サイバー犯罪と聞くと少し縁遠い気がします。
しかし要はインターネットを通した各種犯罪や被害の事であり、普段手に持っているスマートフォンでインターネットを利用してメールやSNS、ショッピングを活用する限り、これらネットサービスは犯罪を企む人間から典型的な「弱点」として攻撃に晒される可能性があります。
手口や対策はどのようなものがあるでしょうか?
インターネットを通した犯罪の被害は様々
インターネットにおける典型的な事例はいくつかありますが、特に顕著な物は次の2つになると思われます。
1.個人情報の流出
ニュースでも時折、大手のサービスや会社から利用顧客の履歴や個人情報が流出した、という出来事がメディアを騒がせています。
この時に流出した情報がそのまま被害に結び付く場合もありますが、流出した情報を元に別のサービスへのさらなる不正アクセスを試みる等、情報流出と被害の連鎖が起きてしまう事があります。
流出してしまう情報は利用したサービスによりますが、リスクとしては次のような物になります。
1.サービスのIDやパスワード、電子メール等のアカウント登録情報
2.利用者の名前、住所といった個人情報
3.クレジットカードなどの金融決済情報
4.サービスの利用履歴(購入商品や医療情報)
特に1〜3番は流出する可能性とその際のリクスが比較的高くなります。
サービスのIDやパスワード情報は、他のサービスでも共通で使用している場合はさらなる被害を生んでしまいます。
金融決済情報は特に物質的な被害としては非常にリスクが大きいものです。
2.乗っ取り被害
流出した情報を元にSNSアカウントや通販サイトのアカウント、ネットバンキング口座の不正利用といった被害。
流出する原因は大手サービスからの顧客情報流出の他にも、通販サイトやカード会社を装った偽サイトへのアクセスしてしまうといった個人の不用心による物もあります。
直接的なアカウントの不正利用以外にも、個人情報を利用した「なりすまし」も一種の乗っ取り被害と言えそうです。
有名人を装ったSNSアカウントや本人を装った商品の送りつけ、さらなるサイバー犯罪への足がかり等。
成りすましは本人の知らないうちに起きている可能性も高く、非常に対処が難しくなると思われます。
攻撃を組み合わせたSIMスワップ詐欺
上記はインターネットでよくある一般的な事件(事例)ですが、スマートホンという機器特有の物としてSIMスワップ詐欺という手口による犯罪が行われています。
SIMスワップ詐欺の手口
攻撃としては情報流出と乗っ取りによる犯罪という事になりますが、手口がスマートフォン特有のものとなっています。
簡単に説明すると、
1.標的のSIMカードの再発行を勝手に行い電話番号とSMS機能を手に入れる。
2.標的の流出したアカウントへアクセスしSMS認証コードを送らせ、パスワードを再発行し乗っ取りを完了
3.アカウントの決済情報や口座を利用し送金等を行う。被害発生。
アカウント情報の流出とSIMカードの二重の情報漏えいの結果、SMS認証が効果を失い、乗っ取りが成功してしまいます。
重要な点は、SIMカードやアカウント情報のどちらか単体では本来ログインやSMS認証のどちらかが出来ないという事。
セキュリティとして効果を発揮し、乗っ取りが阻止できていたという点です。
つまり、事前の流出対策が失敗しており、攻撃の対策が出来ていなかった為引き起こされてしまったと言えます。
関連記事:SIMスワップ詐欺(Wikipedia)
典型的な攻撃手段は4つ
SIMスワップ詐欺やアカウント乗っ取り、情報流出の原因は何でしょうか?
サイバー犯罪を目論む各種行為を攻撃と扱い、サイバー攻撃の各種手段を事前に知っておくとことで被害の回避が可能になります。可能性はゼロにはなりませんが、リスクを抑える事が可能です。
一般的に詐欺や情報の流出のために活用される攻撃手段は典型的なものが有ります。
1.フィッシングサイト
ショッピングサイトを装い、利用者から金銭や決済情報を盗み出す事を目的としています。
通常の価格より破格の割引を行っていたり、格安で販売を行っている風に通販サイトを構成して利用者を誘います。
また、正規業者とそっくりなページ構成で騙す事も。
安すぎるサイトには少し注意が必要です。
2.成りすましメール
フィッシングサイトへの誘導をメールで行うことを目的としているのが一般的です。
突然メールで「不正アクセスの疑い」「口座登録変更のお願い」「ご注文ありがとうございます」という文言とともに、ネットバンキングやカード会社、通販サービスの名前を語りながらログイン画面へのリンクも挿入しています。
文面から「急いで対応しなければならない」と思わせ、そのまま偽サイトへログイン情報を打ち込んでしまうというもの。
ネットメディアやニュースでも時折、本来の会社やサービス側からの注意喚起がなされている事も有ります。
このようなメールのリンクはクリックせず、一旦メールの内容やメールアドレス、文中の文字列の違和感や内容について検索を行う様に心がけると良いでしょう。
不安な場合でもメールのリンクアドレスをクリックするのではなく、webブラウザから正規のサイトへ移動して自分から問い合わせ等を行うと被害を避ける事ができます。
※画像の筆者に届いたメールについて
ETCについては謎の文言「いずれにしても、秋茄子の美味しさが伝わる見事の言葉ですね。」とあります。
多くの人に送信されているらしく、そちらにも同様の文言がある様子。
Amazonなりすましメールではアドレスに注意し、アドレスを見ると「amazonn」とありnが1つ多い点に注目です。
なりすましメールはアドレスが変である、似ているが違うというのも1つの特徴です。
変則的なメールも存在する
この画像の様に、宛先を間違えたようなメッセージから始まる手口も存在します。
内容は何らかの事情による業務連絡を装い、間違いであると指摘しないとその人や関係者が困るであろう雰囲気を出しています。
善意から返信をすると感謝の言葉を返しますが、そのやり取りの中で「女性の方ですか?」「よければお名前を」等と性別や氏名といった事を聞き出そうとします。
おそらく、対応次第で性別や内容を組み換えやり取りを続けていく、いわゆる出会い系の手口のメールです。
中には本当も間違いメールもあるかもしれませんが、善意に付け込む悪質なメールである可能性が高く、無視をするのが良いと思われます。
3.公共のWi-FIやフリーアクセスポイント
公共でフリーのアクセスポイントが提供されている場合があります。
しかし、フリーのWi-Fiは一定の危険が潜んでいます。
利用者の多いエリアではたくさんのWi-Fiのリストが出て来ます。この中に名前を似せる等で公共のWi-Fiを装いアクセスした人の利用情報を盗むことを目的とした物が紛れている可能性があります。
通信内容を見られる危険性があるため、プライベートな利用(IDやパスワードの入力行為)は避けるべきです。
4.スパイウェア(怪しいアプリ)のインストール
iPhoneではAppleがStoreアプリの運営と管理を行っており、アプリの販売や公開には一定の審査などがなされています。
一方で確認が不十分なアプリケーション販売サイトや、アプリケーションへ巧妙に潜ませている可能性も有ります。
Android系スマートフォンではより注意が必要です。
Android系スマートフォンはGooglePlay(iPhoneにおけるAppStore)以外からでも、設定の変更を行えば提供元不明であってもアプリのダウンロードが可能になっています。
提供側からは煩雑な手続きが必要なくStoreの制約も無いため自由度の高いアプリ開発と提供が可能ですが、悪意ある攻撃手段としても利用される可能性があります。
情報を抜き取る以外にもバックグラウンドでデータのやり取りを行う、遠隔操作されるといった攻撃リスクがあります。
対策としてはAppStoreのような信頼できるサイトからアプリのインストールや購入を行う事です。
無料アプリでは危険性がより上昇します。
特に、インストールするだけでスマホが快適に動く、というようなアプリには警戒が必要です。
被害の予防策は?
一番の対策は攻撃を成功させない事です。
怪しいメールを開かない、怪しいサイトに入らないといった根本的な物です。
一方で、手口が巧妙だったり流出に気づかない事も無いとは言えません。
メールやフィッシングサイトは本物そっくりな物が存在しており、買い物等であるサイトを利用したタイミングで偽物のメールが届いた結果、引っかかってしまう……という可能性もあります。
被害を拡大させないために、予防策や常日頃の予防意識が大事です。
公開情報の管理
怪しいメールやwebサイトへのアクセスや決済情報の入力への注意はもちろんですが、普段のSNSなどへの投稿にも注意する必要があります。
SIMスワップ詐欺では攻撃者はターゲットのアカウント情報以外に携帯キャリアといった個人情報をも把握している必要があります。
逆に言えば個人情報を把握させていなければ成功しないというわけです。
普及している大手SNSでは余り警戒心を持っていない方も少なくなく無いと思いますが、投稿している情報の公開範囲の制限等を行っていない場合、ネットに公開した内容は誰でも不特定多数に広くアクセスできる状態だという事を意識する必要があります。
つまり知人や家族という親しい人間同士のやり取りでも三者が見る事が可能です。
住所や通っている学校、所属している団体などが推定可能な情報発信には注意が必要です。
画像には位置情報が埋め込まれている場合もあります。
1つ1つの情報では悪用の恐れは低いかもしれませんが、複数の情報が集まると危険度が上がります。
住所と氏名、電話番号がわかってしまうと第三者の架空の会社住所などとして利用されてしまう恐れがあります。
用途別アカウント運用
乗っ取り等における対策として、アカウントを用途別に分けておく事は一定の対策になるかもしれません。
通販サイト専用のアカウントを用意しておき、購入する為だけに使用し、アカウントに登録するメールアドレスは他のアドレスと分けておく。
こうすることで、買い物専用アカウント以外に届く通販系のフィッシングメールは全て嘘だと判定出来ます。
また、今ではサービス間でアカウントID等が連携する事もありますが、アカウントを分離しておけば流出した場合でも1つのサービスの被害だけで拡大を食い止められます。
決済での水際対策
インターネットでの通販では大手のサービス以外にも大小様々な通販サイトがあります。
中には海外サービスを日本で利用する事や、輸入代行のようなサイトも存在し、多くは詐欺サイトではなく普通に問題なく利用できる事が多いものの、初めての利用等では信頼性の判断が難しい事があります。
このような時の保険や予防としてはいくつか手段があります。
1.代引き決済をする
配達員の方へ荷物と引き換えに代金を支払います。使用できない場合もありますが、発送されなかったり到着しない場合は金銭被害を回避出来ます。
見に覚えのない商品を送りつける詐欺には注意です
関連サイト:代引きのトラブルについて(独立行政法人国民生活センター)
2.プリペイドカードによる電子マネー払いをする。
カード番号を持つチャージ式プリペイドカードは通常のクレジットカード会社がサービスを運営している事もあり幅広い場面で利用が可能です。
チャージした金額が購入限度となり、情報が流出してしまった場合でも一定範囲で被害を抑える事が可能です。
3.paypalサービスを使う
PayPalは決済の仲介サービスで、業者との間にPyPalを挟む事で手数料は必要になりますが、クレジットカードの情報を取引相手に渡す事が無い為、最悪の場合(商品が送られない時)でも被害の拡大を抑える事やPayPalによるサポートを受ける事ができます。
ちなみにイーロン・マスクも創業に関わっています。
まとめ
サイバー犯罪の手口や取り掛かりには個人情報の流出が背景にある。
流出の原因として、フィッシングサイトや成りすましメールの他、アプリ、SNSへの投稿等も原因となりうる。
流出した情報を組み合わせ、スマホ特有の事例においてはSIMスワップ詐欺がある。
対策のために公開する情報や怪しいメールは一度検索する他、アカウントの使い分けや水際対策としての決済方法の見直しも有効です。
スマートフォンが登場してからネットの利用が加速しましたが、それだけに悪意を元に行動する人も少なからず存在する為、油断なく備えておきましょう
文:玉谷