フィッシングの流行手法から考える “全員参加”のセキュリティ対策：半径300メートルのIT

個人を狙うランサムウェア攻撃は一時期と比べて減少し、攻撃の主軸はフィッシングへとシフトしています。高度化する詐欺に私たちはどう対抗すればいいのでしょうか。

[宮田健，ITmedia]

　筆者はフリーランスライターになる以前、編集者として担当する連載執筆者の原稿を見るお仕事をしていました。その中でも特に印象に残っているのは、今もセキュリティのリサーチャーの第一線で活動する辻 伸弘氏の、ランサムウェア被害に遭った方への生々しいインタビューでした。

　個人の思い出であり家族の歴史そのものといっていい写真データがランサムウェアによって暗号化され「言葉では言い表せない絶望感だった」と被害者が当時語っていたことを覚えています。

　これは2016年の記事で、当時はまさに個人を狙うランサムウェア全盛時代。多くの被害者が生まれたと思います。しかし最近は、個人がランサムウェアへの標的になるという話はあまり聞かなくなりました。ランサムウェア攻撃は“組織”へと舞台を移し、現在も被害を拡大させています。

　では“個人”を狙ったサイバー攻撃がまるっきりなくなったかというとそうではありません。確かに個人レベルで、コンピュータウイルスに感染するという事例はあまり聞かなくなりましたが、攻撃の矛先および手法に変化が生じているだけなのです。

個人を狙った攻撃は「フィッシング」が中心に　有効な詐欺対策とは？

　個人を狙ったコンピュータウイルスは減少したというよりは、いい意味で「検知できない」ようになったと考えた方がよさそうです。最近は「Windows」に付属の「Microsoft Defender」さえ有効にしておけば、既知のマルウェアを防御できるようになりました（もちろんWindows Updateで常に最新の状態に保っておく必要はありますが）。

　では、これを受けて個人を狙うサイバー攻撃にどのような変化が生じたかというと、より脆弱（ぜいじゃく）な部分、つまり「人そのもの」をだますような攻撃にシフトしたと言えるでしょう。具体的にはフィッシングや振り込め詐欺のような「会話による詐欺」などが高度化・活発化しています。もはやサイバー攻撃というよりも純粋な詐欺対策が求められています。

　この連載でも何度か取り上げていますが、フィッシング対策としては「見抜かない」ことが重要です。もはや見抜くことには意味はないですし、本物との違いを探しても明日にはその違いがなくなっているでしょう。加えて、会話でだます手法も高度化しており、疑い深い人でもいつかはだまされてしまうでしょう。相手は集団で、だますことについて専門家もいるでしょう。一人ではできることに限界があります。

高度化する犯罪には“全員参加”で対抗せよ

　激化するフィッシングなどの詐欺に対抗するにはやはり“皆で守る”という意識を持つことが大事でしょう。

　組織を狙ったランサムウェア攻撃には、身元が判明しにくい暗号通貨がよく使われますが、個人レベルの攻撃ではしばしば電子マネーが利用されます。電子マネーを使った詐欺では、コンビニエンスストアにある電子マネーカードが利用されるケースも多いのですが、最近では警察署とコンビニエンスストアが共同でさまざまな対策を講じています。過去の新聞報道を検索すると、コンビニエンスストアの店員が（恐らく個人の判断で）、詐欺を未然に防いだことを報じる記事がたくさん出ています。こういった草の根的な活動が、防御の一端を担っていることは非常に心強いです。

　ただ、詐欺犯罪者が狙うのは電子マネーだけではありません。当然、現金もその標的です。最近では、ネットバンキングやATMを通じて不正な振り込みをさせる詐欺が高齢者を中心に大きな問題となっています。恐らく今後、これは高齢者だけではなく全ての人に対して脅威になるでしょう。一人では対抗できるものではなくなる前に、ぜひこれらについては“皆で守る”ことを目指したいと思います。

　「ITmedia エンタープライズ」の読者は最近のサイバー攻撃に関する知識がある方多いでしょう。まずは家族に最新の詐欺状況を共有してあげてください。近年は個人を狙った詐欺として「サポート詐欺」が多発しています。スマートフォンやPCを見ていると、Webの広告バナーに含まれるスクリプトが発動し、突然画面に警告があふれ、例えば「コンピュータウイルスが発見されました。駆除するにはこの電話番号に連絡を」などと表示され、電話であなたをだまそうとするものです。

　ぜひ家族にはこういった詐欺が広まっていることを知らせ、もしそういう画面が表示されたとしてもすぐに電話したり振り込みをしたりせず、必ず詳しい人（つまり、あなたです！）に相談するようにお伝えください。

　その他、スマートフォンのSMSを通じて荷物の再配達などを装いフィッシングサイトに誘導し、ID／パスワードを盗む攻撃も流行しています。フィッシングに対しては、現時点では「手口を知る」ことが非常に有効です。そのためには、現在行われているフィッシング文面を把握し、周知する必要があるでしょう。これについては、もしかしたらそういったSMSの文面を周囲やSNSなどで共有することも対策になります。その文面を見れば、自分のところにSMSが「着弾」しても、詐欺だとすぐに分かるかもしれませんし、最近ではさまざまな会社に属している「フィッシングハンター」と呼ばれる人たちの目にとまり、対策につながる可能性もあります。

　ただしSMSの文面をスクリーンショットでSNSなどに投稿する際には、送信者の電話番号は必ず隠してください。実はこの送信元とされる番号はサイバー犯罪者ではなく、サイバー犯罪者にスマートフォンを乗っ取られ、不正なメッセージを送信させられている一般の方、つまり“被害者”であるケースが多いのです。SNSに投稿すると発信者を犯人と見なして二次被害が発生するかもしれません。そこだけは注意しましょう。

こういった詐欺SMSには日本の携帯電話番号から発信されている場合もあるが、必ずこの番号は伏せること！（出典：筆者の「iPhone」の画面）

　かつては猛威をふるったコンピュータウイルスですが、もはや個人に対してはさほど大きなもうけにならないのか、今行われているのはサイバー犯罪ではなく単なる「犯罪」です。犯罪に巻き込まれないためには自衛だけではなく“家族で”“集団で”守ることが重要だと思います。詐欺に遭えば金銭的な被害だけでなく、精神的にも大きなダメージを受けてしまいます。自分がそうならないために、家族がそうならないためにぜひ、今できることを考えてください。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。