共通ポイントやSNS、オンラインゲームなどのWebサービスのアカウントを乗っ取る脅威が深刻化しています。サイバー犯罪者の主な目的の1つは金銭や、お金になる情報を得ることです。アカウント乗っ取りによる被害を防ぐための7つのポイントを紹介します。
お金になる情報がひもづくアカウントは狙われやすい
ポイントサービスが多くの人に親しまれています。これは、買い物や交通機関を利用した際に付与されるポイントを、次回以降の支払いに充てたり、商品や商品券、他社のポイントや電子マネーなどと交換したりできる仕組みです。さまざまな業種の実店舗やインターネットサービスにまたがって使える共通ポイントサービス(TポイントやPontaポイント、楽天スーパーポイント、dポイントなど)も普及しています。
このようなポイントサービスの普及が進む一方で、悪意のある第三者のアカウント乗っ取りによるポイント窃取などの被害が報道されており、こうしたポイントは犯罪者に狙われやすいと考えられます。
では、自身が貯めたポイントが不正に奪われてしまう原因はなんでしょうか。その1つとして挙げられるのは、不正に入手したIDとパスワードによるポイントサービスの認証突破です。悪意のある第三者は、何らかの方法でポイントサービスのIDとパスワードを入手し、アカウントを不正利用することでポイントを勝手に何かと交換したり、別のアカウントに移動したりする可能性があります。
アカウント乗っ取りの対象は、ポイントサービスだけではありません。SNSやオンラインゲームのアカウントを不正利用され、なりすましや情報の盗み見に遭ったり、ゲーム内のアイテムやゲーム内の通貨を盗まれたりする被害も発生しています。また、Apple IDやYahoo! JAPAN ID、Googleアカウント、Amazonアカウントなど、複数のインターネットサービスを利用するためのマルチサービスアカウントも格好の標的になっています。利用者が多く、換金可能なアイテムやポイント、クレジットカードなどの金銭がらみの情報がひもづくインターネットサービスはサイバー犯罪者に狙われやすいのです。
では、ネット利用者のどんな行動がアカウント乗っ取りのリスクを高めているのでしょうか。
アカウント乗っ取りのリスクを高める行動とは?
メールやSNS、SMSから誘導されたWebサイトで安易に認証情報を入力する
ネット利用者はフィッシング詐欺に注意が必要です。これは、実在する金融機関や各種インターネットサービスの正規のログインページを装う偽サイト(フィッシングサイト)へ誘導し、そこで入力させた個人情報やクレジットカード情報、認証情報(IDとパスワード)などを盗み出す手口です。
トレンドマイクロによると、2019年第1四半期(1月~3月)にフィッシングサイトへ誘導された国内利用者数は100万件を突破し、前四半期比の約1.6倍に増加しました。メールを起点としたフィッシング詐欺キャンペーンは41件確認され、そこから誘導されるフィッシングサイトの約8割はインターネットサービスの認証情報を入力させようとするものでした。
フィッシング詐欺では、人の心理の隙につけ込むソーシャルエンジニアリングが多用されます。誰もが知っているような大手企業を名乗るメールで「パスワードの有効期限が迫っている」「不正なアクセスを確認したのでログインし直してください」などと通知して受信者の不安をあおり、URLリンクを開かせる手口はその典型です。誘導先がフィッシングサイトと気付かずに入力した情報はサイバー犯罪者の手に渡ってしまいます。
複数のサービスでIDとパスワードを使い回す
サイバー犯罪者は、フィッシング詐欺やインターネットサービス事業者へのサイバー攻撃など、何らかの手口で不正に取得した認証情報や、闇市場で購入した漏えい情報をリスト化し、それらを用いて各種サービスへのログインを試みます。このため、複数のサービスに同一のパスワードを使い回していると、アカウントを芋づる式に乗っ取られるリスクを高めてしまいます。
多要素認証などパスワード以外のセキュリティ対策を利用しない
個人情報や金銭に関わるようなサービスを提供しているWebサイトでは、利用者のアカウントを守るためにパスワード以外の認証(ログイン)手順を提供している場合があります。このような認証方法を利用していない場合、設定済みのパスワードを突破されただけでアカウントを乗っ取られてしまいます。
アカウント乗っ取りによる被害を防ぐための7つのポイント
1.犯罪者の手口や狙いを知る
犯罪者の手口や狙いを知ることは、自衛策の基本です。日頃からセキュリティ事業者や関連団体などが公表する注意喚起情報に目を通しておきましょう。
フィッシング対策協議会
https://www.antiphishing.jp/
警視庁サイバーセキュリティ対策本部
https://twitter.com/MPD_cybersec
2.おいしい話や好条件な情報をむやみに信用しない
当選、限定キャンペーンなどのおいしい話は安易に信用しないようにし、文章内のリンクや添付ファイルを不用意に開かないでください。まずはその企業のホームページに掲載される注意喚起情報を一読したり、電話などで直接問い合わせたりして事実確認を行いましょう。オンラインゲームでは、ゲーム内のチャットなどを介して魅力的な条件のトレード話を持ちかけ、そこからフィッシングサイトへ誘導する手口が報道されています。ゲーム内のアイテムをだれかとやり取りする場合は、ゲーム事業者が提供する公式のトレードサイトを利用しましょう。また、ゲームを有利に進められるとそそのかし、不正ファイルをダウンロードさせてマルウェア(ウイルス)に感染させる手口も報道されています。現実でもネットでも甘い話には十分気をつけましょう。
3.ネットでの情報入力を慎重に行う
メールやSNS、ネット広告、関連情報などからたどり着いたWebサイトは偽サイトかもしれません。ログインや情報入力を促すサイトには十分注意が必要です。ネット利用者に情報を入力させるWebサイトでは最低限、SSL(情報を暗号化して送信し、第三者による通信内容の盗み見を防いでくれる仕組み)に対応していることを確認しましょう。SSLに対応するWebサイトはアドレスバーのURLが「https://」で始まり、「鍵マーク」が表示されます。ただし、SSLに対応した偽サイトも存在するため、正規のサイトかどうか十分に確認してから利用しましょう。よく使うサービスについては正規のURLをブックマークに保存しておき、リンクなどからのアクセスを避けることも対策の1つです。
4.アカウントを厳重に管理する
サービスごとに異なるパスワードを使うこと、そしてIDが変更できる場合はIDも固有のものを設定しましょう。さらに、二要素認証や多要素認証など、IDとパスワード以外の認証手順を設定できる場合は必ず有効にしてください。たとえば、二要素認証(2段階認証と呼ばれる場合もある)はサービスのログイン時にIDとパスワードだけでなく、SMSや専用アプリで取得できる認証コードも入力させることでアカウントの不正利用を防ぐ仕組みです。
5.カードやポイントの利用履歴を定期的に確認する
クレジットカードやポイントの利用履歴をこまめにチェックし、不正利用の痕跡がないことを確認しましょう。万一、身に覚えのない利用履歴を見つけた場合、直ちにクレジットカード会社やポイントの発行元に連絡し、被害を最小限に留めるようにしましょう。そして、被害状況に応じて警察などに届け出を行ってください。
都道府県警察サイバー犯罪相談窓口
https://www.npa.go.jp/cybersafety/
6.不要なアカウントは退会する
使わなくなったアカウントを放置していると、何かの拍子にアカウントを乗っ取られてもその事実に気づきにくく、情報を盗み見られたり、悪用されたりするリスクを高めてしまいます。不要なアカウントは登録情報を削除し、退会手続きを行いましょう。
7.パソコンやスマホでセキュリティソフトやアプリを利用する
セキュリティソフトやアプリは、不正なURLを警告し、フィッシングサイトや偽サイトへのアクセスを未然に防ぐ手伝いをしてくれます。次々と生み出される新たな脅威に対抗するため、セキュリティソフトやアプリを常に最新の状態に保ちましょう。
Copyright © 2023 Trend Micro Incorporated. All rights reserved.
