手口や目的などが時代にあわせて多様化している
ランサムウェアの被害を報道などで目にしたことがある人は多いはずだ。さまざまな企業だけでなく、自治体が利用しているセキュリティクラウドサービスなどにも被害が及んでいる。
ランサムウェアとは何か。PCやスマートフォンなどのデータ、もしくは端末自体を暗号化して使用不能にし、それらの復号化と引き替えに身代金を要求する不正プログラムのことだ。
ランサムウェアが登場した初期では、攻撃の対象は一般ユーザーになることが多かった。しかし、現在では標的が変わってきている。ランサムウェア攻撃をする側からすれば、「身代金を支払うことが期待できる」相手をねらわなくては意味がない。
たとえば、システムをすぐに復旧させなければ運営が困難になる教育機関・医療機関などが、ターゲットになることが増えている。ランサムウェアの対策として、データのバックアップを取る企業が増えてきていることもあり、大企業に比べてセキュリティレベルが低いとされる中小企業なども標的となりやすい。
また、データを暗号化することなくデータを窃取し対価を要求する手口(「ノーウェアランサム」)による被害も確認されているほか、最近では、企業などのVPN機器をはじめとするネットワーク機器の脆弱性を狙って侵入する手口も多く確認されている。
ランサムウェアは単に猛威をふるっているだけではなく、手口や目的などが時代にあわせて多様化しているサイバー犯罪だ。これからも、強く警戒していかなければならない。
被害を受けた範囲を確認することや
社内外に報告することなども重要
ランサムウェアの対策として、気をつけるポイントはなんだろうか。
まず、信頼できるセキュリティソリューションを導入するだけでは不十分だ。ソフトウェアを常に最新のものに更新する、疑わしいファイルやメールのリンクを開かないなどは基本。
仕事で業務システムにアクセスする際の、VPN機器やリモートデスクトップのセキュリティ面にも注意が必要。アップデートなどは忘れないようにしたい。
データのバックアップをこまめに取ることも大切。しかし、最近では、バックアップを取る企業が増えてきた状況に対応し、暗号化する前にデータを窃取して「支払わなければそのデータを公開する」などと脅迫する“多重脅迫”の手口もある。
業務の内容にもよるが、一部のデータをオフラインでバックアップする、機密情報を暗号化するといったことも検討したほうがよいかもしれない。
企業の場合は、ランサムウェアの被害を受けた際には、すぐに復旧するだけでなく、被害を受けた範囲を確認することや社内外に報告することなども重要になってくる。
また、内部の人間のセキュリティに関するリテラシーを高めておくことや、多重脅迫などに対する対応の手順を準備しておくことも検討すべきだろう。
被害にあった場合、身代金を支払ったとしても、データが戻ってくる補償はないばかりか、サイバー犯罪者たちの活動を助長してしまうことにもなりかねない。利用中のセキュリティソフトのサポート窓口や、警察機関などに相談しよう(参考:ランサムウェア被害防止対策|警察庁Webサイト)。
今回は、McAfee Blogから「パスワードの流出と不正アクセスを防ぐための対策まとめ」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
パスワードの流出と不正アクセスを防ぐための対策まとめ:McAfee Blog
インターネットが生活に不可欠だからこそ、マルウェア対策を把握することが重要です。デバイスを保護し、ウイルスを削除する方法などをご覧ください。もっとも、あなたがインターネットを長きにわたり使用されている場合は、インターネットには多少のリスクがあることもご存じでしょう。 マルウェア (または悪意のあるソフトウェア) は、デジタル ライフを送るうえでのリスクの1つです。サイバー犯罪者は、感染したWebサイト、無害に見えるメールの添付ファイル、信頼できると思われているアプリケーションやツールを通じてマルウェアを送り込み、あなたの個人情報を盗んで悪用します。ご使用のデバイスが悪意のあるソフトウェアに感染した疑いがある場合は、ご自身を守るためにすぐにそれを削除することが重要です。マルウェアの扱いはやっかいですが、方法はあります。この記事では、マルウェアがデバイスに感染する経路と、その削除方法について説明します。
オンライン上に存在する様々な危険
普段の生活している中でわからないことがあってもすぐにインターネットで検索することで解決したり、SNSを通じて世界中の人と交流できたり、家にいながら映画やドラマが視聴可能など、現代社会に生きる私達はインターネットを通じて様々な恩恵を受けています。しかしながら、同時に常に危険と隣合わせともいえます。サイバー犯罪者は、オンライン上で自分達の利益のためになるような情報を24時間365日探し続けており、インターネットを利用している人の誰もがターゲットとなる可能性があります。下記では、インターネット上に潜む脅威のなかでも代表的なものを紹介します。
マルウェア感染
マルウェアは、ワーム、トロイの木馬、スパイウェア、アドウェア、コンピューターウイルスを含む悪意のあるソフトウェアや悪質なコードの総称です。サイバー犯罪者達によってメールに添付されたマルウェアをクリックしてしまうと、端末やシステムに悪影響を及ぼしたり、データが流出してしまうなどの被害に遭ってしまいます。近年では感染するとデータにロックをかけてしまい、解除代わりに身代金を要求するランサムウェアと呼ばれるマルウェアを利用した事件が世界各地で報告されています。
フィッシング詐欺
フィッシング詐欺は、無作為に電子メールを送りつけ、メール内に添付されたリンクから偽のホームページに接続させるなどの方法で、住所や電話番号をはじめ、クレジットカード番号、ユーザーIDやパスワードなどの各種アカウント情報などの個人情報を盗み出す詐欺行為です。特に大手企業や銀行など社会的に認知度があり、信用性の高い団体を偽って電子メールを送ってくる場合が多いです。
なりすまし
なりすましは、他人になりすまして電話やメールなどで接触を試みてきて騙し、個人情報を聞き出したり、大金を振り込ませようとしてくる行為のことです。近年、日本では遠方に住む子供や孫を装って高齢者にお金を振り込ませるオレオレ詐欺や、SNSで知り合いのアカウントを乗っ取って本人になりすましてアプローチしてくる方法が目立ちます。上記で紹介したフィッシング詐欺でもよく使われる手法です。
フリーWi-Fiに仕掛けられた罠
外出先でWi-Fiが必要な際、カフェや駅など公共のフリーWi-Fiを利用したことがあると思います。しかし、フリーWi-Fiのほとんどはセキュリティ面が脆弱で、サイバー犯罪者達はそれを利用して罠を仕掛けてくる傾向があります。もし、そういったフリーWi-Fiに繋げてしまうと、お使いの端末がマルウェアに感染したり、接続中に入力したパスワード情報などが流出してしまう危険があります。
他人事ではない、パスワード流出トラブル
スマートフォンを通してオンラインショッピングしたり、SNSを通して交流、家族や恋人との大切な写真をクラウドで保管するなど、私達はいつでもどこにいてもオンライン上での様々なサービスを簡単に利用することができるようになりました。日々の生活の中でオンラインバンキングやSNSなどの各種サービスを利用するためには、まずアカウントにログインしなくてはなりません。そこで必要となるのがIDとパスワードによる認証です。IDとパスワードによって、使用する端末や居場所がいつもと異なった場合でも、どこからでもログインし、サービスを利用することができるのです。
一方、そんなID・パスワードが流出してしまうと非常に厄介です。アカウントが乗っ取られたり、保管してあった大切なデータが盗まれたりしてしまう可能性があります。これまで物理的に行なわれていたサービスも、最近は利便性からインターネットに移行するものが増え続けており、それによってより強力なパスワード認証やセキュリティ面での強化の必要性が高まってきています。
2016年5月に、有名女優など芸能人のFacebookやiCloudが次々に不正ログインされて、プライベートな写真が盗み見られるという事件が一斉に報道されました。逮捕された容疑者は芸能人のFacebookやiCloudに合計200回以上も不正ログインしていただけではなく、一般女性のアカウントにも侵入していたことが発覚しました。さらに容疑者のパソコンには1000人分のIDやパスワード、不正に取得した画像が保存されていたといいます。この事件は、犯罪者が名前や生年月日など、公開されている情報からパスワードを容易に特定できてしまうことを痛感した出来事でした。
また、2020年3月3日には、JR東日本が運営するインターネット上で切符を予約可能な「えきねっと」の3729人のアカウントに不正ログインが行われました。これは別なサービスから流出したユーザーの認証情報を利用して同サービスへのログインを試みるリスト型という手口で、不正ログインされたユーザーの氏名、住所、電話番号、生年月日、メールアドレス、クレジットカード情報の一部等が流出した可能性があります。この事件はサイバー犯罪者がフィッシング攻撃やマルウェアなどで得た個人情報を、他の目的で再利用した事例といえます。
このように一度、IDやパスワードが流出してしまうと誰にも見られたくない情報までもが一般公開されてしまい、半永久的に被害に遭い続ける可能性もあります。特に一般的に認知度の高い著名人は狙われやすい傾向にあり、芸能人のパスワードを高額で取引している裏市場も存在していると言われています。
そして、被害はプライバシーだけにとどまらず、オンラインバンキングへの不正アクセスやクレジットカード情報が盗まれたりした場合、金銭的なダメージにも直結します。警察庁の発表によると、2022年のインターネットバンキングの口座から預金を不正送金する被害額は15億円超にもなり、金融機関などを装ったメールやSMSを使って偽サイトに誘導するフィッシング詐欺による被害が多く、今後より強力な対策が求められているといえます。
パスワードの流出と不正アクセスを防ぐための対策
昨今の日本で起きているような事件に巻き込まれないためにもオンラインセキュリティに関する必要な知識を習得し、オンライン上でのセキュリティをより強固なものにする必要があります。オンラインセキュリティというと一見、専門的で難しいイメージがありますが、自分自身でもできることはたくさんあります。こちらではパスワードの流出や不正アクセスを防ぐために自分自身で実行できる対策を紹介します。
複雑なパスワードを設定する
個人情報を安全に保護するためには、強力なパスワードを設定することが大事です。仮にSNSやオンラインバンキングなど複数のサイトでパスワードを使い回していた場合、たった1つのパスワードがサイバー犯罪者に知られてしまったら、他のサービスのアカウントにも次々と不正アクセスされてしまう危険があります。そうならないための対策としては、それぞれのパスワードをより独自性のあるもの、かつ8桁以上のアルファベットの大文字、小文字、数字、記号など複雑なものを取り入れたものに設定することで最悪の事態を回避することができるでしょう。
多要素認証を設定する
お使いのオンラインサービスのアカウントに多要素認証機能がある場合、必ず利用するようにしましょう。これはログインする際の本人確認として複数の情報を必要することでよりセキュリティを高めます。例えば、ログインする際に入力するパスワードに加えて、スマートフォンに送信されるコードを入力したり、設定したメールアドレスに確認用のメールが届くことによって、セキュリティがより強固なものになります。
VPNを導入する
VPN(Virtual Private Network)は、接続することでインターネット通信を暗号化し、外部への通信内容やパスワードの流出を防ぐことができます。また、VPNサービスプロバイダーが保持する独自のサーバーを経由することでIPアドレスを偽装することができ、本来の居場所を外部に知られる心配がありません。特にカフェや駅など外出先での安全性の低い公共のフリーWi-Fiを利用する際はより効果的といえるでしょう。
自動アップデートを有効にして常に最新の状態を保つ
オンライン上での脅威は常に進化し続けており、それに対応するためにもお使いの端末内にあるアプリやOS、セキュリティ対策ソフトも常時最新の状態を保つことが重要です。また、最新版へのアップデートは手動にすると更新を忘れがちになるので自動で更新するように設定しておきましょう。
SSL化されていないサイトは利用しない
ウェブサイトを閲覧する際、URLが「https」から始まっているかを確認しましょう。もし、「s」がついていない「http」の場合は暗号化されておらず、セキュリティ面が脆弱なため、アクセスしないようにしましょう。また、明らかに日本語が不自然であるサイトや大企業を装った偽サイトもあるので注意しましょう。
面識ない人からのコンタクトは無視する
SNSなどで面識のない人からメッセージが届いた場合は詐欺である可能性があるので無視しましょう。その際にリンクがある場合はクリックするとマルウェアなどに感染する場合があるので絶対にクリックしないようにしましょう。
SNSで投稿する際は細心の注意を払う
SNSで写真や文章を投稿する際は、投稿内容に個人情報が入っていないかどうかをしっかりと確認することが重要です。また、投稿を危険な第三者に見られないためにも投稿範囲を限定することも一つの手といえます。
パスワード管理機能を利用する
上記で説明した複雑なパスワードを全て暗記しておくことは現実的ではありません。パスワードは紙にメモしておくと紛失してしまう可能性があり、パソコンやスマートフォンに保存するとオンライン上に流出してしまうかもしれません。マカフィーが提供するセキュリティサービスにはパスワード管理機能があり、複雑なパスワードを自動生成し、一括管理することが可能です。また、ログインする際にはログイン情報を自動で入力することで入力する手間が省けます。
まとめ
現在、私達は様々なことが急速に変化する時代を生きています。毎年新しい技術が発表され、生活は年々便利になっています。一方でサイバー犯罪の種類と数も増加しており、インターネットに接続している限り、なかなか気が抜けないのも事実です。パスワードの流出に関しては、最も身近で深刻な問題といえますが、上記で紹介した通り、自分自身で防ぐ方法はたくさんあります。特にマカフィーのパスワード管理機能を導入することで、全てのパスワードを覚える手間を省くことができるだけでなく、あらゆるオンラインサービスのログイン情報の安全を保ち続けることができるでしょう。
また、インターネット上の数ある情報の中から、オンラインセキュリティに関する知識を積極的に取り込んで学ぶことで、それぞれに合った対処方法を見出すことができます。最新の流出事件の傾向や新たなテクノロジーの詳細など、常に最新のアンテナを張ることもオンラインセキュリティの変化に対応する上で重要ともいえるでしょう。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
