金銭被害につながりやすい4つの脅威

2013年に発生した情報セキュリティに関する事案の中で、特に一般利用者の金銭被害につながる可能性が高いという4つの事案をIPAが取り上げている。

[ITmedia]

　インターネットやコンピュータなどの利用者を狙うセキュリティの脅威の中で、金銭被害につながる事案が大きな問題になっている。情報処理推進機構（IPA）は1月7日に公開した月例の注意喚起情報で、2013年にみられた4つの事案について解説している。

　IPAがピックアップした4つの事象は次の通り。

• インターネットバンキング利用者を狙った不正送金
• 過去の流行時の約2倍の件数に上るWeb改ざん
• 偽の警告画面を表示させ有償版の購入を促し、クレジットカード番号を入力させる「偽セキュリティソフト」などの手口
• 従来の対策では見抜くことが難しい、スマートフォンのワンクリック請求アプリ

　このうちWeb改ざんを除く3つの事象は、2012年の事象に注目した2013年の注意喚起でも取り上げられており、2013年を通じてさらに深化、巧妙化したという。被害に遭わないためにすべき対策は多いが、まず「自分は大丈夫だという思い込みを捨て、日頃から用心するという心がけも重要」と解説する。

メールで受信するワンタイムパスワードを盗み取る手口のイメージ図（出典：IPA）

　2013年のインターネットバンキングの不正送金関連の相談件数は、上半期20件から下半期は96件と約4倍に増加したという。従来は不正プログラムに感染したコンピュータから銀行のログイン情報を盗み取る手口が多かったものの、2013年は攻撃者がWebメールを悪用し、銀行から利用者あてにメールで送信されたワンタイムパスワードを盗んで利用者本人になりすまし、不正送金を行うケースが出現した。また、銀行などになりすました偽のメールから偽サイトに誘導するフィッシングメールに攻撃も後を絶たないという。

　偽セキュリティソフトなどに関する相談も、2012年の354件から2013年は889件と2.5倍に増えている。偽セキュリティソフトによる被害は、セキュリティ対策が不十分なPCで改ざんされたWebサイトなどを閲覧した場合などがきっかけになりやすい。またPCのデータを勝手に暗号化したり、操作不能にしたりして、復元したいユーザーに金銭を要求する「ランサムウェア」に関する相談も多いとしている。

　Web改ざんは、IPAへの届け出だけで75件あり、過去に流行した2010年の34件や2012年の38件と比べても2倍近い増加となった。JPCERT コーディネーションセンター公表している情報では2013年は第3四半期だけで2774件に上っている。

　推奨される対策としては、（1）出所が不明なファイルをダウンロードしたり、ファイルを開いたりしない、（2）安易にURLリンクを開かない、（3）重要なデータのバックアップをする――の3点が肝心で、セキュリティソフトや常に最新の状態にしておき、OSやアプリケーションなどの脆弱性も可能な限り解決するといった基本の徹底が大切だ。

　さらに、IPAでは年に1度はいつも使用しているメーカー以外の無料のセキュリティツールやサービスを使って、ウイルスチェックを行うことを推奨している。これによって、不正プログラムが見つかることもある。