サイバー犯罪の手口は、日々巧妙化しています。中でもネット利用者の心の隙を突く手口は近年特に顕著になっています。最新の手口を知り、情報や金銭をだまし取られないための6つの対策を実践しましょう。
不安をあおる手口に注意
近年、ネット利用者から情報や金銭をだまし取る手口として、ソーシャルエンジニアリングによる被害が目立つようになってきました。ソーシャルエンジニアリングとは、人の心理的な隙につけ込んで特定の行動を相手にとらせる手法のことです。
実在する金融機関やネットサービスなどに偽装したメールやメッセージで、「パスワードの有効期限が迫っている」「時間内にアカウントの再開手続きをしないとアカウントが無効になる」などと通知し、メッセージ内の不正なURLリンクから偽サイト(フィッシングサイト)に誘導し、認証情報やクレジットカード情報などを窃取する手口はその典型です。
図:カスタマーセンターをかたるフィッシングメール
そのほかにも、「ウイルスが見つかりました」などの偽のセキュリティ警告を日本語で読み上げたり、Webブラウザ上に表示したりして、偽のサポートセンターへ電話するよう仕向けるパターンもあります。これらはサポート詐欺と呼ばれ、実体のない有償のサポート契約を結ばせて金銭や情報をだまし取る手口です。
このような偽のセキュリティ警告の手口には、「システム破損」などの偽の警告文を介して不正サイトへ誘導し、システム修復やウイルス除去の名目で迷惑ソフトをインストールさせたり売りつけようとしたりする手口もあります。
どちらの手口も警告画面で利用者の不安をあおったり、対応を急かしたりすることで利用者の判断力を鈍らせることが狙いです。
図:トレンドマイクロが2019年1月に確認した偽警告の表示例
不安をあおる手口でさらに悪質なものがネット恐喝です。「アダルトサイトを見ているときの様子を撮影した動画をばらまく」といった偽のメールを不特定多数に送りつけて、それを本物と誤認した受信者から口止め料を脅し取るセクストーション(性的脅迫)の手口も確認されています。この脅迫メールでは、送信元メールアドレス(From:)を受信者自身のメールアドレスに偽装したり、受信者が何らかのインターネットサービスで実際に使用していたものと考えられるパスワードを表題や本文に記載したりして脅迫内容を信じ込ませようとします。
著名なネットサービスや大手企業を偽装した手口に注意
サイバー犯罪者は、著名な企業やサービスを無意識に信用してしまう人の油断にもつけ込みます。たとえば、実在する配送業者の不在通知を装うSMS(ショートメッセージサービス)を送りつけ、受信者をフィッシングサイトや不正アプリの配布サイトへ誘導する手口が確認されています。大手ショッピングサイトをかたって「心当たりがない場合はキャンセルしてください」などと呼びかけ、URLリンクを開かせる注文確認メールも存在します。さらには、アンケート協力と称して、謝礼を餌にクレジットカード情報を窃取する手口も確認されています。有名な企業やサービスであっても過信せず、認証情報や決済情報の入力を行う前には、必ずその真偽を確認しましょう。
図:アンケートの謝礼に偽装したフィッシングサイト
リアルな詐欺メールに注意
法人を狙うフィッシング詐欺にも注意が必要です。近年業務システムにクラウドサービスを活用する法人が増加する中で、メールシステムはその代表例です。このクラウドメールサービスを利用する法人において、使用者である従業員がフィッシング詐欺により認証情報をだまし取られてしまうといった被害が発生しています。認証情報を窃取されてしまった場合には、アカウントの悪用に留まらず、メールのやり取りが筒抜けになることで、その後の詐欺や別のサイバー攻撃に利用されてしまう可能性があります。
法人が利用するクラウドサービスの認証情報を狙ったフィッシング詐欺の手口としては、システム担当者をかたって再ログインを促すメールを従業員に送りつけ、そこからフィッシングサイトへ誘導したり、メールの認証情報を尋ねたりすることで従業員から認証情報を窃取します。
このようにして盗まれた業務メールのアカウントは、ビジネスメール詐欺(Business Email Compromise、BEC)の準備段階として悪用されるケースもあります。ビジネスメール詐欺は、業務メールの盗み見を発端として経営幹部や取引先などになりすまし、金銭や特定の情報をだまし取るサイバー犯罪です。最高経営責任者(CEO)を装う送金指示メールで、犯罪者の口座に送金させる手口はその典型です。取引先の実在する人物をかたって偽の請求書を添付したメールを送りつけ、送金先の変更を依頼するパターンもあります。
ビジネスメール詐欺の成否は、標的企業の従業員をいかにして信用させるかにかかっています。このため、サイバー犯罪者は業務メールの盗み見を通じて標的企業の取引先や取引の進行状況、人間関係など、ソーシャルエンジニアリングに利用できそうな情報を収集します。その上で信ぴょう性の高いなりすましメールを作成、送信し、従業員から金銭や情報を巧みにだまし取るのです。ソーシャルエンジニアリングに利用できる情報の収集に当たっては、FacebookやLinkedInなどのSNSで公開している情報が利用されることもあります。
ネット詐欺に有効な6つの対策
1.ネット詐欺の手口を知る
ネット詐欺に引っかからないための基本はその手口や狙いを知ることです。セキュリティ関連団体やセキュリティソフトの製造元が運営するSNSやサイトを通じて最新の注意喚起情報をチェックしましょう。
2.URLリンクや添付ファイルを不用意に開かない
たとえ差出人が著名な企業やネットサービスであっても、メールやSMS内のURLリンクや添付ファイルには注意が必要です。真偽を確かめる方法としては、その企業のホームページに掲載される注意喚起情報を確認することが挙げられます。もしも同様の文面や手口が紹介されていた場合には、詐欺を疑って受け取ったメールやSMSを無視するか、その企業の相談窓口、またネット詐欺被害に関する相談窓口に相談しましょう。
都道府県警察サイバー犯罪相談窓口
https://www.npa.go.jp/cybersafety/
3.ネットでの情報入力を慎重に行う
認証情報や個人情報、決済情報の入力が必要なWebサイトでは、入力を行う前に正規のものであるか確認をしましょう。特にメールやSNS、SMS、Web広告を経由してサイトにたどり着いた場合には、フィッシングサイトや詐欺サイトかもしれないことを疑いましょう。また最近では、アドレスバーのURLが「https://」で始まり、「鍵マーク」が表示されているSSL(情報を暗号化して送信し、第三者による通信内容の盗み見を防いでくれる仕組み)に対応しているWebサイトであっても、フィッシングサイトなどの不正サイトである可能性があります。鍵マークがあるから大丈夫と過信せず、確認を怠らないようにしましょう。
4.知り合いからのメールを無条件に信用しない
友人や勤務先、取引先の関係者、有名企業を装ったメールやメッセージは、受信者を騙す手段としてサイバー犯罪者が多用する手口の一つです。いつもと言い回しが違う、いつもとは指示がことなるといったといった不審な点や、不安をあおるような内容の場合には、その真偽を慎重に判断してください。不審な点を感じた場合は、電話など他の手段を使って確認しましょう。確認する際は受け取ったメッセージに記載された連絡先ではなく、過去にやり取りした履歴や連絡帳などから正しい連絡先を確認しましょう。
5.SNSの公開範囲や投稿内容に注意を払う
FacebookやLinkedInなどのSNSで情報を公開していると、このような情報もサイバー犯罪者に入手されてしまいます。SNSを利用する場合は、公開範囲や公開内容を定期的に見直しましょう。また、勤務先でSNSについての利用規定がある場合はそれに従ってください。
6.OSやセキュリティソフトなどは最新の状態で利用する
脆弱性(セキュリティの穴)が悪用されると、不正サイトに誘導されてウイルスなどに感染してしまう危険性があります。このようなリスクを回避するには、OSやソフト、アプリを常に最新の状態に保つことが最善です。OSやソフトの開発元から更新プログラムが提供されたら速やかに適用しましょう。ただし、法人ではシステム管理者からアップデートのタイミングを指示されるケースもあるため、勤務先のルールに従いましょう。
