フィッシングの流行手法から考える “全員参加”のセキュリティ対策:半径300メートルのIT
個人を狙うランサムウェア攻撃は一時期と比べて減少し、攻撃の主軸はフィッシングへとシフトしています。高度化する詐欺に私たちはどう対抗すればいいのでしょうか。
筆者はフリーランスライターになる以前、編集者として担当する連載執筆者の原稿を見るお仕事をしていました。その中でも特に印象に残っているのは、今もセキュリティのリサーチャーの第一線で活動する辻 伸弘氏の、ランサムウェア被害に遭った方への生々しいインタビューでした。
個人の思い出であり家族の歴史そのものといっていい写真データがランサムウェアによって暗号化され「言葉では言い表せない絶望感だった」と被害者が当時語っていたことを覚えています。
これは2016年の記事で、当時はまさに個人を狙うランサムウェア全盛時代。多くの被害者が生まれたと思います。しかし最近は、個人がランサムウェアへの標的になるという話はあまり聞かなくなりました。ランサムウェア攻撃は“組織”へと舞台を移し、現在も被害を拡大させています。
では“個人”を狙ったサイバー攻撃がまるっきりなくなったかというとそうではありません。確かに個人レベルで、コンピュータウイルスに感染するという事例はあまり聞かなくなりましたが、攻撃の矛先および手法に変化が生じているだけなのです。
個人を狙った攻撃は「フィッシング」が中心に 有効な詐欺対策とは?
個人を狙ったコンピュータウイルスは減少したというよりは、いい意味で「検知できない」ようになったと考えた方がよさそうです。最近は「Windows」に付属の「Microsoft Defender」さえ有効にしておけば、既知のマルウェアを防御できるようになりました(もちろんWindows Updateで常に最新の状態に保っておく必要はありますが)。
では、これを受けて個人を狙うサイバー攻撃にどのような変化が生じたかというと、より脆弱(ぜいじゃく)な部分、つまり「人そのもの」をだますような攻撃にシフトしたと言えるでしょう。具体的にはフィッシングや振り込め詐欺のような「会話による詐欺」などが高度化・活発化しています。もはやサイバー攻撃というよりも純粋な詐欺対策が求められています。
この連載でも何度か取り上げていますが、フィッシング対策としては「見抜かない」ことが重要です。もはや見抜くことには意味はないですし、本物との違いを探しても明日にはその違いがなくなっているでしょう。加えて、会話でだます手法も高度化しており、疑い深い人でもいつかはだまされてしまうでしょう。相手は集団で、だますことについて専門家もいるでしょう。一人ではできることに限界があります。
高度化する犯罪には“全員参加”で対抗せよ
激化するフィッシングなどの詐欺に対抗するにはやはり“皆で守る”という意識を持つことが大事でしょう。
組織を狙ったランサムウェア攻撃には、身元が判明しにくい暗号通貨がよく使われますが、個人レベルの攻撃ではしばしば電子マネーが利用されます。電子マネーを使った詐欺では、コンビニエンスストアにある電子マネーカードが利用されるケースも多いのですが、最近では警察署とコンビニエンスストアが共同でさまざまな対策を講じています。過去の新聞報道を検索すると、コンビニエンスストアの店員が(恐らく個人の判断で)、詐欺を未然に防いだことを報じる記事がたくさん出ています。こういった草の根的な活動が、防御の一端を担っていることは非常に心強いです。
ただ、詐欺犯罪者が狙うのは電子マネーだけではありません。当然、現金もその標的です。最近では、ネットバンキングやATMを通じて不正な振り込みをさせる詐欺が高齢者を中心に大きな問題となっています。恐らく今後、これは高齢者だけではなく全ての人に対して脅威になるでしょう。一人では対抗できるものではなくなる前に、ぜひこれらについては“皆で守る”ことを目指したいと思います。
「ITmedia エンタープライズ」の読者は最近のサイバー攻撃に関する知識がある方多いでしょう。まずは家族に最新の詐欺状況を共有してあげてください。近年は個人を狙った詐欺として「サポート詐欺」が多発しています。スマートフォンやPCを見ていると、Webの広告バナーに含まれるスクリプトが発動し、突然画面に警告があふれ、例えば「コンピュータウイルスが発見されました。駆除するにはこの電話番号に連絡を」などと表示され、電話であなたをだまそうとするものです。
ぜひ家族にはこういった詐欺が広まっていることを知らせ、もしそういう画面が表示されたとしてもすぐに電話したり振り込みをしたりせず、必ず詳しい人(つまり、あなたです!)に相談するようにお伝えください。
その他、スマートフォンのSMSを通じて荷物の再配達などを装いフィッシングサイトに誘導し、ID/パスワードを盗む攻撃も流行しています。フィッシングに対しては、現時点では「手口を知る」ことが非常に有効です。そのためには、現在行われているフィッシング文面を把握し、周知する必要があるでしょう。これについては、もしかしたらそういったSMSの文面を周囲やSNSなどで共有することも対策になります。その文面を見れば、自分のところにSMSが「着弾」しても、詐欺だとすぐに分かるかもしれませんし、最近ではさまざまな会社に属している「フィッシングハンター」と呼ばれる人たちの目にとまり、対策につながる可能性もあります。
ただしSMSの文面をスクリーンショットでSNSなどに投稿する際には、送信者の電話番号は必ず隠してください。実はこの送信元とされる番号はサイバー犯罪者ではなく、サイバー犯罪者にスマートフォンを乗っ取られ、不正なメッセージを送信させられている一般の方、つまり“被害者”であるケースが多いのです。SNSに投稿すると発信者を犯人と見なして二次被害が発生するかもしれません。そこだけは注意しましょう。
かつては猛威をふるったコンピュータウイルスですが、もはや個人に対してはさほど大きなもうけにならないのか、今行われているのはサイバー犯罪ではなく単なる「犯罪」です。犯罪に巻き込まれないためには自衛だけではなく“家族で”“集団で”守ることが重要だと思います。詐欺に遭えば金銭的な被害だけでなく、精神的にも大きなダメージを受けてしまいます。自分がそうならないために、家族がそうならないためにぜひ、今できることを考えてください。
関連記事
- 今どきのフィッシングは「レベルが違う」 私たちが引っ掛からないためにできること
2023年の不正送金額は1〜6月の上半期だけで過去最多を記録した。フィッシング対策に向けて銀行はどのような取り組みをしているのか、また引っ掛からないために、消費者ができることは何か。 - 詐欺師らはいかにしてクレジットカード情報を窃取し、現金化するのか?
中国のフィッシング詐欺グループは、一体どのようにして検出を回避し、盗んだクレジットカード情報を現金化するのか。リサーチャーのストロベリー・ドーナツ氏がその非常に巧妙な手口を赤裸々に語った。 - 「SMSは40年前の時代遅れの技術」 Googleがセキュリティを問題視
GoogleはSMSを40年前の時代遅れの技術でセキュリティ的に問題があると指摘し、より安全なリッチコミュニケーションサービス(RCS)への移行を提案している。 - 警察庁が言う“ノーウェアランサム”とは何か? 新たな攻撃が生まれた背景を探る
警察庁が最近公開したレポートである言葉がちょっとした話題になりました。それは「ノーウェアランサム」。一体どういった攻撃手法なのでしょうか。
関連リンク
- 「言葉では言い表せない絶望感だった」――ランサムウェア被害者が語る:セキュリティ・ダークナイト ライジング(外伝)(@IT)
- 赤羽署の架空請求対策がアタマいい? コンビニに「未納料金支払いの方はお持ちください」カード設置 実施の経緯を聞いた - ITmedia NEWS
- 架空料金請求詐欺 | 特殊詐欺の手口等紹介 | 警察庁・SOS47特殊詐欺対策ページ
- プリペイドカードの購入を指示する詐欺業者にご注意!!−「購入したカードに記載された番号を教えて」は危ない!−(発表情報)_国民生活センター
- プリペイドカードの購入を指示する詐欺業者にご注意ください!:金融庁
- 電子マネーを悪用した詐欺にご注意ください!:財務省関東財務局
Copyright © ITmedia, Inc. All Rights Reserved.