「セキュリティ強化」をうたう
フィッシングメール
正規のサービスなどをよそおったメールやSMSで、ニセのサイトに誘導し、ログイン情報(IDとパスワードなど)やクレジットカード情報を盗み出すフィッシング詐欺。
その被害はとどまるところを知らない。被害の多さから、カード会社や運送会社などが、公式サイトで注意を促していることも多い。
しかし、そんな現状を逆手に取るフィッシング詐欺もある。最近報告されているのは、“「フィッシング詐欺メールが確認されている」という内容”のフィッシングメールだ。
フィッシング対策協議会によると、消費者金融・カードローンのアイフルをかたり、「弊社を装ったフィッシング詐欺メールが確認されている。セキュリティ強化のためスマートフォンでの本人確認が必要」などといった内容を送り付けて偽のWebサイトへ誘導し、個人情報を窃取するフィッシングメールが報告されているという(フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | アイフルをかたるフィッシング (2024/10/07))。
もちろん、アイフルはこのようなメールを送信していない。すでに、「【緊急のお知らせ】アイフルを装ったフィッシング詐欺にご注意ください」といった注意喚起も発表されている。
フィッシング詐欺が多いという話を聞けば、誰もが「対策しなくては」と考えるものだ。しかし、サイバー犯罪者たちもその思考を狙ってくるので注意してほしい。
メールやSMSからサイトにアクセス“しない”
メールやSMSで送られてきたリンクを、フィッシング詐欺か否かと、公式サイトのURLなどと照らし合わせて確認していくのは手間がかかる作業だ。
また、近年のフィッシングサイトは、外見やURLが本物に似せて作られていることがほとんど。急いでいるときは気づきにくい。
よく利用するサービスへのアクセスとログインには、公式のアプリやブラウザーのブックマークなどからのアクセスを心がけたい。メールやSMSのリンクからはアクセスしないように習慣づけたいところだ。
実際、フィッシング詐欺のメールやSMSが「フィッシング詐欺被害を防止するためのシステム強化」などと称し、個人情報の入力を要求する手口は増えている。
つまり、「メール内容で真偽を判断する」のではなく、直接公式サイトにログインして確認することが重要になってくる。
不審に思った場合、最寄りの消費生活センターなどに相談する手段もある。フィッシング詐欺の被害に遭ってしまったら、各都道府県の警察のフィッシング専用窓口に相談したい(参考:フィッシング対策|警察庁Webサイト)。
今回は、McAfee Blogから「パスワードの流出と不正アクセスを防ぐための対策まとめ」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
パスワードの流出と不正アクセスを防ぐための対策まとめ:McAfee Blog
インターネットが生活に不可欠だからこそ、マルウェア対策を把握することが重要です。デバイスを保護し、ウイルスを削除する方法などをご覧ください。もっとも、あなたがインターネットを長きにわたり使用されている場合は、インターネットには多少のリスクがあることもご存じでしょう。 マルウェア (または悪意のあるソフトウェア) は、デジタル ライフを送るうえでのリスクの1つです。サイバー犯罪者は、感染したWebサイト、無害に見えるメールの添付ファイル、信頼できると思われているアプリケーションやツールを通じてマルウェアを送り込み、あなたの個人情報を盗んで悪用します。ご使用のデバイスが悪意のあるソフトウェアに感染した疑いがある場合は、ご自身を守るためにすぐにそれを削除することが重要です。マルウェアの扱いはやっかいですが、方法はあります。この記事では、マルウェアがデバイスに感染する経路と、その削除方法について説明します。
オンライン上に存在する様々な危険
普段の生活している中でわからないことがあってもすぐにインターネットで検索することで解決したり、SNSを通じて世界中の人と交流できたり、家にいながら映画やドラマが視聴可能など、現代社会に生きる私達はインターネットを通じて様々な恩恵を受けています。しかしながら、同時に常に危険と隣合わせともいえます。サイバー犯罪者は、オンライン上で自分達の利益のためになるような情報を24時間365日探し続けており、インターネットを利用している人の誰もがターゲットとなる可能性があります。下記では、インターネット上に潜む脅威のなかでも代表的なものを紹介します。
マルウェア感染
マルウェアは、ワーム、トロイの木馬、スパイウェア、アドウェア、コンピューターウイルスを含む悪意のあるソフトウェアや悪質なコードの総称です。サイバー犯罪者達によってメールに添付されたマルウェアをクリックしてしまうと、端末やシステムに悪影響を及ぼしたり、データが流出してしまうなどの被害に遭ってしまいます。近年では感染するとデータにロックをかけてしまい、解除代わりに身代金を要求するランサムウェアと呼ばれるマルウェアを利用した事件が世界各地で報告されています。
フィッシング詐欺
フィッシング詐欺は、無作為に電子メールを送りつけ、メール内に添付されたリンクから偽のホームページに接続させるなどの方法で、住所や電話番号をはじめ、クレジットカード番号、ユーザーIDやパスワードなどの各種アカウント情報などの個人情報を盗み出す詐欺行為です。特に大手企業や銀行など社会的に認知度があり、信用性の高い団体を偽って電子メールを送ってくる場合が多いです。
なりすまし
なりすましは、他人になりすまして電話やメールなどで接触を試みてきて騙し、個人情報を聞き出したり、大金を振り込ませようとしてくる行為のことです。近年、日本では遠方に住む子供や孫を装って高齢者にお金を振り込ませるオレオレ詐欺や、SNSで知り合いのアカウントを乗っ取って本人になりすましてアプローチしてくる方法が目立ちます。上記で紹介したフィッシング詐欺でもよく使われる手法です。
フリーWi-Fiに仕掛けられた罠
外出先でWi-Fiが必要な際、カフェや駅など公共のフリーWi-Fiを利用したことがあると思います。しかし、フリーWi-Fiのほとんどはセキュリティ面が脆弱で、サイバー犯罪者達はそれを利用して罠を仕掛けてくる傾向があります。もし、そういったフリーWi-Fiに繋げてしまうと、お使いの端末がマルウェアに感染したり、接続中に入力したパスワード情報などが流出してしまう危険があります。
他人事ではない、パスワード流出トラブル
スマートフォンを通してオンラインショッピングしたり、SNSを通して交流、家族や恋人との大切な写真をクラウドで保管するなど、私達はいつでもどこにいてもオンライン上での様々なサービスを簡単に利用することができるようになりました。日々の生活の中でオンラインバンキングやSNSなどの各種サービスを利用するためには、まずアカウントにログインしなくてはなりません。そこで必要となるのがIDとパスワードによる認証です。IDとパスワードによって、使用する端末や居場所がいつもと異なった場合でも、どこからでもログインし、サービスを利用することができるのです。
一方、そんなID・パスワードが流出してしまうと非常に厄介です。アカウントが乗っ取られたり、保管してあった大切なデータが盗まれたりしてしまう可能性があります。これまで物理的に行なわれていたサービスも、最近は利便性からインターネットに移行するものが増え続けており、それによってより強力なパスワード認証やセキュリティ面での強化の必要性が高まってきています。
2016年5月に、有名女優など芸能人のFacebookやiCloudが次々に不正ログインされて、プライベートな写真が盗み見られるという事件が一斉に報道されました。逮捕された容疑者は芸能人のFacebookやiCloudに合計200回以上も不正ログインしていただけではなく、一般女性のアカウントにも侵入していたことが発覚しました。さらに容疑者のパソコンには1000人分のIDやパスワード、不正に取得した画像が保存されていたといいます。この事件は、犯罪者が名前や生年月日など、公開されている情報からパスワードを容易に特定できてしまうことを痛感した出来事でした。
また、2020年3月3日には、JR東日本が運営するインターネット上で切符を予約可能な「えきねっと」の3729人のアカウントに不正ログインが行われました。これは別なサービスから流出したユーザーの認証情報を利用して同サービスへのログインを試みるリスト型という手口で、不正ログインされたユーザーの氏名、住所、電話番号、生年月日、メールアドレス、クレジットカード情報の一部等が流出した可能性があります。この事件はサイバー犯罪者がフィッシング攻撃やマルウェアなどで得た個人情報を、他の目的で再利用した事例といえます。
このように一度、IDやパスワードが流出してしまうと誰にも見られたくない情報までもが一般公開されてしまい、半永久的に被害に遭い続ける可能性もあります。特に一般的に認知度の高い著名人は狙われやすい傾向にあり、芸能人のパスワードを高額で取引している裏市場も存在していると言われています。
そして、被害はプライバシーだけにとどまらず、オンラインバンキングへの不正アクセスやクレジットカード情報が盗まれたりした場合、金銭的なダメージにも直結します。警察庁の発表によると、2022年のインターネットバンキングの口座から預金を不正送金する被害額は15億円超にもなり、金融機関などを装ったメールやSMSを使って偽サイトに誘導するフィッシング詐欺による被害が多く、今後より強力な対策が求められているといえます。
パスワードの流出と不正アクセスを防ぐための対策
昨今の日本で起きているような事件に巻き込まれないためにもオンラインセキュリティに関する必要な知識を習得し、オンライン上でのセキュリティをより強固なものにする必要があります。オンラインセキュリティというと一見、専門的で難しいイメージがありますが、自分自身でもできることはたくさんあります。こちらではパスワードの流出や不正アクセスを防ぐために自分自身で実行できる対策を紹介します。
複雑なパスワードを設定する
個人情報を安全に保護するためには、強力なパスワードを設定することが大事です。仮にSNSやオンラインバンキングなど複数のサイトでパスワードを使い回していた場合、たった1つのパスワードがサイバー犯罪者に知られてしまったら、他のサービスのアカウントにも次々と不正アクセスされてしまう危険があります。そうならないための対策としては、それぞれのパスワードをより独自性のあるもの、かつ8桁以上のアルファベットの大文字、小文字、数字、記号など複雑なものを取り入れたものに設定することで最悪の事態を回避することができるでしょう。
多要素認証を設定する
お使いのオンラインサービスのアカウントに多要素認証機能がある場合、必ず利用するようにしましょう。これはログインする際の本人確認として複数の情報を必要することでよりセキュリティを高めます。例えば、ログインする際に入力するパスワードに加えて、スマートフォンに送信されるコードを入力したり、設定したメールアドレスに確認用のメールが届くことによって、セキュリティがより強固なものになります。
VPNを導入する
VPN(Virtual Private Network)は、接続することでインターネット通信を暗号化し、外部への通信内容やパスワードの流出を防ぐことができます。また、VPNサービスプロバイダーが保持する独自のサーバーを経由することでIPアドレスを偽装することができ、本来の居場所を外部に知られる心配がありません。特にカフェや駅など外出先での安全性の低い公共のフリーWi-Fiを利用する際はより効果的といえるでしょう。
自動アップデートを有効にして常に最新の状態を保つ
オンライン上での脅威は常に進化し続けており、それに対応するためにもお使いの端末内にあるアプリやOS、セキュリティ対策ソフトも常時最新の状態を保つことが重要です。また、最新版へのアップデートは手動にすると更新を忘れがちになるので自動で更新するように設定しておきましょう。
SSL化されていないサイトは利用しない
ウェブサイトを閲覧する際、URLが「https」から始まっているかを確認しましょう。もし、「s」がついていない「http」の場合は暗号化されておらず、セキュリティ面が脆弱なため、アクセスしないようにしましょう。また、明らかに日本語が不自然であるサイトや大企業を装った偽サイトもあるので注意しましょう。
面識ない人からのコンタクトは無視する
SNSなどで面識のない人からメッセージが届いた場合は詐欺である可能性があるので無視しましょう。その際にリンクがある場合はクリックするとマルウェアなどに感染する場合があるので絶対にクリックしないようにしましょう。
SNSで投稿する際は細心の注意を払う
SNSで写真や文章を投稿する際は、投稿内容に個人情報が入っていないかどうかをしっかりと確認することが重要です。また、投稿を危険な第三者に見られないためにも投稿範囲を限定することも一つの手といえます。
パスワード管理機能を利用する
上記で説明した複雑なパスワードを全て暗記しておくことは現実的ではありません。パスワードは紙にメモしておくと紛失してしまう可能性があり、パソコンやスマートフォンに保存するとオンライン上に流出してしまうかもしれません。マカフィーが提供するセキュリティサービスにはパスワード管理機能があり、複雑なパスワードを自動生成し、一括管理することが可能です。また、ログインする際にはログイン情報を自動で入力することで入力する手間が省けます。
まとめ
現在、私達は様々なことが急速に変化する時代を生きています。毎年新しい技術が発表され、生活は年々便利になっています。一方でサイバー犯罪の種類と数も増加しており、インターネットに接続している限り、なかなか気が抜けないのも事実です。パスワードの流出に関しては、最も身近で深刻な問題といえますが、上記で紹介した通り、自分自身で防ぐ方法はたくさんあります。特にマカフィーのパスワード管理機能を導入することで、全てのパスワードを覚える手間を省くことができるだけでなく、あらゆるオンラインサービスのログイン情報の安全を保ち続けることができるでしょう。
また、インターネット上の数ある情報の中から、オンラインセキュリティに関する知識を積極的に取り込んで学ぶことで、それぞれに合った対処方法を見出すことができます。最新の流出事件の傾向や新たなテクノロジーの詳細など、常に最新のアンテナを張ることもオンラインセキュリティの変化に対応する上で重要ともいえるでしょう。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト