言われた通りに操作したら、それが罠でした
スマホやPCでサービスにログインしようとしたとき、「私はロボットではありません」という表示を見たことはないだろうか。
これは、ウェブサイトの不正アクセスを防ぐためのセキュリティチェック。アクセスしようとしているのが“人間”であること、そして自動プログラム(ボット)ではないことを証明するためのものだ。
しかし、そこには罠が隠されているかもしれない。たとえば、PCなどの利用者を誘導し利用者自身に不正コマンドを実行させるサイバー攻撃手口の一つ「ClickFix」がある。
ClickFixとは、利用者自身を誘導して、不正なコマンドやコードを手動で実行させることを目的としたソーシャル・エンジニアリング手法のこと。
従来のマルウェア配布は、悪意ある添付ファイルや、ダウンロードを通じて侵入を図ることが多い。しかし、ClickFixは偽のメッセージや画面を相手に見せ、利用者自身に指示通りにシステム上でコマンドを実行させる点が特徴である。
「システム上でコマンドを〜」などというと、ずいぶんと難しいことだと思うかもしれない。しかし、中には認証画面でよく見られる「ロボットですか、人間ですか?」といった表示を見せ、人間であることの確認ステップに見せかけて指定のコマンドをコピー&ペーストで実行させて成立させる手口もある。この手法については警察局も注意を促している。
ClickFixの特徴は「人間の習慣」を突く点にある。コピー&ペーストをうながすことによって、ユーザーの「ログインしたい」という心理や、画面表示が正規のものであるという錯覚に付け込んで、相手を操作しようとしているのだ。
疑わしい指示をそのまま実行しない
有効な対策としては、“疑わしい指示をそのまま実行しない”ことが挙げられるだろう。
ウェブページやメールで「コピーして貼り付けてください」「表示されたコードを実行してください」と促された場合は、まずは用心。送信元やURLを慎重に確認し、公式サイトや管理者へ別途連絡して真偽を確かめたい。
もちろん、全体的なセキュリティの強化も忘れてはならない。パスワードとSMSで送られてくるコード、パスワードと指紋認証など、異なる認証要素を組み合わせるセキュリティ「他要素認証」の導入もしておきたいところ。
信頼のできるセキュリティソリューションを導入し、ウイルスやマルウェアの脅威から身を守っておくのは、現代社会では必須の態度だ。
今回は、McAfee Blogから「自分で実行できるオンライン上での基本的なセキュリティ対策」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
自分で実行できるオンライン上での基本的なセキュリティ対策:McAfee Blog
近年、様々な手口のサイバー犯罪が日本各地で発生しており、毎日のようにニュースで取り上げられています。サイバー犯罪は、インターネットが必要不可欠な存在になっている現代において深刻な社会問題の1つといえます。厄介なのが次から次へと新しい手口で私達に襲いかかってくるという点で、その度に新しい対策を講じる必要が出てきます。果たして、サイバー犯罪に怯えることなく、インターネットを利用することはもう不可能なのでしょうか。今回は、普段からインターネットを利用しながらでも実行できる基本的なセキュリティ対策に加えて、有効的なセキュリティ対策の1つであるマカフィー+についても詳しく解説します。この記事を読んで実生活と同様にオンライン上でのセキュリティ意識をより高めましょう。
サイバー犯罪者達は日本企業や技術力を狙っている
最近、日本国内ではSNSを使った詐欺事件やランサムウェア攻撃による企業の被害などが連日報道されているように、以前と比べてサイバー犯罪がより身近な存在になってきています。これまでの日本はトヨタや日産などの自動車製造をはじめ、技術革新によって高品質な製品を生み出す製造業など様々な分野で世界をリードする経済大国として知られていました。しかし近年、この日本の技術力の高さが他国や海外のサイバー犯罪者の主なターゲットとなっています。
ここ数年、中国などのハッカー集団から日本企業や公共団体に向けてのサイバー攻撃が非常に増えており、多くの企業がサイバー攻撃対策を積極的に導入しはじめています。特に大企業や公官庁など特定のサーバーやシステムを使用不能にして身代金を要求するランサムウェア攻撃は日を追うごとに増加しており、現代社会における悩みの種となっています。
私達の生活の中でもより身近な存在になりつつある
2019年末からしばらく続いた新型コロナウイルスパンデミックの影響により、今まで日本人にとって当たり前だった電車通勤や残業などが見直されるなど、私達日本人の働き方も大きく変わり始めています。最近は、会社に出勤せずに自宅やカフェなどで遠隔で仕事をするリモートワーク(またはテレワーク)が普及しており、これまでの通勤時間をそのまま自分の自由な時間に使えるようになりました。しかし、自宅をはじめ、カフェや駅など公共のWi-Fiはセキュリティ面が脆弱なことが多く、機密性の高い情報を共有する際に大きなリスクがあり、度々情報流出などの事件が起きています。加えて、個人のデバイスで会社のデータベースへアクセスしてしまい、社内情報が漏洩してしまったり、社員用デバイスから悪意のあるウェブサイトへアクセスしてしまった結果、マルウェアに感染してしまい、サイバー犯罪者に社内システムへ不正アクセスされてしまうなどの被害が次々と起こっています。
また、SNSの普及によって様々な事件が起きています。IDやパスワードが漏洩してしまい、アカウントが乗っ取られてしまい、個人情報が漏洩しまうユーザーは後を絶たず、最近は高額の報酬と引き換えに特殊詐欺への勧誘なども頻繁に発生しています。
さらにここ10年ほどでスマート家電と呼ばれるIoT技術が組みこまれた家電が一般的となっていますが、実はここでも問題が起きています。スマート家電はスマホやタブレット、パソコンと連動して遠隔操作が可能な便利な家電ですが、IDやパスワードが漏洩されてハッキングされることによって様々な犯罪に悪用されています。
例えば、自宅の監視カメラは不在時でもスマホを使って遠隔に管理することができますが、サイバー犯罪者に乗っ取られてしまうとカメラ自体を止められてしまい、不法侵入される恐れがあります。スマートメーターが自宅の電力をデジタルで計測することができますが、ハッキングされてしまうと、不正に書き換えられて電気料金を過剰に請求されてしまったり、サイバー犯罪者に電力消費量知られしまうことで不在時間に空き巣に入られてしまう危険があります。車や自宅の鍵に遠隔で使用できるスマートキーを使っている場合は、ハッキングされてしまうと車が盗難の被害に遭ったり、泥棒に入られてしまうなどの被害が日本国内でもいくつか発生しています。
このように私達の働き方や利便性が向上するにつれて、サイバー犯罪に遭遇する確率も高まっているといえます。
自分でも簡単に実行できるセキュリティ対策
上記で紹介したようなサイバー犯罪に巻き込まれないためにも日頃から自分自身ですぐに実行できることはあります。以下では、基本的なセキュリティ対策をまとめました。
怪しいメールやURLはクリックしない
送り先が不明なメールやメール内に添付されているURLには、マルウェアなどが仕掛けられている可能性が高いため、非常に危険です。最近はメールだけでなく、SNS上で芸能人や容姿端麗な人を装ってメッセージを送りつけてくる手口が増えています。見覚えのない大手企業を名乗るメールやメッセージはほぼ詐欺と考えて間違いありません。怪しいURLのクリックはもちろんのこと、メールの開封も絶対にしないようにしましょう。
推測されにくいパスワードを設定する
パスワードの漏洩は情報漏洩の中でも最も簡単な手口の1つです。インターネット上におけるオンラインサービス利用者の多くは、自分の誕生日や11111111や12345678などの単純なパスワードを使用しています。その多くが同じパスワードや類似のパスワードを使い回しているため、どれか1つのパスワードがサイバー犯罪者に知られてしまうと、複数のアカウントにアクセスされてしまう危険性があります。パスワードを推測されないためにも、大小の英字、数字、記号などを複雑に組み合わせた最低8文字以上のパスワードを作り、各サービスごとに異なるパスワードを使用することをおすすめします。
OSのバージョンは常に最新の状態に
サイバー犯罪者はデバイスのOSやアプリの脆弱性を狙って攻撃を仕掛けてきます。それらの欠陥や脆弱性を修正する度に最新のバージョンがリリースされます。お使いのパソコンやスマホのOSやアプリを常に最新版を保つことは、サイバー攻撃を防ぐ重要な役割を担っているので、新しいバージョンがリリースされたらすぐに更新することを忘れないようにしましょう。
ログインする際に多要素認証を利用する
各オンラインサービスにおいて、サイバー犯罪者に簡単にログインされないためにも、多要素認証などの導入は必要不可欠といえます。多要素認証とは、本人確認する際のセキュリティ面をより高めるために複数の認証を行なう認証方式です。従来のパスワードや暗証番号に加えて、指紋や顔認証などの生体認証を組み合わせることでログインする際により強力なセキュリティ対策となります。
個人情報の公開を制限する
最近発生している犯罪や事件の多くはSNSがきっかけというものも少なくなく、SNS上では誰が見ているかわかりません。個人情報を守るためにもSNS上で自分に関する情報を発信する際に、必要以上の情報が含まれていないかを投稿する前に見直す習慣をつけるようにしましょう。
公共のWi-Fiを使用する際には必ずVPNに接続する
カフェや駅など誰でも利用できる公共のWi-Fiはセキュリティ面が脆弱な場合が多く、しばしばサイバー犯罪者が罠を仕掛けていることがあります。何も考えずに公共のWi-Fiを利用してしまうと、スマホの中の個人情報が抜き取られたり、マルウェアに感染してしまう危険があるので、利用する際はVPN(仮想プライベートネットワーク)に接続することをおすすめします。VPNは、お使いのデバイスからのインターネット通信を暗号化するので、外部から情報が盗み見られてしまう心配がなくなります。
マカフィーの総合的なセキュリティ対策ソフトの導入
オンライン上の脅威は日を追うごとに増えているだけでなく、進化しており、私達は早急な対策を迫られています。しかし、お使いのデバイスに優れたセキュリティ対策ソフトを導入することで多くの脅威を防ぐことが可能です。
マカフィーが提供しているマカフィー+には、前述のVPNをはじめ、様々な優れたセキュリティ対策機能が搭載されているので、個人・法人ともにお使いのデバイスを保護するために最適な方法といえます。
例えば、パスワード管理機能は複数のオンラインサービスにおけるパスワードを自動保存してくれるため、ひとつひとつ覚えておく必要がなくなるだけでなく、複雑なパスワードを生成してくれるので安全です。また、ID・個人情報のモニタリング機能は、ダークウェブ上で最大60種類までの特定のIDやメールアドレスなどの個人情報を常に監視し、検出された場合はすぐに知らせてくれます。そして、詐欺SMS検知機能は最近リリースされた最新の機能で、これはマカフィーのスマートAIがSMS内の詐欺リンクを検出したり、誤ってSNSやメール内にある危険なURLをクリックしてしまった際に通信をブロックしてくれます。
このようにマカフィー+には様々な優れたセキュリティ対策機能が搭載されており、マルウェアなどオンライン上の様々な脅威からお使いのデバイスを保護する重要な役割を担っています。
まとめ
今回は、現代の課題でもあるオンライン上の様々な脅威を解説しつつ、自分でも実行できる基本的なセキュリティ対策を1つずつ紹介してきました。私達はこれまで事故や病気など、物理的な危険を避けるために様々な対策を施してきましたが、それに加えて現代ではオンライン上でも気をつける必要があります。これまで紹介した通り、インターネットには様々な危険が潜んでおり、どれが安全かどうかを自分自身で判断するのは非常に難しいといえる状況にまで世の中が発展してきました。インターネット上を主戦とするサイバー犯罪者達は、オンライン上の至るところに身を潜めており、ひとたびチャンスとみると一気に攻撃を仕掛けてきます。
オンライン上で犯罪に巻き込まれないためには、今回紹介した基本的な対策はもちろんのこと、マカフィー+のような優れたセキュリティ対策ソフトを導入することが安全な生活を送るためには必要不可欠といえます。そして、最新の犯罪手口に対して常にアンテナを張り、把握しておくことも重要といえます。サイバー犯罪は、年々手口が巧妙化しており、自分だけではなく友人や仕事先にまで被害を与える危険があります。サイバー犯罪に巻き込まれて手遅れにならないためにも、今回紹介したような優れたセキュリティ対策ソフトを早めに導入することをおすすめします。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
