス事業者が規定するセキュリティポリシーにも必ず目を通してください。ビデオ通話サービスのアプリ版を入手する際はサービス事業者の公式サイトか、Google PlayやApp Store、通信事業者などが運営する公式のアプリストアを利用しましょう。
パソコンやスマホ、タブレット端末のOSだけでなく、ビデオ通話アプリの脆弱性対策も不可欠です。脆弱性はプログラムの設計ミスなどが原因で生じるセキュリティ上の欠陥で、マルウェア感染や不正アクセスの要因となる不具合を指します。OSやアプリの開発元から脆弱性を修正する更新プログラムが提供された場合、速やかに適用しましょう。セキュリティソフトを常に最新の状態で利用することも忘れないでください。
ルータの保護も欠かせません。ルータのセキュリティを破られると、そこに接続するすべての機器に通信傍受や不正操作などの危険が及ぶためです。ルータを安全に利用するために最低限、「ルータの管理画面に入るためのIDとパスワードの初期設定値を変更する」「ファームウェアの自動更新を有効にする」「暗号化方式にWEPではなく、WPA2かWPA3を指定し、なるべく複雑で長いパスワードを設定する」の3つの対策を行ってください。
これらのポイントを押さえ、オンライン帰省を安全に楽しみましょう。
図:認定NPO法人のサイトを模倣したフィッシングサイトの一部、税金控除を誇張している
図:フィッシングサイトの寄付フォーム、正規サイトでは銀行振込なども選択できるがクレジットカードによる寄付のみとなっていた
ネット詐欺は決して他人事ではありません。これはネット利用者を不正サイトへ誘導し、情報や金銭をだまし取ったり、マルウェア(ウイルスなど不正なプログラムの総称)に感染させたりすることなどを目的とするネット上の詐欺行為全般を指します。これから年末年始にかけてはネット詐欺が活発になりやすい時期です。特に今年は新型コロナウイルスの影響もあり、ネットの利用頻度が増加した利用者も少なくありません。被害に遭わないよう4つの対策を行いましょう。
ネット詐欺は、多くの人の関心事や旬な話題に便乗します。今年は新型コロナウイルスによって人との接触や移動の制限もあり、オンライン会議ツールなどこれまでは特定の用途や利用者が利用していたツールや、さまざまなオンラインサービスが広く浸透しました。すると、それに便乗したネット詐欺が複数発生し、フィッシングサイトがこれまでにないほど急増しました。
図:国内からアクセスの発生したフィッシングサイト数推移
最近の事例では、「新型コロナウイルス感染症緊急経済対策にかかる特別定額給付金の申請手続き」を名目とするスパムメールがあります。4月に定額給付金の給付が確定した際にも同様の手口が見つかっており、サイバー犯罪者はその後も攻撃の機会をうかがっていたと考えられます。
今回の手口は、「二回目特別定額給付金の特設サイトを開設しました。」などを件名とするメールを不特定多数にばらまき、受信者を偽の給付金オンライン申請サイトに誘導するものでした。誘導先である偽申請サイト上の「よくある質問」や「関連サイト」のリンクは正規サイトにつながっており、利用者が本物のサイトと錯覚してしまう作りになっていました。だまされて「オンライン申請」に進んでしまうと偽の情報入力ページが現れ、その先のページでも運転免許証などの本人確認書類をアップロードするよう求められます。もし一連の要求に応じてしまった場合、それらすべての情報がサイバー犯罪者の手に渡ってしまいます。
開催延期となった東京オリンピックに便乗したネット詐欺も発生しています。実際に確認されたのは、五輪組織の関係者をかたって寄付金を募る不審なメールです。トレンドマイクロによると、このメールは「巨額の損害賠償を負担せざるを得ない」「もし賠償できなければ、東京オリンピックはキャンセルされる」といった文面で、開催延期に伴う損害賠償費用の支援を求める内容でした。さらに、寄付の対価として東京オリンピックのチケットを割引価格で入手できるとうたっていました。東京オリンピックを口実に金銭や情報をだまし取るネット詐欺には今後も注意が必要です。
年末年始にかけては、ギフトや料理などをオンラインで注文する方も多いのではないでしょうか。その際、実在するショッピングサイトを装う偽サイトに注意してください。偽サイトへの誘導手段として悪用されているのがメールやネット広告です。大手ショッピングサイトをかたる注文確認メールや、正規の商品画像とともに大幅な値引き価格を表示するネット広告を不用意に開かないよう注意してください。また、年末はふるさと納税の駆け込み利用者を狙った手口にも警戒が必要です。誤って偽サイトを利用してしまった場合、偽物や粗悪品を送りつけられたり、決済時に入力したクレジットカード情報や個人情報などを詐取、悪用されたりする危険性があります。
実在する配送業者をかたるメールやSMS(携帯電話番号宛に届くショートメッセージサービス)への警戒も怠ってはなりません。サイバー犯罪者は多くの配送物が流通する買い物シーズンを狙って「不在の為お荷物を持ち帰りました」、「配送状況をこちらにてご確認ください」といった文言とURLを含む偽のメッセージをばらまき、受信者を不正サイトへ誘導しようとするためです。特定の事業者を除き、主だった配送事業者はSMSで不在通知を送ることはありません。このような通知は偽物の可能性があると認識しておきましょう。
SNS利用者を標的とするネット詐欺も勢いを増しています。実際、Facebookでは「プロフィールの訪問履歴確認」という投稿や、動画のリンクを装ったメッセージからFacebookの公式ログインページを模したフィッシングサイトや不正サイトへ誘導する事案が確認されています。もし、そこでIDとパスワードなどを入力してしまった場合、サイバー犯罪者にFacebookアカウントを乗っ取られ、公開していない情報を盗み見られたり、なりすましによって不正なメッセージを投稿されたりする可能性があります。
この攻撃のやっかいなところは、サイバー犯罪者が何らかの方法で乗っ取ったFacebookアカウントを使って本来のアカウント利用者になりすまし、その「友達」に対してメッセージ送信や投稿を行うことです。しかも、投稿にアカウント上の複数の「友達」をタグ付けすることで投稿の拡散力を高めます。友人やフォロワーは本人の投稿と思い込んで安心してしまい、不正なURLリンクを開いてしまいがちです。
ネット詐欺の被害を防ぐため、セキュリティ知識を更新し続けましょう。普段からセキュリティ関連団体や企業などが発表する注意喚起情報に目を通し、ネット詐欺の最新の手口と事例を知ればだまされにくくなります。注意喚起などが共有されているSNS公式アカウントをフォローしておくと情報を入手しやすくなります。
実在する企業や組織、友人が差出人でも、何らかの理由をつけてURLリンクを開かせようとするメッセージは、あなたから情報や金銭をだまし取るためにサイバー犯罪者が送りつけてきたものかもしれません。また、検索結果に表示される広告の中にも、偽サイトに誘導する広告が紛れ込んでいる場合があります。その企業のホームページに掲載される注意喚起情報をチェックしたり、友人に電話や他のチャットなどで直接連絡したりして事実確認を行いましょう。なお、総務省や行政機関から特別定額給付金申請についての案内が直接メールで届くことはありません。一見怪しくないメッセージが届いた場合でも、金銭や情報の入力を求める内容には十分注意してください。万一被害に遭ってしまった場合は、速やかに警察に相談するとともに、クレジットカードやアカウントを悪用されないよう、各事業者に届け出ましょう。
SNSやショッピングサイトなどのアカウントへのログインは必ずブックマークに登録した正規サイトや、公式アプリから行いましょう。ネット上で何らかの情報入力を求められた際は必ず一度立ち止まり、正規サイトかどうか改めて確認しましょう。ただし、正規サイトが不正に書き換えられている場合もあるため、セキュリティソフトを最新の状態で利用し、不正な書き換えによるリスクを下げておくことも大切です。
アプリ連携を促された場合も不用意に許可せず、そのアプリに与えられる権限を確認しましょう。もし、不正アプリとの連携を許可してしまうと、アプリの開発元にアカウントを乗っ取られてしまうかもしれません。
ネット詐欺の手口は日々進化しているため、自力での対策には限界があります。セキュリティソフトを常に最新の状態で利用し、不正サイトにアクセスしたり、マルウェアに感染したりするリスクを減らしましょう。パソコンだけでなく、スマホでもセキュリティアプリを利用してください。
また、機器やソフト、アプリの脆弱性を悪用されないためにも、OSやソフト、アプリの開発元からセキュリティに関する更新プログラムが提供された場合は速やかに適用しましょう。
メールなどの怪しいURLリンクや不審な添付ファイルを開いてしまったときの対処法も押さえておきましょう。
フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)
セールや贈り物などで普段よりもまとまった買い物の機会が増える年末年始はネット詐欺が活発になりやすい時期です。普段以上に気を引き締めて行動しなければなりません。
これからのシーズンにおいて特に注意したいのは、実在するショッピングサイトを装う偽サイトと、年末に駆け込みで寄付しようとする利用者を狙った偽のふるさと納税サイトです。もし、これらの偽サイトを利用してしまった場合どうなるでしょうか。代金を支払っても商品が届かなかったり、模造品や粗悪品を送りつけられたりする可能性があります。また、そこで入力した個人情報や決済情報などを詐取され、ネット上で売買されたり、他の詐欺に悪用されたりする危険もあります。正規サイトを装う偽サイトでは入力した認証情報(ID、パスワードなど)を奪われ、正規サイトへの不正ログインを許してしまうかもしれません。
不正サイトへの主な誘導手段は、メールやSMS(ショートメッセージサービス)、SNSなどの投稿やダイレクトメッセージ、ネット上に表示される広告です。年末年始は配送サービスの利用が増えることから、実在する配送業者やECサイトをかたり「配送物をご確認ください」「商品発送状況はこちらにてご確認ください」などと通知する偽のSMS(ショートメッセージサービス)にはより一層警戒してください。
ネット詐欺に引っかからないためには、だましの手口と事例を知っておくことが大切です。消費者関連団体やセキュリティ事業者が公表する注意喚起情報を定期的に確認しましょう。実在する企業やサービスからのメッセージであっても、なりすましの可能性があるためURLリンクや添付ファイルを開かせようとするものは用心するに越したことはありません。通知内容の確認が必要な場合は、予めブックマーク済みの正規サイトや公式アプリから確認してください。
また、セキュリティソフトを最新の状態で利用することも忘れないでください。これにより偽サイトへ誘導されるリスクを軽減できます。トレンドマイクロは、LINEトーク画面上のURLの安全性をチェックできる無償サービスも提供しています。
万一のときに備えて対処法も覚えておきましょう。