著作者:Freepik
フィッシング詐欺はさまざまな企業を騙る
正規のサービスなどをよそおったメールで、偽のサイトに誘導し、ログイン情報(IDとパスワードなど)やクレジットカード情報を盗み出す「フィッシング詐欺」。被害の報告が多く、ニュースなどで耳にしたこともあるだろう。
金融機関やECサイトを騙るものが有名だが、最近では、ETC利用照会を騙るものも報告されている。「ETCに支払情報が変更されたことが発見しました」などというメールで、偽のサイトに案内させて、個人情報を入力させるという手口だ。
これに関しては、フィッシング対策協議会が報告しているほか(ETC 利用照会サービスをかたるフィッシング (2022/11/15))、ETC総合情報ポータルサイトもトップに注意を出しているほど(ETC総合情報ポータルサイト)。
フィッシング詐欺で使われる偽のサイトは、多くの場合、外見やURLまでも本物に似せて作られている。例えば、前述のETC総合情報ポータルサイトを騙るものは、URLが「https://www.etc.co-〇〇〇〇〇〇.com.cn」などと、“etc”という文字が入れてあるほど。
フィッシング詐欺の被害に遭わないようにするためには、個人情報をあわてて入力することなく、しっかり確認することが大切だとよく言われる。しかし、メールアドレスは正規のものかをチェックする、ウェブアドレスが正規のものであるかに注意する……といったことを、欠かさずできているだろうか。
メールやSMSで送られてきたリンクを、公式のサイトなどと照らし合わせてURLを一つ一つ確認するのは、たしかに面倒かもしれない。また、「問い合わせ用のURLだから、公式のURLとは違うのかも」と考えてしまう人もいるだろう。
フィッシング詐欺の多くは、「急いで対応しなければ」と思わせる文面になっている。ETC総合情報ポータルサイトを騙るメールも、早く対応しなくてはETCが動作しなくなる……という不安を感じさせることが、相手の狙いだ。
そこで、よく利用するサービスへのアクセスとログインには、公式のアプリや、ブラウザのブックマークなどからアクセスする……ということを徹底したい。メールやSMSからのリンクからアクセスしたサイトには、できる限りIDやパスワードを入力しないように。
ほとんどの場合、フィッシングサイトを開いてしまった時点では、何も被害がない。すぐに閉じて個人情報やパスワードなどを入力しなければ問題はない、ということを忘れないようにしよう。
常に慎重に対応することを心がけよう
最近では、セキュリティを強固にする観点から、ログインの際に電話番号(SMS)などによる認証も必要になる「二要素認証」(ログイン認証)を設定できるサービスも増えている。しかし、フィッシング詐欺の中には、こういったセキュリティを破ろうと試みるものも出てきている。
たとえば、偽のフィッシングサイトで被害者が入力してしまったIDやパスワードなどを、「正規のサイトに転送する」という手法の報告例がある。その場合、二要素認証を設定しているために、正規のサイトは被害者(フィッシングサイトに個人情報を入力してしまった人)のスマートフォンに、セキュリティコードを送付する。
ここで、被害者が(正規のサイトから)受け取ったセキュリティコードを偽サイトに入力してしまうと、犯罪者側は、ID、パスワード、二要素認証のためのセキュリティコード、それらをすべて入手することになるというわけだ。
くどいようだが、メールやSMSからのリンクからサイトにアクセスしたときは、IDやパスワードを簡単に入力してはならない。ログイン情報を要求するメッセージなどに関しては、公式サイトのヘルプデスクなどから問い合わせて確認する手もある。常に慎重に対応することを心がけよう。
不審に思ったり、トラブルにあったりした場合などは、最寄りの消費生活センターなどに相談することも考えよう。
今回は、最新のサイバー犯罪についての情報を知るために、McAfee Blogの「ハッカーによるスマホのハッキングの手口と被害の回避方法」を紹介する。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
ハッカーによるスマホのハッキングの手口と被害の回避方法:McAfee Blog
自分のスマホがハッキングされると考えたら、誰でも恐怖を感じることでしょう。しかし、実際には、ハッカーはどんなスマホでもハッキングすることができるのです。
ハッカーが本気になれば、最も洗練されたスマホのソフトウェアでさえもハッキングできるようになっています。しかし、どのようにハッカーは私たちのスマホをハッキングするのでしょうか?また、ハッキングを回避する方法はあるのでしょうか?
ハッキングツール/スパイウェア
Androidをはじめとするモバイル端末用のハッキングツールが存在することをご存知でしょうか?また、オンライン上の無料で使えるハッキングソフトですら無数に存在しています。ハッキングツールは、ハッカーがスマホから情報を抜き取るために使用する手口です。
たとえば、電話用スパイアプリなどは、対象となる携帯電話にインストールする必要があります。すべてのハッカーが、ハッキングツールをインストールするために携帯電話を物理的に扱う必要があるわけではありませんが、場合によってはそうしなければならないこともあります。また、本格的なハッカーだと、既存のハッキングツールを改造して、さらに強力なものを作っています。
マルウェアに分類されるキーロガーは、パソコンやスマホのキーボードの操作を不正に記録し、その情報を盗みとるというスパイウェアです。この種のツールは、携帯電話に物理的にアクセスすることで利用できます。
トロイの木馬も、クレジットカードの口座情報や個人情報などの重要なデータを抜き取ることができるマルウェアの一種です。トロイの木馬マルウェアをターゲットにインストールさせるために、ハッカーはフィッシングのようなテクニックを使います。
フィッシング
フィッシングとは、ハッカーや悪意のある第三者が信頼できる個人になりすまして、機密データを入手するために用いる手法です。ハッカーはこの手法を用いて、実在する金融機関やショップなどになりすまし、コードや画像、メッセージをメールやテキストメッセージで送信します。
メールやテキストメッセージ内にあるリンクをクリックすると、偽のWebサイトに飛ばされます。偽のWebサイトでIDやパスワード、クレジットカードの情報などを入力した場合、入力した機密情報は盗まれてしまいます。
電話番号を用いたハッキング
ハッカーが電話ハッキングの技術や知識に長けていれば、電話番号だけでハッキングすることが可能です。共通線信号No.7は、電話のネットワークを相互に接続するためのシステムですが、アクセス権さえあれば、このシステムをハッキングで利用できるようになります。
通話を録音したり、転送したり、メッセージを読んだり、特定のデバイスの位置を見つけたりすることは、共通線信号No.7へのアクセスがあれば可能です。しかし、その難易度の高さから、一般の人がこの方法で電話機をハッキングすることは不可能だと思われています。
SIMカードのハッキング
2019年8月、Twitter社のCEOが、フィッシング手法を用いたSIMカードスワッピングにより、SIMカードをハッキングされるという事件が発生しました。SIMカードスワッピングは、ハッカーがあなたになりすまして電話プロバイダーに連絡し、交換用のSIMカードを要求するという手口です。
プロバイダーが新しいSIMをハッカーに送ると、古いSIMカードは無効になり、あなたの電話番号が盗まれてしまいます。これは、ハッカーがあなたの電話やメッセージなどを乗っ取ったことを意味します。このようなハッキング方法は、ハッカーがプロバイダーを騙すことができれば、比較的簡単に行うことが可能です。
AdaptiveMobile Securityは、ハッカーがSIMカードを使って携帯電話に侵入する新しい方法を発見しました。このハッキング方法はフィッシングよりも複雑で、SIMカードをターゲットにして、ターゲットデバイスに信号を送信します。メッセージが開かれ、クリックされると、ハッカーはハッキングされた端末をスパイし、端末の位置情報まで知ることができます。
Bluetoothのハッキング
プロのハッカーは、特殊なソフトウェア製品を使用して、Bluetooth接続が動作している脆弱なモバイル機器を検索することができます。この種のハッキングは、ハッカーがあなたの携帯電話の範囲内にいるときに実施するため、通常は人口の多い場所で行われます。ハッカーがあなたのBluetoothに接続している場合、ハッカーは電話帳や画像、予定表など利用可能なすべての情報にアクセスできる可能性があります。
スマホのハッキングに遭わないための方法
ハッカーがスマホに侵入し、個人情報や機密情報を盗む方法はさまざまです。ここからは、スマホハッキングの被害に遭わないためのヒントをいくつかご紹介します。
1. 携帯電話を持ち歩く
ハッカーがスマホの情報を盗む最も簡単な方法は、携帯電話にアクセスすることです。したがって、常にスマホをそばに置くことが重要です。
見知らぬ人にスマホをハッキングされた可能性がある場合は、設定を確認し、おかしなアプリがないか探してみてください。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
2. デバイスの暗号化
携帯電話を暗号化することで、ハッキングされることを防ぎ、通話、メッセージ、重要な情報を保護することができます。デバイスを暗号化するには、以下の方法を試してください。
・iPhoneユーザー:「Touch IDとパスコード」に入り、一番下までスクロールして「データ保護」を有効にします。
・Androidユーザー:携帯電話の種類に応じて自動的に暗号化されます。
3. SIMカードのロック
SIMカードにパスコードを設定することで、ハッキングから守ることができます。このコードを設定するには、以下の方法を試してください。
・iPhoneの場合:「設定」→「モバイル通信」→「SIM PIN」の順にタップします。既存のPINを入力すると、ロックが有効になります。
・Androidの場合:「設定」→「ロック 画面とセキュリティ」→「その他のセキュリティ設定」と進みます。ここで、「SIMカードロック設定」を選択し、SIMカードロックを「オン」にします。
4. WIFIとBluetoothをオフにする
ハッカーがWIFIやBluetoothを使ってあなたの携帯電話に接続するのはかなり簡単です。また、ハッカーがあなたを攻撃するときには警告文が表示されることはないので、どうしても必要なとき以外はWIFIやBluetoothをオフにしましょう。
公共の場でハッキングされる恐れがある場合は、携帯電話の電源を切ることで、ハッカーのハッキングを阻止することができます。これは効果的な予防方法です。
5. セキュリティプロテクションの利用
スパイウェアからの保護は、無料で簡単に行うことができます。 iPhoneやAndroidに搭載されている「モバイルセキュリティ」アプリは、ハッカーから携帯電話を守るのに役立ちます。 サイバー脅威からあなたを守ってくれる包括的なセキュリティーソフト「マカフィートータルプロテクション(McAfee Total Protection)」や、注意すべき悪質なウェブサイトの特定をするソフト「マカフィーウェブアドバイザー(McAfee WebAdvisor)」をお使いのデバイスに導入していると安心でしょう。
まとめ
ハッキングの仕組みや手口を理解することは、日常生活の中でセキュリティを確保するのに役立ちます。ハッキングの被害にあった時の対処法を知っていることで、いざというときに太刀打ちできるようになります。
■関連サイト