
SMS(ショートメッセージサービス)内のURLリンクを不用意に開いてはいけません。携帯電話事業者をかたるSMS経由で「キャリア決済が不正利用された可能性がある」などと通知し、受信者にURLリンクを開かせることで偽のログインページ(フィッシングサイト)へ誘導する手口が確認されています。もし、誘導先のフィッシングサイトでアカウント情報(IDとパスワード)や個人情報、クレジットカード情報などを入力してしまうと、それらがサイバー犯罪者の手に渡ってしまいます。
SMSを悪用した詐欺の手口では、メッセージの内容だけでなく、差出人名も偽装している場合があります。この手口では、差出人名に任意の英数字を送信者IDとして指定できる機能が悪用されています。たとえば、携帯電話事業者などと同じ送信者IDが指定されたサイバー犯罪者からの偽装メッセージは、携帯電話事業者などの公式メッセージと同じ一覧に表示されてしまいます。すると、受信者は公式のメッセージの中にまぎれた偽装メッセージを本物と誤認してしまう可能性が高くなります。
実在するショッピングサイトや債権回収事業者をかたり、SMSで「未納料金があるため連絡してください」などと呼びかけ、偽のカスタマーセンターに電話するよう仕向ける手口も確認されています。これは電話越しに作り話を信じ込ませ、最終的に金銭や情報をだまし取ることが狙いです。
URLリンクや電話番号を含むSMSのメッセージを受け取った場合、そのメッセージの文言や電話番号をネットで検索し、公式のメッセージかどうかを必ず確認しましょう。それでも真偽を判別できなかった場合、送られてきたメッセージからではなく、公式サイトの会員ページや問い合わせ先などから事実確認を行ってください。
このようなメッセージの受信を防ぐため、iPhoneの場合はメッセージの設定画面から差出人のフィルタ設定をオンにしましょう。また、スマホのセキュリティアプリを常に最新の状態で利用し、フィッシングサイトなどの不正サイトへのアクセスを未然に防げるようにしておくことも対策として有効です。
iPhoneでメッセージをフィルタする/拒否する/削除する
https://support.apple.com/ja-jp/guide/iphone/iph203ab0be4/ios
「2020年セキュリティ脅威予測」表紙画像
脆弱性が存在すると考えられるアプリの数
偽装目的で再生される動画
なにかと慌ただしい年末から気が緩みがちになる年始は詐欺の被害に遭わないよう、より一層の警戒が必要です。年末年始に気をつけたいネット詐欺の手口と5つの対策を押さえましょう。
ふるさと納税の手続きは余裕を持って行いたいものですが、年末に駆け込みで寄付しようとする利用者もおり、そのような焦った利用者をサイバー犯罪者は狙っています。特に初めて寄付をする際は、ふるさと納税サイトに見せかけた偽サイトに注意が必要です。偽サイトの中には各地方公共団体の公式サイトのデザインやレイアウト、返礼品の画像などをそのまま流用しているものもあり、一見しただけで真偽を判断することが難しい場合があります。
図:2018年11月に確認したふるさと納税をかたった偽サイト
もし、偽サイトから寄付の手続きを行ってしまうとどうなってしまうでしょうか。寄付に対する返礼品が届かなかったり、返礼品は届いても税控除が受けられなかったりするだけではなく、その手続きで入力した個人情報やクレジットカード情報を盗み取られ、さらなる詐欺や金銭被害に遭う可能性もあります。以下のような特徴があるふるさと納税サイトは利用しないようにしましょう。
ふるさと納税の偽サイトに気を付けましょう!(消費者庁)
https://www.caa.go.jp/policies/policy/consumer_policy/caution/caution_020/
また、買い物シーズンの年末年始は実在するショッピングサイトや高級品のセールを装う偽サイト、詐欺にも要注意です。大手ショッピングサイトのフリをして「心当たりがない場合はキャンセルしてください」などと記載した注文確認メールを送りつけ、URLリンクを開いてしまった受信者を偽サイトへ誘導する手口が確認されています。また、誤って偽サイトを利用してしまうと、支払った代金だけでなく、認証情報(ID、パスワード)や決済時に入力した個人情報、クレジットカード情報などを盗み取られる可能性もあります。さらに、大幅な値下げと称して高級品の偽物や粗悪品を売りつける詐欺にも注意が必要です。
年末年始は宅配便の利用が増える時期でもあります。宅配事業者を装った偽のメールやSMS(ショートメッセージサービス)にも引き続き注意が必要です。もし、添付ファイルやURLを開かせるようなメッセージを受け取った場合は詐欺を疑い、その真偽を十分に確認しましょう。
図:宅配便事業者を装った不在通知の一例
2019年10月の消費税率引上げに伴い開始されたキャッシュレス・ポイント還元事業を悪用したフィッシング詐欺も確認されています。還付金や払い戻しなどと称したメールやSMSにも注意しましょう。
図:航空会社に偽装し払戻金を餌に偽サイトに誘導するメールの一例
図:携帯電話事業者に偽装しポイント還元を餌に偽サイトに誘導するメールの一例
2019年10月に火災で焼失した首里城の再建に向けた寄付が広がる中、支援者の善意につけこもうとする詐欺も出現しています。実際に、携帯電話事業者を装い「首里城再建寄付に関して」を件名とするメールを送りつけ、URLを開いてしまった受信者をさまざまな詐欺サイトへ誘導する手口が報告されています。それらの詐欺サイトの中には「高額当選」のメッセージを表示し、当選金を受け取るためという名目で銀行口座番号や支店名などを入力させるフィッシングサイトも確認されました。
こうした詐欺メールから誘導されるフィッシングサイトには、受信者のメールアドレスなどの個人情報が記載されている場合もあります。今回の例では当選の信ぴょう性を高める演出の1つになっていますが、善意の受信者が注意喚起として詐欺メールをそのままネットに公開すると個人情報を意図せず不特定多数に公開してしまう危険性があります。
図:誘導される当選詐欺サイトに記載されたメールアドレス
地震や大雪などの大規模自然災害発生時には、それを口実に実在する企業や公的機関をかたって義援金募金を呼びかける詐欺メールや偽サイトが出現する可能性があります。寄付する際には必ずその真偽を確認しましょう。もし詐欺が疑われたら、なりすましの対象として悪用されている組織をはじめ、警察や関連機関などに通報しましょう。
都道府県警察サイバー犯罪相談窓口
https://www.npa.go.jp/cybersafety/
多くの人の関心事や旬な話題に便乗するのはネット詐欺の常とう手段です。実際、世界的なスポーツイベントを前に、観戦チケットの抽選結果を通知する偽メールがすでに出回っています。その主な目的は受信者を詐欺サイトへ誘い込み、情報や金銭をだまし取ることです。
イベントの開催が近づくにつれ、チケットをなんとしても手に入れたい利用者の心理につけ込む偽のメールや詐欺サイトが増加すると予想されます。また、チケット転売サイトやオークションサイト、フリマサイト、SNSなどでは、無効チケットや偽チケットが出品されるかもしれません。公式チケット販売サイトと見た目がそっくりの偽サイトにも注意が必要です。チケットの購入や再販に際してはあらかじめ公式チケット販売サイトをブックマークに登録しておき、毎回そこからアクセスすることをおすすめします。
たとえ実在する企業や友人、知人が差出人でも、何らかの理由をつけてURLリンクを開かせたり、電話をかけさせようとしたりするメッセージは、あなたから情報や金銭をだまし取るためにサイバー犯罪者が送りつけてきたものかもしれません。その企業のホームページに掲載される注意喚起情報をチェックしたり、同様の手口が報告されていないかどうかをネットで検索したりして真偽を確認しましょう。また、電話やメールなどで直接事実確認をする場合は、メッセージ内に記載された問い合わせ先ではなく、ネットで検索した公式の窓口に連絡してください。
ネット利用時に突然情報入力やアンケートの回答を求めるWebサイトにたどり着いたら詐欺を疑ってください。「おめでとうございます!」などと突然表示される当選詐欺サイトでは魅力的な当選品を提示し、「いますぐ」などの文言で入力を急がせるなど、利用者の判断を鈍らせようとします。少しでも違和感を覚えたら周辺の詳しい人に相談したり、表示されたメッセージをネットで検索したりして、真偽を確かめましょう。
図:2019年11月に確認した当選詐欺サイトの一例
脆弱性(セキュリティ上の穴)対策は、ネットを安全に利用するために必須です。パソコンやスマホの脆弱性を放置していると、インターネット上の改ざんされたWebサイトや不正広告から知らぬ間にマルウェアがインストールされてしまう危険性があります。OSやソフトの開発元から更新プログラムが提供されたら速やかに適用し、脆弱性を修正しましょう。
セキュリティソフトやセキュリティアプリを最新の状態に保ちながら利用することで、詐欺サイトなどの不正サイトにアクセスしてしまうリスクを下げることができます。また、不正なメールやSMSの受信を防ぐために、迷惑メールフィルタ(迷惑メールを自動で隔離する機能)やメッセージフィルタリング機能も活用しましょう。
手口や狙いを知っておけば、詐欺に遭遇してもそれに気づける可能性が高くなります。普段からセキュリティ関連団体や企業が発信する注意喚起情報に目を通しておきましょう。最新のセキュリティ情報を自動的に入手できるよう、公式のSNSアカウントをフォローにしておくのもおすすめです。
ネット詐欺に遭ってしまったかもと感じたときの対処法については、下記参考記事をご覧ください。
国内でのEMOTET検出台数推移
EMOTETを感染させるWordのDOC形式の文書ファイルの例(2019年10月確認)
「コンテンツの有効化」ボタン
私用のパソコンやスマホ、クラウドサービスを無断でビジネスシーンに持ち込んでいませんか。中には、仕事専用のモバイルデバイスがなく、私用端末を利用せざるを得ないケースもあるかもしれません。とはいえ、組織における情報セキュリティのルールにはそれが作られた理由があります。組織のルールを把握、遵守するとともに、無断で私用の端末やクラウドサービスを利用した場合、どのような脅威に遭遇する可能性があるかを改めて確認しておきましょう。
多くの企業は、断りなく業務データを私用のクラウドサービスに保存したり、フリーメールに転送したりすることを禁じています。なぜなら、有償、無償にかからわず、サービス事業者のミスやサイバー攻撃、認証情報(IDとパスワード)の漏えいなどが原因で、そこに保存された業務データや個人情報が流出してしまう可能性もあるためです。また、データが破損、流出しても損害が補償されない場合もあります。さらに、無償で利用できるサービスの多くでは、その対価として利用者の情報が収集、分析され、運営元のビジネスに活用されているのです。
2019年に公表された被害の中には、大手クラウドストレージサービス事業者が外部からの不正アクセスによって約500万件もの会員情報を漏えいさせてしまった事例がありました。また、不特定多数に公開されたSNS上に顧客情報のファイルを誤って投稿してしまい、サービス利用者によってファイルがダウンロードされてしまった事故も公表されています。
より厳しいセキュリティポリシーを定めている企業では、そもそも私用端末(パソコンやスマホ、USBデバイスなど)の業務利用を認めていません。私物端末にはセキュリティポリシーを強制するツールを導入させることが難しく、端末をなくしてしまった場合などに業務データを流出させてしまうなどのリスクがあるためです。私用端末がマルウェアや不正アプリに感染している場合はどうでしょう。万一感染した端末を勤務先のネットワークにつないでしまうと、そこにつながっているすべてのコンピュータが脅威にさらされ、情報漏えいや業務停止といった重大なトラブルに発展するかもしれません。
自身が組織を狙うサイバー攻撃の起点にされないようにするためには、組織のルールを把握し、それを遵守することが重要です。利用したいサービスや機器がある場合は、必ず組織の担当者や責任者に相談し、承諾が得られてから利用するか、許可されている代わりの方法で対処しましょう。
ほかにも、社会人がセキュリティの観点で注意を払うべきことは数多くあります。パソコンやネット利用時の少しの不注意が企業や組織を狙うサイバー攻撃の足がかりになってしまうことを理解し、慎重に行動しなければなりません。企業や組織を狙う「ビジネスメール詐欺(BEC)」「ランサムウェア」「標的型サイバー攻撃」は、従業員に送りつけられるメールが主な起点となっています。それぞれの手口の詳細や従業員一人ひとりができる対策については下記の参考記事をご覧ください。
勤務先が定めるセキュリティポリシーやガイドラインをしっかりと確認し、それに従って行動しましょう。
大手動画配信サービスに偽装した偽のログイン画面
偽のクレジットカード情報入力画面
インターネット上には私たちの生活を豊かにしてくれる便利なサービスがあふれています。ただ、利用するサービスが増えれば増えるほど、パスワードを個別に設定する意識は薄れてしまいがちです。パスワードを使い回してしまった場合のリスクを改めて知り、各種サービスを安全に利用するために3つの対策を実施しましょう。
ショッピングサイトやSNS、Webメール、クラウドストレージ、ネットバンキングなど、インターネットサービスのアカウントの作成時はほとんどの場合、IDとパスワード(認証情報)の登録が求められます。パスワードをいくつも覚えられないという理由で、複数のサービスに同一のIDとパスワードを使い回している方もいるのではないでしょうか。しかし、それはアカウントの保護という観点で望ましくありません。パスワードの使い回しはなぜいけないのでしょうか。
インターネットに潜むサイバー犯罪者は、何らかの方法で入手した他人のIDとパスワードのリストを用いて、複数のサービスへのログインを試みます。このため、複数のサービスに同一のIDとパスワードの組み合わせを使い回していると、盗まれたりした場合に複数のサービスのアカウントを芋づる式に乗っ取られてしまうのです。では、サイバー犯罪者は他人のIDとパスワードをどのように入手するのでしょうか。
代表的な手口はフィッシング詐欺です。これは、実在するショッピングサイトや銀行、クレジットカード会社などの正規のログインページを装う偽サイト(フィッシングサイト)へ利用者を誘導し、そこで入力させた情報をだまし取る手口です。たとえば、携帯電話事業者や、Appleを装い、不正利用の疑いがあるなどとしてログインを促すSMSを送りつけ、そこからフィッシングサイトへ誘い込む手口が確認されています。
キーロガーも認証情報を盗み出す手段の1つです。これはキーボードから入力された情報を外部に送信するマルウェア(ウイルスなど悪意のあるソフトウェアの総称)です。サイバー犯罪者はターゲットのパソコンにキーロガーを感染させ、収集したキーボードの入力情報を解析することでIDとパスワードを割り出します。ホテルや図書館などに設置された不特定多数が利用するパソコンにはキーロガーなどのマルウェアが仕込まれているリスクもあるため、認証情報や個人情報の入力は避けた方が無難です。
さらに、インターネットサービス事業者の人為的なミスやサイバー攻撃による情報漏えいがきっかけで利用者のIDとパスワードが流出してしまう事故も起こっています。そこから流出した認証情報は不正に利用されたり、闇サイト(闇市場)の商品として扱われたりし、サイバー犯罪者に売却される可能性もあるのです。
辞書攻撃や総当たり攻撃によって認証情報を探り当てられてしまうパターンもあります。辞書攻撃は、辞書に載っている英単語やパスワードによく使われる単語を登録したリストを準備し、それらを1つのIDに対して順番に試していく手法です。一方、総当たり攻撃はプログラムによってパスワードに使用できる文字種の組み合わせを片っ端から試していくものです。一般的な辞書に載っている単語や、短く単純な文字列をパスワードに設定していると、アカウントの乗っ取り被害に遭うリスクを高めてしまいます。
サイバー犯罪者は、このようにさまざまな方法で他人のIDとパスワードを盗み出したり、探り当てたりして各種サービスのアカウントを不正利用し、金銭や情報を得ようとしています。こうした被害を防ぐためにはどうすればよいでしょうか。
単語や生年月日など、短くて単純なパスワードは、攻撃者に簡単に推測されてしまいます。単純なパスワードの利用を避け、他のサービスで使用しているパスワードを使い回さないようにしましょう。
サービスごとに複雑なパスワードをいくつも作成していると、設定した内容を忘れてしまう可能性があります。次のような方法を参考に、適切に管理しましょう。
トレンドマイクロでは、パスワード管理ツール「パスワードマネージャー」の無料体験版を提供しています。
引用:JPCERTコーディネーションセンター
STOP! パスワード使い回し!キャンペーン
https://www.jpcert.or.jp/pr/stop-password.html
引用:JPCERTコーディネーションセンター
STOP! パスワード使い回し!キャンペーン
https://www.jpcert.or.jp/m/pr/stop-password.html
対策の詳細はSTOP! パスワード使い回し!キャンペーンのページで解説されています。
万一、クレジットカードやデビットカードの利用明細に覚えのない請求があった場合は、速やかにサービスの提供元やカード発行会社、警察に連絡しましょう。
不正アプリ実行中に表示される正規アプリのコピー
アンダーグラウンドフォーラムで売買されていた「Counter-Strike: Global Offensive(略称CS:GO)カウンターストライク:グローバルオフェンシブ」のアカウント
だれもが一度は不要になったパソコンの処分に頭を悩ませたことがあるのではないでしょうか。正しい処分方法がわからず、以前利用していたパソコンを自宅に放置している方もいるでしょう。
パソコンに内蔵されるHDD(ハードディスクドライブ)やSSD(ソリッドステートドライブ)には個人情報や写真、動画、文書などのさまざまなデータが保存されているため、そのまま処分するわけにはいきません。ではどうすればよいのでしょうか。
多くの人がやってしまう誤りは、対象のファイルやフォルダをゴミ箱に入れ、「ゴミ箱を空にする」を実行することですが、それでは不十分です。なぜなら、データ復元ソフトを使えば、表面上は見えなくなっているデータを復元できてしまうためです。HDDの場合、データ消去ソフトを利用するか、データ消去の専門業者にHDDを強磁力または物理的方法で破壊してもらいましょう。SSDの場合、ドライブ全体を暗号化して初期化するか、業者にSSDを物理的に破壊してもらう方法があります。必ずいずれかの方法でデータを削除してから、パソコンを処分するようにしましょう。
いらなくなったパソコン内のデータの消去方法や、パソコンを処分する前に確認しておきたいポイントについてより詳しく知りたい方は下記の参考記事をご覧ください。
「Yellow Camera」と類似の不正な機能を含む偽アプリ
誘導される当選詐欺サイトに記載されたメールアドレス
あらたまってコンピュータウイルス(以下、ウイルス)とはなにかを問われると答えに窮する方も多いのではないでしょうか。今回はそもそもウイルスとは何かに加え、サイバー犯罪者の目的や侵入経路、感染しないための3つの対策を解説します。
ウイルスはパソコンなどの機器に侵入すると内部のファイルに寄生し、さまざまな不正行為を働くプログラムで、自己増殖するための機能を持っています。ウイルスは一般にマルウェアの代名詞として用いられていますが、ウイルスはマルウェアの一種です。つまり、マルウェアは総称なので厳密にはこれらは別物です。
マルウェアとは「Malicious(悪意のある)」と「Software(ソフトウェア)」を組み合わせた造語で、コンピュータに何らかの損害を与えるために作成された不正プログラムや悪意のあるソフトの総称です。マルウェアにはウイルスのほかに次のような種類があり、パソコンだけではなく、スマホやIoT機器(スマートテレビやWebカメラなど)にも感染する危険性があります。
サイバー犯罪者はこのようなマルウェアを複数組み合わせて攻撃を行います。
一昔前のマルウェアの多くは、世間を騒がせ、自身の技術力も誇示したい愉快犯によって作成されてきました。パソコンに入り込むと画面に奇妙な画像が表示されたり、プログラムの動作が不安定になったりするため、ユーザがマルウェアの感染を察知できるケースがほとんどでした。
しかし、最近のサイバー犯罪はビジネス化しており、マルウェアも金銭や、お金になる情報の獲得を目論む犯罪グループや個人によって作成されています。そのため、より長く不正な活動ができるように被害者に感染を悟らせないものも多く、機器に侵入されても目立った症状が現れないこともあります。それらは潜伏して情報を盗み出したり、別のマルウェアをダウンロードしたりするのです。
では、犯罪グループはマルウェアを使ってどのように金銭を得ているのでしょうか。たとえば、マルウェアに感染させたパソコンやスマホからクレジットカード情報やインターネットサービスの認証情報、銀行口座番号などを盗み出し、それらを不正利用したり、インターネット上の闇サイト(闇市場)に売りさばいたりするのが典型的な方法です。また、ランサムウェアのように被害者から直接金銭を脅し取る場合もあります。いまや闇サイトで扱われる商品は情報だけではなく、ランサムウェアなどのマルウェアも売買されています。さらに、サービスとして販売し、利益を得るような仕組みまで構築されています。
攻撃者はユーザに気づかれることなくパソコンにマルウェアを送り込もうとしています。感染の発覚を遅らせれば遅らせるほど、お金になる情報の獲得という目的を達成しやすくなるためです。マルウェアの感染経路は大きくWeb、メール、USBメモリなどの外部機器の3つがあります。それぞれの主な感染パターンを見ていきましょう。
パソコンやスマホ、IoT機器のOSやソフト、アプリ、ファームウェアの脆弱性を残していると、気づかない間にマルウェアに感染してしまう危険性があります。開発元から更新プログラムが提供されたら速やかに適用し、脆弱性を修正してください。
パソコンにインストールされたソフトのバージョンが最新かどうかわからない方は、IPAが無償で公開する「MyJVNバージョンチェッカ for .NET」を試してみましょう。
実在する企業が差出人でも何らかの理由をつけてURLリンクや添付ファイルを開かせるようとするメールはマルウェアの拡散が目的かもしれません。不用意にリンクや添付ファイルをクリックせず、メールに怪しい部分がないかどうかを確認しましょう。その企業やセキュリティ事業者などが公表する注意喚起情報をチェックしたり、公式Webサイトに記載された問い合わせ先に電話したりして事実確認を行うことも大切です。
セキュリティソフトやセキュリティアプリを使うことで、不正サイトへのアクセス、マルウェアや不正アプリの感染リスクを下げることができます。次々と生み出される新たな脅威に対抗するため、セキュリティソフトやセキュリティアプリを正しく更新しながら利用してください。
※マルウェアの感染が疑われたときの対処法
メールのURLリンクや添付ファイルを何気なく開いてしまい、マルウェアに感染したかもしれないと不安になったときの対処法も確認しておきましょう。
メールで通知されるワンタイムパスワードを入力させるフィッシングサイトの例(2019年8月確認)
2019年第3四半期セキュリティラウンドアップ「ECサイト改ざんと二要素認証突破が拡大」表紙
ネット詐欺はインターネット利用者を取り巻く代表的なサイバー犯罪の1つです。代表的な例としてAppleサポートを名乗るメールを介して受信者をフィッシングサイトへ誘導し、Apple IDなどの情報をだまし取る手口があります。Apple IDを利用している方はその手口を知り、詐欺に引っかからないように注意しましょう。
よく見られるのが、「Apple IDアカウントを回復してください」「お客様のApple ID情報は不足か、正しくないです」「ご利用のApple IDによる最近のダウンロードについて」といった件名のメールからログインを促すフィッシングメールです。
このようなメールでは、Appleをかたって「時間内に返信が無い場合はアカウントをロックします」「不正利用の可能性がある」などと通知して受信者の不安をあおり、対応を迫ります。さらに、時間制限を設けて受信者を焦らせ、判断を鈍らせようとするものもあります。このような手法はソーシャルエンジニアリングと呼ばれ、フィッシングメールに多用されます。
図:Appleをかたったフィッシングメールの一例
思わずURLリンクを開いてしまうと表示されるのがAppleのログインページに似せた偽サイトです。正規のログインページと誤認してApple IDとパスワードを入力すると、「アカウントがロックされている」というメッセージが表示され、ロックの解除を理由に個人情報やクレジットカード情報を入力させられます。その一連の流れの中で入力したすべての情報がサイバー犯罪者の手に渡ってしまいます。
図:偽ページでログインした後に表示されるメッセージの一例
サイバー犯罪者はネット利用者の心の隙を突き、巧みにフィッシングサイトなどに誘導します。MacやiPhoneでも被害に遭う可能性があることを認識し、WindowsやAndroid端末と同じようにセキュリティソフトやアプリを最新の状態に保つなどの必要な対策を講じましょう。
フィッシングサイトに情報を入力してしまったかもと思ったときは、正規のログインページからIDとパスワードを変更してください。2ステップ認証を有効にすることも重要です。
フィッシングメール、ウイルス感染の偽警告、偽のサポート電話などの詐欺に遭わないようにする
https://support.apple.com/ja-jp/HT204759
また、クレジットカード情報も入力してしまった場合は、すぐにクレジットカード会社に連絡し、利用停止の手続きを行ってください。その上で専門機関に相談しましょう。
SNS上でシェアされた偽キャンペーンページのリンク例
誘導される偽のアンケート回答ページ
偽のアンケートの最後にシェアを促す
偽の払い戻しメール
差出人名とメールアドレスを偽装
メール内のリンクから誘導されるフィッシングサイト
ビジネスメール詐欺やランサムウェア、標的型メールは、規模や地域、業種に関係なく、あらゆる組織が遭遇するかもしれない脅威です。これらの攻撃は、従業員に送りつけられるメールが起点となる場合があります。職場を危険にさらさないよう、また自身が当事者になってしまわないよう、攻撃の手口と従業員一人ひとりが実践できる対策を押さえましょう。
組織を狙うサイバー攻撃の勢いは一向に衰える気配を見せません。トレンドマイクロが2018年9月、民間企業、および官公庁自治体における情報セキュリティの意思決定者(および意思決定関与者)1,455人を対象に行った法人組織におけるセキュリティ実態調査では、4割を超える組織が情報漏えいや金銭詐取、業務停止といったビジネスに影響を及ぼす重大な被害を経験していることがわかりました。
組織を狙うサイバー攻撃は、従業員に送りつけられるメールが発端となる場合も少なくありません。代表的な例として「ビジネスメール詐欺」「ランサムウェア」「標的型メール」の3つの手口を見ていきましょう。
ビジネスメール詐欺(BEC:Business Email Compromise)は、経営幹部や取引先などを装ったメールを従業員に送りつけ、サイバー犯罪者が管理する口座に送金させたり、特定の情報をだまし取ったりする手口です。特徴の1つは、業務メールの盗み見や、ネット上の公開情報の調査などを通じて従業員を欺くための情報を事前に収集することです。標的企業で進行している取引や人間関係などを把握した上でもっともらしいメールを作成、送信し、従業員から金銭や情報を引き出します。
最高経営責任者や経営幹部になりすました送金指示メールを経理担当者などに送りつけ、サイバー犯罪者の口座へ送金させる手口はその典型です。取引先になりすましたメールに偽の請求書を添付し、振込先の変更を依頼するパターンもあります。サイバー犯罪者はメールのやり取りを盗み見て状況を把握し、振り込みが発生するタイミングで偽メールを送りつけてくるため、従業員は何の疑いもなく指示に従ってしまう恐れがあります。
図:最高経営責任者を装った詐欺メールの例
世界的な被害が話題となったランサムウェア(身代金要求型ウイルス)による攻撃は、個人だけでなく、組織も標的としています。これは、パソコンやスマホ本体を操作不能にしたり、端末内のファイルを暗号化して開けなくしたりして、元に戻す条件として金銭の支払いを要求します。組織の場合は端末内のファイルのみならず、サーバ上の共有ファイルまで暗号化されて甚大な被害となる可能性があります。トレンドマイクロの調査によると、2019年上半期(1月~6月)において国内法人によるランサムウェア感染被害報告件数は前年同期比の約1.7倍にあたる37件に上りました。個人に比べ、重要な情報を大量に所有している組織は、犯罪者にとって多額の身代金を要求する格好の標的となり得るのです。
ランサムウェア拡散の手段はいくつかありますが、メールもその1つです。過去には、業務関連と錯覚させるようなメールを従業員に送りつけ、不正な添付ファイルを開かせたり、不正なURLをクリックさせたりする手口が確認されています。具体的には、「請求書」を装った不正な添付ファイルを送り付けたり、求人への応募を装い、履歴書のように見せかけた不正ファイルをクラウドからダウンロードさせたりする事例が報告されています。
メール以外にも、従業員がランサムウェアに感染した私用のパソコンやスマホ、USBメモリなどを勤務先のパソコンにつないだことが感染のきっかけとなる場合もあるため併せて注意が必要です。
図:請求書送付を装ったランサムウェアに感染させようとするメールの例
一度、勤務先のパソコンにランサムウェアが入り込むとネットワークを通じてさまざまなコンピュータに感染が広がり、原因の究明からデータの復旧、業務の再開に至るまでに莫大な時間と労力、費用がかかることがあります。また、バックアップがない場合には、データが復旧できない状態で業務の再開を目指すことになるでしょう。
標的型メールとは、重要情報や多額の金銭などを目的とし、特定の法人組織を狙って、巧妙な偽のメールを送り付ける手口です。だまされた結果、その組織を狙う標的型攻撃の踏み台にされる恐れがあります。標的型攻撃は事業継続を脅かす深刻な被害につながる危険性の高い脅威です。たとえば、標的型メールによって従業員のパソコンに遠隔操作ツール(RAT)などのマルウェア(ウイルスなど悪意を持ったソフトウェアの総称)を感染させ、標的のネットワークに侵入することで情報を盗み出したり、別のマルウェアをダウンロードさせたりするなどの活動を行います。
標的型メールの手口でもBEC同様、実在する部署や人物、取引先など、怪しまれない相手を装ったメールを従業員に送りつけます。クラウドメールサービスを利用している組織に対しては、そのアカウントを窃取してメールの盗み見などを行うために、サービス事業者を装うメール経由で偽のログイン画面に誘導し、認証情報を盗み取る手口が報告されています。また、医療費通知に見せかけた添付ファイルを開かせてRATに感染させる手口も確認されています。他にも、「あなたの組織へのなりすましメールを転送するので確認してほしい」などと外部からの問い合わせを装って不正な添付ファイルを開かせる標的型メールも確認されました。
図:医療費通知を偽装して遠隔操作ツールに感染させようとするメールの例
このように、標的型メールは受信者に不正なものと気づかれないように巧みに偽装しています。
トレンドマイクロが2019年1月~6月の間に全世界で検出した脅威総数の内、9割はメールによる脅威でした。すなわち、サイバー攻撃の主な起点はメールであると言えます。
ビジネスメール詐欺やランサムウェア、標的型メールは、あらゆる組織に降りかかる可能性があります。これらのサイバー攻撃は標的の従業員をだますことを前提としており、だれをターゲットにするかわかりません。従業員一人ひとりが当事者意識を持ち、職場や取引先を危険にさらさないよう慎重に行動することが求められます。組織に属する社会人が実践すべき5つの対策を紹介します。
経営幹部や取引先などからメールや電話で送金や機密情報の提供を依頼されたら、必ず職場の規程に定められた手順をとりましょう。早急かつ秘密裏に行動するよう指示されても決められた承認プロセスを省略してはいけません。緊急であっても勤務先に断りなく私用のパソコンやスマホで処理を行ったり、USBメモリなどで業務情報を持ち運んだりすることはやめましょう。
サイバー攻撃の手口や狙いを知ることで、送金や情報提供、URLリンクや添付ファイルの開封を促すメールを受け取っても冷静に対処することができます。日頃からセキュリティ事業者や関連団体などが公表する注意喚起情報に目を通しておきましょう。公式のSNSやブログをフォローしておくと、手軽に情報を得ることができます。
メールの差出人が実在する部署や人物、取引先でも油断してはいけません。添付ファイルやURLリンクをクリックさせるようなメールを受信した場合、「差出人から初めてメールを受け取った」「差出人の言葉遣いがいつもと違う」など、何らかの違和感を覚えたら、本人に事実確認を行いましょう。その際、送られてきたメールに返信したり、メールの署名などに記載されている電話番号に連絡したりするのではなく、手元の名刺や公式Webサイト、組織内のリストを参照しましょう。メールの真偽を判断できない場合は、組織のセキュリティ管理者に通報してください。
パソコンやスマホのOS、ソフトに脆弱性(セキュリティ上の欠陥)を残していると、ウイルス感染や不正操作のリスクが高まります。脆弱性攻撃対策の基本は、OSやソフトの開発元から提供される更新プログラムを適用し、脆弱性を修正することです。企業によってはシステム管理者が更新プログラム適用によるシステムへの影響を検証し、その緊急性や安全性を考慮してアップデートのタイミングを従業員に指示することもあります。勤務先の規定に従いましょう。
業務用のパソコンやスマホでは、勤務先が指定するセキュリティ製品を正しく利用してください。また、職場の外で業務用端末を利用する場合にも、セキュリティに不安のある公衆Wi-Fiなどのネットワークを利用して業務を行わないようにしましょう。私用端末の業務利用が認められている場合も勤務先が定めるガイドラインやポリシーに従わなければなりません。最低限OS、セキュリティソフトやアプリを最新の状態に保ちましょう。
重大被害による年間平均被害総額(業種別)
オンラインゲームのアカウントを乗っ取られ、ゲーム内のアイテムや通貨などを盗まれてしまう被害が報道されています。時間やお金を費やしてようやく手に入れたアイテムなどを突然失ってしまった被害者のショックは大きいでしょう。
こうした被害に遭う原因の多くは、オンラインゲームの認証を突破されてしまったことにあります。悪意のある第三者は、フィッシング詐欺などの方法で認証情報(IDとパスワード)をだまし取ったり、複数のインターネットサービスで使い回されている認証情報を何らかの方法で入手したりしてアカウントに不正ログインし、アイテムなどを奪い取るのです。
自衛策の基本は、アカウントを厳重に管理することです。オンラインゲームを含め、複数のインターネットサービスごとに異なるIDとパスワードの組み合わせを使用してください。ただし、IDとパスワードによる1要素の認証方法では、第三者にIDとパスワードを探り当てられたり、盗まれたりしてしまうと認証を破られてしまいます。IDとパスワード以外の認証方法(多要素認証)が用意されている場合、それらも併せて利用しましょう。
また、ゲーム内チャット経由でのトレード話やリンク先への誘導にも十分に注意してください。
普段からオンラインゲーム事業者やセキュリティ事業者などが公表する注意喚起情報に目を通し、詐欺の手口を知っておくことも大切です。アカウント乗っ取りによる被害を防ぐための7つのポイントを確認しておきましょう。