はじめに
今回のセキュリティコラムでは、皆さんが普段の生活で遭遇するかもしれない、情報セキュリティ面での脅威を取り上げます。
OSのセキュリティパッチの適用や、ウイルス対策ソフトの導入では防げず、皆さんを誘導や脅迫で罠にはめようとする脅威があります。このような脅威への対策としては、脅威の存在や手口、予防や対策を知ることが非常に有効です。このコラムをきっかけに知識を深めていただき、その知識をぜひご家族やご友人といった身近な方にも教えてあげてください。
「情報セキュリティ10大脅威 2022」の「個人」向け脅威をご紹介
IPA 独立行政法人 情報処理推進機構(以下、IPA)が公表した「情報セキュリティ10大脅威 2022」の「個人」向け脅威をご紹介します。
IPAは、情報セキュリティ10大脅威を2006年から公表しています。前年に発生した情報セキュリティ事故や攻撃の状況などから脅威候補を選び、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーによる投票を経て決定します。セキュリティの脅威動向を知る上での定番資料です。今回はこの中から個人向けの脅威ランキング、1位、3位、6位をご紹介します。
出典:IPA「情報セキュリティ10大脅威 2022」
「個人」向け脅威 1位!フィッシングによる個人情報等の詐取
【手口】
フィッシング詐欺は、以下のような手口で発生します。
- 攻撃者が公的機関や金融機関、ショッピングサイト、宅配業者等の有名企業をかたるメールやSMSを送信する。
- 受信者がメールやSMSに記載されたURLのリンクをクリックすることで、正規のウェブサイトを模倣したフィッシングサイト(偽サイト)へ誘導される。
- 受信者に認証情報(ID、パスワード)やクレジットカード情報、個人情報を入力させる。
詐取された情報が攻撃者に悪用されることで金銭的な被害等が発生します。メールやSMSの内容は、受信者がついアクセスしてしまうよう、巧妙に作られています。
具体例を挙げると、以下のような内容です。
- 宅配業者をかたり、不在通知を装う。
「荷物を届けましたが不在でした。詳細はリンクを確認してください」 - ショッピングサイトをかたり、購入確認のメールを装う。
「キャンセルはこちらから」 - 会員制サイトのリニューアルをかたる。
「24時間以内にログインしないと自動退会処理を実施します。ログインはこちら」
いずれの例も、もっともらしい理由で受信者を誘導しようとしているのが分かります。ついアクセスしてしまいそうですし、リンク先に本物とそっくりの偽サイトが用意されていたら、うっかりログインしてしまうかもしれません。
【予防と対策】
メールやSMS、SNSに記載されたURLを安易にクリックしないことが重要です。金融機関のサイトやショッピングサイトなど、自身の資産や重要情報を扱うウェブサイトにアクセスする際は、ブラウザのブックマーク等にあらかじめ登録しておいたURLや、サービス運営者が配布している公式アプリを利用することが望ましいです。
偽メールに記載されているリンクのURLは当然ながら正規のサイトのものとは異なります。巧妙に偽装されている場合があり、むやみにアクセスするのは危険です。メールやSMSを受け取った時には、下記の対応を心掛けましょう。
- URLが記載されているメールは疑う
- 自分が利用しているサービスからお知らせメールが届いたら、メールのURLではなく、ブックマークや公式サイトからアクセスする(重要なお知らせであればサイト上にも告知があるはず)
また、万が一情報を詐取された場合に備えて、多要素認証を設定しておくことも有効です。身に覚えのない多要素認証の通知が届くことで攻撃者によるアクセスに気付くことができますので、パスワードの変更などの対応をとることができます。
そのほか、迷惑メールフィルターの利用(攻撃者からのメールを受信しないようにする)や、通常と異なるログインがあった場合に通知する機能を利用するのも有効です。
「個人」向け脅威 3位!メールやSMS等を使った脅迫・詐欺の手口による金銭要求
【手口】
個人の秘密を家族や知人にばらすと脅迫したり、身に覚えのない有料サイトの未納料金を請求するメールやSMS、LINE等を使って金銭を騙し取ろうとします。
“アダルトサイトを閲覧している姿を撮影した”等、周囲に相談しにくい内容で脅したり、被害者のパスワードや住所等の個人情報をメールに記載し、あたかもパソコンをハッキングして情報を得たかのように見せかけ、不安にさせます。そして、それらの情報の削除と引き換えに金銭を要求します。パスワードや住所等は実際にハッキングされたわけではなく、何らかの原因で外部のサービスから漏えいした情報が使用されることが多いようです。
さらに、脅迫・詐欺目的のメールに偽の問い合わせ窓口の電話番号を記載しておき、その番号へ掛けてきた被害者に対してさらに脅迫したり、電話口で公的機関を装った偽の相談窓口を紹介して金銭を支払わせたりする手口も確認されています。
【予防と対策】
脅迫メールや詐欺メールは届いても無視しましょう。メールで要求された支払いに応じる必要はありませんし、記載されている電話番号に問い合わせる必要もありません。受信したメールの内容について問い合わせや相談をしたい場合は、そのメールが疑わしいかどうかに関わらず、メールに記載された連絡先ではなく、問い合わせ先をご自身で調べて連絡しましょう。
「個人」向け脅威 6位!偽警告によるインターネット詐欺
【手口】
パソコンやスマートフォンからウェブサイトを閲覧中に、突然“ウイルスに感染しています”、“Windowsのシステムが破損しています”等、偽のセキュリティ警告画面を表示します。警告画面の指示に従ってしまうと、ソフトウエアを購入させられたり、パソコンの有償サポート契約を結ばされたり、パソコンの修復費用として金銭を騙し取られたりといった被害が発生します。警告内容を信じさせるために実在の企業のロゴが使用されることや、不安をあおるために警告音や警告メッセージが流れることもあります。
出典:IPA 安心相談窓口だより(2021年11月16日(火))
【予防と対策】
表示される警告を安易に信用しないことが重要です。偽警告では、アプリやソフトウエアのインストール、サポート窓口への電話、サポートデスクへの遠隔操作の許可、サポート契約の締結などさまざまな指示が表示されますが、何もせずにブラウザを終了させましょう。警告について相談したい場合は、表示された連絡先ではなく、信頼できる人や業者、警察や消費生活センターなどの相談窓口に連絡してみてください。
「警告画面が次々と全画面で開く」画面事例(上図)ではMicrosoft社の製品からの警告を装っていますが、この件についてはMicrosoft社が注意喚起を行っています。
マイクロソフトのサポートを装った詐欺にご注意ください(2021年1月29日)
https://news.microsoft.com/ja-jp/2021/01/29/210129-information/
PC でインターネットを閲覧している際に、ガイド音声や警告音とともにマイクロソフトを名乗った警告がブラウザに表示されるお客様がいらっしゃることを確認しています。
本警告が表示されると、ブラウザを閉じるなどの操作を受け付けない状態となり、セキュリティ対策のために特定の電話番号に電話するよう案内が表示されますが、この表示はマイクロソフトから配信したものではなく、記載されている内容は事実ではありませんので、絶対に電話しないようお願いいたします。
- マイクロソフトのエラーメッセージと警告メッセージに、電話番号が記載されることはありません。
- マイクロソフトのサポートは、ビットコインやギフトカードの形式でサポート料金を請求することはありません。
- マイクロソフトは個人情報や財務情報をお尋ねする、またはコンピューターを修理するためのテクニカルサポートを提供するという名目で、メールやメッセージを一方的に送信、またはお電話をすることはありません。マイクロソフトとの全ての通信はユーザーから発信される必要があります。
- マイクロソフト サポート オペレーターが社員証を提示することはありません。
上記の内容はMicrosoft社の製品に限らず、ウイルス対策ソフトなどのセキュリティ製品やその他のサービスにも当てはまりますので、セキュリティ対策の基本的な心構えとしてぜひ覚えておいてください。
また、偽警告の中にはブラウザの正規の通知機能を悪用するものもあるので、普段からブラウザの通知機能を不用意に許可しない(必要なサイトのみ許可する)ようにしましょう。
もしもの場合に備えて
身に覚えのないメールやSMSへのメッセージなどは、皆さんも体験したことがあるのではないでしょうか。それらを上手くやり過ごすことができれば良いのですが、誰もが攻撃者の仕掛けた罠に掛かってしまうかもしれないのです。特に、業務利用しているパソコンが影響を受けた場合には、被害が膨大になってしまうかもしれません。
万が一の場合に慌てなくて済むよう、被害を最小限に留めるよう、セキュリティ事故発生時の社内的なルールや連絡先、対処方法を確認しておきましょう。
今回ご紹介した情報セキュリティの脅威は、手口と予防、対策を頭の片隅に置いていただくことで、実際に脅威に遭遇した際も落ち着いて対処できると思います。しかし、残念なことに、情報セキュリティ対策に終わりはありません。日々新しい脅威が生まれています。皆さんも定期的に情報をアップデートするよう心掛けてください。
富士ソフトのセキュリティソリューションについて、詳しくはこちら
