セキュリティソフトを入れても、持ち主が油断してしまうと……
警察庁は4月7日、全国の警察による2021年のサイバー犯罪摘発件数を発表した。1万2209件で、前年に比べ2334件増。これは過去最多の数字だ(参考:サイバー空間をめぐる脅威の情勢等|警察庁Webサイト)。
サイバー犯罪の被害が相次いでいるが、最近はスマートフォンを狙ったものも多い。スマートフォンを所持することが当たり前になり、仕事にもプライペートにも使われるようになっているからこそ、犯罪の標的にもなりやすい。
当然、スマートフォンを利用する際は、セキュリティに気をつけよう……とはよく言われることだ。警察機関やセキュリティベンダーなども啓蒙に努めており、たとえば警視庁なども、スマートフォンに関するトラブルを防ぐためのウェブページを公開している(参考:スマートフォンを利用している方へ 警視庁)。
しかし、サイバー犯罪者にとっては、スマホは個人情報が詰まった“おいしい”デバイス。あの手この手で情報を盗もうとしてくる。では、スマートフォンの何を狙ってくるのか。
たとえば、パスワード。ログインの際に、電話番号(SMS)などによる認証も必要になる「二要素認証」(ログイン認証)などを設定しておくのは基本だ。だが、それをやぶろうとする手口もある。
ECサイトや金融機関をよそおい、「あなたのアカウントがリスクにさらされている」などのメールやSMSを送り、偽サイトにアクセスさせる手口がある。これ自体は昔からあるものだが、最近はその偽サイトでIDやパスワードなどを入力してしまうと、それらを「正規のサイトに転送する」という手段を取るサイバー犯罪の報告例がある。
この方法により、正規サイトは、被害者のスマートフォンにセキュリティコードを送付する。このコードはもちろん本物だが、被害者がIDとパスワードに続いて、受け取ったセキュリティコードまでもを偽サイトに入力してしまうと、犯罪者側に、ID、パスワード、セキュリティコードのすべてが揃うので、ログインできてしまうというわけだ。
また、最近はスマートフォンのハッキングの被害も多い。ソフトウェアを物理的にスマートフォンに侵入させたり、不正なWebサイトや偽のアプリなどでソフトウェアをインストールさせたりするなどして、個人情報が盗み出されたり、勝手に暗号通貨のマイニング(採掘)に使われたりするおそれがある。
ホーム画面が変わっていたり、疑わしいWebサイトのブックマークが登録されていたり、スパムのようなポップアップが表示されたりする場合も、ハッキングの可能性がある。覚えのない設定変更がある場合、ハッキングを疑ってもよいだろう。
これらの不正ログインやハッキングは、スマートフォンを利用する側が「うっかり、操作してしまう」ことで被害にあってしまう。セキュリティソフトなどのインストールが当たり前になってきたからこそ、悪意を持った人間は、スマートフォンの持ち主の油断を狙ってくる。
注意するポイントに「気をつける」以上の習慣で臨む
個人情報の窃取、本体へのハッキング……。スマートフォンを利用するにあたって注意するポイントはどこだろうか。
もちろん、信頼できるセキュリティソフトウェアをインストールしたり、スマホのOSやアプリのアップデートなどをこまめにしておくことは大事だ。
しかし、個人情報を自ら入力してしまったり、不正なアプリをインストールしてしまったりなど、スマートフォンの持ち主が人為的なミスをした場合、ソフト側でもどうしようもない場合がある。
まず、メールやSMSには注意を払うことだ。すぐにリンクをクリックせず、送信元やタイトルをしっかり読もう。「あなたのアカウントが危険にさらされている」などと、早急な対応をうながしているものはとくに注意。タイトルや本文をコピーして、そのままGoogleなどで検索するという手もある。
では、偽のサイトはどう見破ればよいのか。最近は公式のロゴをそのまま使っているものも多く(もちろん違法)、日本語なども自然なので、あせっているとなおさらニセモノだとは気づきにくい。URLは公式サイトと異なっているため、そこをしっかり確認すれば気付けるとはいえ、まぎらわしい場合は見抜けないかもしれない。
そのため、ECサイトや金融系のサイトを利用する場合は、あらかじめブックマークに登録し、そこからかならずアクセスするように心がけたい。IDやパスワードを入力するメッセージなどを受け取ったら、ブックマークから正規サイトにアクセスし、そこから公式の問い合わせ先を調べて連絡してみてもよいだろう。
また、不正なアプリを自らインストールすることのないように、公式のアプリストアを利用することを心がけるのは基本。詳しくないアプリの説明、ユーザーレビューがない、逆に最高評価しか並んでいないなど、疑わしく感じる要素があるなら、ダウンロードを控えたい。
スマートフォンを対象とするサイバー犯罪に対して、「気をつける」ことは大事だ。ただ、心理の隙をついてくる手口も多い。「リンクはすぐクリックしない」「ブックマークからアクセスする」など、習慣づけることで防げる攻撃もある。
今回はMcAfee Blogから「消費者のモバイル脅威に関するレポート 2022年版」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
消費者のモバイル脅威に関するレポート 2022年版:McAfee Blog
マカフィーが実施した「消費者のモバイル脅威に関するレポート」2022年最新版の調査結果をお届けします。オンライン上でどのような問題があるかを知っていると、自信を持って安心したオンラインライフを送ることができます。このブログでは、サイバー犯罪者が携帯電話を介してお客さまをだましたり、情報を盗んだりする手口の代表例を紹介します。これらは、本物のロゴ、高品質のグラフィックス、個人に最適化されたメッセージを使用した、より巧妙なサイバー攻撃の一例です。マカフィーは、皆さまがモバイル機器、個人情報を保護し、ご家族と一緒に安全なオンラインライフを楽しむために役立つことを願っています。
サイバー犯罪者は、より巧妙な詐欺を行う
個人情報や高画質のグラフィックを使って、不正プログラムを正規のアプリや公式メッセージのように見せかけるなど、サイバー犯罪者の手口は巧妙化しています。多数のモバイルユーザーから金銭や個人情報を盗むことに成功しているため、この手口を真似した悪質な詐欺行為は今後も増加することでしょう。ここでは、モバイルユーザーを騙すために詐欺師が使っている様々なテクニックを見てみましょう。
スミッシングは友好的に見えるが、正反対
モバイル・スミッシング (別名: フィッシングメッセージ) とは、個人に最適化されたテキストメッセージを使用し、より信頼性の高い組織からのメッセージであるかのように見せかけるものです。これらのメッセージは多くの場合、本物のロゴやアイコンなどを表示したウェブサイトのリンクから、個人情報の入力やアプリのダウンロードを促します。ユーザーは、不明な送信元からのテキストメッセージに特に注意し、公式ウェブサイトに直接アクセスして正当な要求かどうかを確認する必要があります。
モバイルゲーム詐欺は、ゲーマーのヘルプやチートツールを装っている
チートツールやハッキングアプリは、モバイルゲームで機能を増強するために人気の方法です。犯罪者はこれを悪用し、悪質なコードを含むゲームハッキングアプリを正規のメッセージングチャンネル上で表示しています。誤ってインストールした場合、マルウェアはソーシャルメディアやゲームのアカウントの認証情報を盗み出します。ゲームハックをインストールするとき、特にスーパーユーザー権限を要求される場合は注意が必要です。
仮想通貨の人気に乗じた詐欺もある
仮想通貨 (暗号資産) は、モバイルデバイスへの新たな攻撃の機会となっています。最新の手口として、一定の月額料金を支払えばクラウド上でコインのマイニングを約束する偽のアプリがあります。偽のレビューと低価格を見ると、話がうま過ぎると思うはずですが、その通りです。これらのアプリは、コインのマイニングを行わず、ただお金をユーザーから取るだけです。実際の悪質なコードがないため、これらのアプリを検出することは困難です。したがって、ユーザーはわずか数ドルの月額料金で数百ドルや数千ドルの暗号コインを約束される場合、疑ってみる必要があります。
偽のメッセージングアプリに気をつけよう
巧妙なグラフィックで描かれた様々な偽アプリを使い、ユーザーを騙してプレミアム会員になるように仕向ける手口もあります。このような危険なアプリは数百種類にもおよび、携帯ゲームや写真編集などが出来ると謳い、評価欄は偽の5つ星で埋められています。アプリをインストールすると、ユーザーは電話番号と確認用暗証番号の入力を求められ、犯罪者に支払いを誘導するプレミアムテキストサービスに登録することになります。曖昧な表現、繰り返しの多い表現、5つ星と1つ星の評価が混在していないかなどを確認しながらレビューを読みましょう。
自分自身をオンライン上の危険から守るには
犯罪者はセキュリティ対策の技術に適応し対応することでその手口も変化し続けますが、ユーザーが情報漏洩の危険から自分自身を守るために取るべきいくつかの対策を紹介します。
アプリストアにとどまる
一部の悪意のあるアプリがアプリストアのスクリーニングプロセスをすり抜けてしまう一方、ダウンロードによる攻撃のほとんどは、ソーシャルメディア、偽の広告、その他の非公式のアプリから行われています。携帯電話に何かをダウンロードする前に、アプリのソースと開発者について簡単に調べてください。詐欺の多くは、他の人々によってフラグが立てられたものです。
設定や許可に関する要求に気を付ける
多くの不正アプリは、無関係な権限や設定の使用許可をユーザーに求めることで、管理者情報を盗み出しています。新しいアプリをインストールする際には要求をよく読んで、特にスーパーユーザー権限やアクセシビリティサービスなど、不要と思われるものは拒否するようにしてください。
ソフトウェアを更新
開発者は、セキュリティ問題の特定やその対応策に積極的に取り組んでいます。オペレーティングシステムとアプリを頻繁に更新し、最新のセキュリティ保護を適用しましょう。
多すぎる5つ星レビューに注意
サイバー犯罪者は多くの場合、Google Playのアプリに偽の5つ星レビューを掲載します。多くの偽アプリや悪質なアプリに混在しているのは、5つ星と1つ星のレビューだけです。5つ星のものは通常、曖昧な記述や繰り返しの表現があり、ボットによる投稿であることを示す手がかりとなります。星1つのレビューと比較することで、そのアプリの本当の評価を知ることができます。
携帯電話の動作がおかしかったら要注意
異常な動作をするデバイスは、基本的な技術的問題だけでなく、ハッキングされている兆候の可能性もあります。動作がおかしい場合は、直近の設定変更を確認するか、モバイル機器メーカーやセキュリティソフトプロバイダーのテクニカルサポートに問い合わせることもできます。
セキュリティソフトウェアを使用
コンピューター、タブレット、スマートフォンを含むすべてのデバイスを対象とする包括的なセキュリティのソフトウェアは、マルウェアなどオンラインの脅威からデータとプライバシーを保護する強力な手段です。
本レポートを参考に、様々なモバイルの脅威を未然に防ぎ、安全で安心なネットライフをお楽しみください。サイバー詐欺についてより深く理解したい方は、レポートの全文をこちらよりご覧ください。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト