情報処理推進機構(IPA)は情報セキュリティの10大脅威というものを発表しています。被害の実態も組織と個人とで異なっていることから、今回は「個人編」としまして2018年度の被害が多かった事例のランキングにちなんで順にご紹介いたします。
第10位 偽警告によるインターネット詐欺
まず、第10位に「偽警告によるインターネット詐欺」です。
コンピュータなどでWebサイトを閲覧していると、突然「ウィルスに感染しています」などの偽警告を表示して、利用者の不安を煽り、口座情報やクレジットカード情報、個人情報などを窃取する被害が発生しています。
主な攻撃の手口としては、次のようなものがあります。
1.偽警告を表示する。
Webサイト上の広告掲載の仕組みを悪用し、「あなたのコンピュータはウィルスに感染しています」などの偽警告を表示します。
不安を感じたユーザは警告の指示通りに個人情報を入力したり、不正なプログラムをインストールしたりします。
中には偽警告を信じさせるために、有名企業のロゴを使用するケースも報告されています。
さらには、警告音や警告アナウンスなどを使って不安を煽る場合もあります。
2.サポート窓口を装い、電話を掛けさせる。
偽画面に、「この画面が表示されたら下記連絡先までお電話ください」などの文言で、ユーザを誘導します。
実際に電話を掛けると、遠隔操作ソフトをインストールさせられ、個人情報などが窃取されます。
また、復旧作業に要した費用や、今後の対策費として金銭を要求するケースがほとんどです。
実例としては以下のものがあります。
1.アニメーション等を利用したもの
2017年3月にマウスポインタが勝手に動いているアニメーションやマイクロソフト社のURLにアクセスしているようなアドレスバーの画像を表示させる偽警告が確認されています。
この手口では、アニメーションで勝手にコンピュータが動いているとユーザが錯覚し、ウィルスに感染したと思わせることが目的です。
2.Google社を騙る偽警告
スマホでWebサイトを閲覧している時に、「ウィルスに感染」と偽警告が表示されます。警告文にスマホの機種名を表示することでユーザを信じ込ませるのが一般的です。
警告に従って画面を進めると、Google社の偽装した画面が表示され、「Google Play」上の特定のアプリのインストールを促されます。
このように、個人に対する攻撃はシステム的なものよりも、ユーザの情報セキュリティに対するリテラシーの低さをついてくるものが多いのが特徴です。
怪しいサイトにはアクセスしない、開発者が不明なプログラムをインストールしないなどの自衛策が求められています。
第9位 IoT機器の不適切な管理
第9位は「IoT機器の不適切な管理」です。
IoT機器とは、インターネットに接続されたあらゆる機器のことで、特にコンピュータやスマホ以外のものを指します。
一般的には家電製品が多いのですが、それらを攻撃してどのような被害が発生するのでしょうか?
IoT機器が乗っ取られると、ネットワークカメラなどカメラ機能があるものの場合、遠隔から操作してのぞき見や盗撮の可能性があります。
また、DDoS攻撃の踏み台として悪用されるケースも報告されています。
では、IoT機器はどのようにして乗っ取りなどの感染に遭遇するのでしょうか?
1.初期設定のIoT機器にウィルスを感染させる。
購入したばかりのIoT機器には初期パスワードが設定されている場合が多く、ほとんどの使用者がそれを変更せずに使用しています。攻撃者はそれを悪用してウィルスに感染させ、IoT機器を乗っ取ります。
2.感染を拡大させる。
1つのIoT機器がウィルスに感染すると、そのウィルスはその周辺に設定に不備のある機器や脆弱性を放置した機器がないかを探索します。
もし、存在していれば、それらもウィルスに感染させ、感染範囲を拡大させます。
具体的には次のような事例が報告されています。
1.シャープの掃除ロボでセキュリティ上の脆弱性を確認
シャープ製のロボット掃除機「COCOROBO」の一部機種に脆弱性があり、第三者から不正に操作される恐れがあることが確認されました。
この掃除機はスマホから操作可能であり、操作に利用する無線LANに攻撃者がアクセス可能であると、この脆弱性を悪用されて乗っ取られます。
カメラ搭載モデルであれば、室内の様子を盗撮される恐れがあるとしてシャープは本脆弱性に対応する更新プログラムを提供しています。
2.Mirai
2017年11月頃より、IoT機器等に感染するウィルス「Mirai」の亜種による感染活動が活発化しています。
国内ではロジテック性のWi-Fiルータ11機種が該当していました。
警察庁は12月19日に、更新プログラムを適用するように注意喚起しました。
3.BrickerBot
IoT機器のファイルを破壊して、完全に使用不能にする「BricketBot」と呼ばれるウィルスの感染が広がっています。
感染した場合、機器を再起動すると使用不能になるという被害が報告されています。
IoT機器はコンピュータやスマホと違い独自にセキュリティ対策ソフトがインストールされていないため、パスワードの管理が最も重要な対策となります。
第8位 ワンクリック請求等の不当請求
第8位は「ワンクリック請求等の不当請求」です。
コンピュータやスマホを利用中にアダルトサイトの請求画面が表示され、金銭を不当に請求されるワンクリック請求の被害が依然として発生しています。
攻撃の具体的な手口には以下のようなものがあります。
1.悪意のあるWebサイトの閲覧
アダルトサイト内に表示されている「18歳以上」の画像等をクリックすることにより、会員登録完了の請求画面が表示され、間違って登録してしまったと閲覧者に勘違いさせ、不当に金銭を請求する。
2.メールに記載されたリンクのクリック
届いたメールに記載されているリンクをクリックすることにより、Webサイトで入会完了の画面が表示され、高額な入会金を請求される。
3.不正プログラム・アプリのインストール
無料動画のダウンロードなどと偽り、不正プログラムやアプリをインストールさせ、請求画面を閉じても数分おきにポップアップが表示されるなど、悪質なものも多い。
具体的な事例としては次のようなものがあります。
1.ワンクリック請求サイト
2017年10月には160万件以上の詐欺サイトが検知されていて、中にはコンピュータだけでなくスマホを対象としているものあります。
2.ワンクリック請求の被害者を狙った詐欺
ワンクリック請求の対処法を求めて相談した業者から不当請求されるという被害も発生しています。
ワンクリック請求画面が表示された被害者が「消費生活センター」とインターネットで検索して、その結果から上位に表示された公的機関以外の団体に相談してしまったため、依頼料として54,000円を請求されたという事例が報告されています。
不正請求をやめてもらおうと、表示された画面に個人情報を入力する人がいますが、それが一番の間違いです。
画面が表示されただけでは攻撃者は個人情報を取得できていません。
不安を煽り、解約したければメールや電話で連絡するようにと誘導し、個人情報を取得しようとしています。
いかなる金銭的要求にも従わないことは当然のことながら、個人情報を護ることを最優先に考え行動しましょう。
それでも万が一被害を受けてしまった場合には、国民生活センターや消費生活センターといった公的機関に相談するようにしてください。
第7位 情報モラル欠如に伴う犯罪の低年齢化
第7位は「情報モラル欠如に伴う犯罪の低年齢化」です。
情報に対する犯罪が低年齢化している要因としては以下のようなものが考えられます。
1.情報モラルの欠如
一番問題なのは、若年者の中には自分の行為が犯罪であることを理解している者がいるということです。どんな罪に該当するかまでは知らなくても、金銭や他者を誹謗・中傷するという目的でサイバー犯罪を行っているという事例が多く見受けられます。
2.情報リテラシーの不足
このケースでは自分の行為が犯罪に該当することを知らず、面白半分で行った行為が他人の権利を侵害する結果となってしまうことが多いです。
3.攻撃ツールや攻撃サービスの流通
現在、他者のコンピュータを攻撃できるツールやサービスがインターネット上に公開され、誰でも容易にそれらを入手できるため、犯罪の低年齢化に繋がっていると考えられています。
具体的は事例としては次のものがあります。
1.未成年者がランサムウェアを作成して逮捕
2017年6月に、大阪府の14歳の少年がランサムウェアを作成した容疑で警察に逮捕されました。
作成されたランサムウェアは、オープンソースのソフトを組み合わせて作成されており、比較的簡易なものでありながら、ランサムウェアとしての機能を備えていました。
2.「メルカリ」で少年らがウィルスを売買
ウィルスの入手方法等の情報を、「メルカリ」に出品したとして大阪府の13歳の少年が児童相談所に通告されていました。
また、出品された情報に購入意思を示したとして14歳から19歳の少年4名も書類送検される事態となりました。
3.ゲームサーバへの不正アクセス容疑
高校生3人が、人気のゲームで知り合った熊本県の中学生のIDとパスワードを使って、そのゲームのサーバに不正アクセスし、勝手に467万円分の有料契約を結んだ疑いで書類送検されました。
今の若年者は、子供の頃からコンピュータやスマートフォンなどのIT機器に触れており、加えて、SNSを通じて友人と繋がることに抵抗感が薄いと言われています。
そのような環境の中で、情報に対するモラルやリテラシーを身に着けさせるためには、IT機器に触れられるようになった時に、親や教師、身近な大人が情報という資産の重要さと、それを侵害した時に受ける罰の大きさをしっかりと教育する必要があるでしょう。
第6位 Webサービスからの個人情報の窃取
第6位は「Webサービスからの個人情報の窃取」です。
ECサイトでのクレジットカード決済をはじめとする様々なWebサービスが事業者から提供されていますが、これらのWebサービスの脆弱性が悪用され、個人情報やクレジットカード情報が窃取される事件が多発しています。
クレジットカード決済のプログラムなどは、多くのWebサービスで広く利用されているので、脆弱性があることが判明し、攻撃手法が確立すると、多くのWebサービスで同様の攻撃や被害がすぐに発生する可能性が高いです。
そのため、被害が広範囲に及ぶ危険性が高いので注意が必要です。
事例としては以下のものがあります。
1.都税クレジットカード支払いサイトに不正アクセス
2017年3月、GMOペイメントゲートウェイ株式会社は、運営受託している東京都税クレジットカード支払いサイトや団体信用生命保険特約料のクレジットカード支払いサイトに不正アクセスが行われ、クレジットカード番号・有効期限等合計72万件近くの情報が流出した可能性があると発表しました。
原因はWebサービスで利用していた「Apache Struts2」の脆弱性を悪用されたことによるものと公表されています。
2.通販サイトへ不正アクセス
日本文化センターは公式通販サイトのWebアプリの脆弱性を突く不正アクセスを受け、クレジットカード情報等が外部へ流出した可能性があることを公表しました。
漏洩したのは、4月19日から5月12日までに同サイトでクレジットカード決済を新規で利用した顧客の個人情報最大189件で、氏名・住所・クレジットカード番号・有効期限・セキュリティコードが窃取された可能性があるということです。
これらの事例はいずれも企業が利用しているWebサービスに脆弱性が存在したため起こったものです。企業側のシステムの欠陥なので、なかなか個人レベルでは防ぎようがありません。
ただ、クレジットカードの不正利用の場合は、早期に気づき、然るべき対応をとれば、被害を受けずに済むケースもあるので、次のような対応策を覚えておきましょう。
・クレジットカードの利用明細を定期的に確認する。
・利用した覚えのないサービスからの請求に関しては以下の措置を取りましょう。
a.クレジットカードの停止
b.パスワードの変更
ネット決済が一般的になっている今、クレジットカード情報は非常に貴重な情報です。
利用していないサービスに情報を預けたままにせず退会することや、面倒でも、クレジットカード情報をサイトに保存せず、都度入力するといった慎重さが必要でしょう。
第5位 Webサービスへの不正ログイン
第5位は「Webサービスへの不正ログイン」です。
Webサービスへの不正ログインの攻撃手口には以下のようなものがあります。
1.パスワードリスト攻撃
他のWebサービスから不正に入手したIDとパスワードを悪用する攻撃手法です。
複数のWebサービスで同じIDとパスワードを使いまわしていると、このリストによって他のWebサービスに不正ログインされて被害が拡大することがあります。
2.パスワード推測攻撃
SNSに公開している名前や誕生日などから、利用者が使いそうなパスワードを推測して不正ログインを試みる攻撃手法です。
3.ウィルス感染
ウィルス感染の経路としては主に次のようなものがあります。
・攻撃者が用意した悪意のあるWebサイトから感染。
・メールに添付されている悪意あるファイルを開いて感染。
ウィルスに感染したコンピュータでWebサービスにログインすると、その情報が窃取される。
Webサービスへの不正ログインの具体的な事例としては次のようなものがあります。
1.不正ログインによる個人情報流出とポイントの不正使用
ガス・電気料金情報Web照会サービス「myTOKYOGAS」において、2017年9月に不正ログインが行われ、106件の個人情報が流出したおそれがあり、そのうち24件についてはポイントが他社のポイントに交換された形跡がありました。
2.LINE
LINEが2017年に実施した「セキュリティ実態把握調査」によると、「自分の周りの人でアカウントを乗っ取られたことがある人がいる」と回答した人は全体の約4割であり、サービス別では「LINE」が多く、次いで「Twitter」、「Facebook メッセンジャー」の順でした。
Webサービスへの不正アクセスを防ぐ最も重要な要素は「パスワード」です。
ウィルスに感染するのは、セキュリティ対策ソフトの導入や、OS・ブラウザの脆弱性に対する更新プログラムを常に最新のものにしておくことで対応できます。
ただ、パスワードリスト攻撃やパスワード推測攻撃については利用者のパスワードを初めとするセキュリティ意識に依存する場合がほとんどです。
複雑なパスワードを管理するのは難しいと考える方も多いと思いますが、パスワード管理ソフトを利用することにより、マスターパスワードだけを覚えておけば、各Webサービスのパスワードを自動的に生成してくれたり、記憶しておいてくれたりするので、是非導入してください。
第4位 スマートフォンやスマートフォンアプリを狙った攻撃
第4位は「スマートフォンやスマートフォンアプリを狙った攻撃」です。
一般的にスマホアプリは公式マーケット等で入手しますが、その中に不正アプリが紛れ込んでいることがあります。
不正アプリの主な機能は以下の通りです。
・端末内の重要な情報を窃取する。
・端末を不正に利用する。
・端末内のデータを暗号化し、それを復元するのに必要な「復号化キー」と引き換えに身代金を要求する(ランサムウェア)。
具体的な事例としては次のようなものがあります。
1.人気アプリに便乗した不正アプリ
Androidの公式マーケットである「Google Play」のアプリに「FalseGuide」と呼ばれるウィルスが仕込まれていました。
このウィルスは40種類以上の有名ゲームの攻略法を解説するアプリの中に仕込まれ、アプリによっては5万回以上ダウンロードされ、感染した利用者は200万人近くに及ぶとされています。
2.ルートキットを組み込んだ「ZNIU」ウィルス
2017年9月に、Linuxの脆弱性「Dirty COW」を悪用した「ZNIU」と呼ばれるウィルスが確認されています。
「ZNIU」に感染すると管理者権限を持つバックドアを仕込まれて、リモートの攻撃者にシステムを乗っ取られる恐れがあります。
3.モバイル端末向けランサムウェア
2017年7月にAndroid端末向けランサムウェア「LeakerLocker」が確認されました。
このランサムウェアが仕込まれた不正アプリをインストールすると、遠隔サーバに個人情報を送出し、スマートフォンの連絡先に登録されている全ての宛先に転送すると脅迫して金銭を要求します。
4.Android端末を攻撃の踏み台にする不正アプリ
2017年8月に分散型サービス攻撃(DDoS)による大規模な攻撃が確認されたのですが、攻撃を行ったのはAndroid端末上で動作する不正アプリによって、ボットネットが形成されたことが原因だと言われています。
上述したように公式のアプリストアからのダウンロードでも不正プログラムが紛れていることがありますので、対策としては、アプリ開発者の情報も確認することが大事です。
セキュリティ対策ソフトを導入したり、利用していないアプリをアンインストールしたり、スマホ内のアプリを整理するように心掛けましょう。
また、ランサムウェアが確認されていることから、データを外部のメディアに定期的にバックアップを取ることも大事です。
第3位 ネット上の誹謗・中傷
第3位は「ネット上の誹謗・中傷」です。
ランキングしているほとんどの脅威が、マルウェアの感染であったり、不正アクセスであったりといった、システムに対する攻撃を前提に個人情報や機密情報、金銭などを窃取することを目的としています。
ただ、ネット上の誹謗・中傷はシステムに対する攻撃を前提にしていない珍しいケースです。
攻撃者もネット犯罪者というよりはむしろ、情報に対するモラルが低い一般の人が多く、特定の個人を標的に、悪意を持ってネット上に有る事無い事を書き込んでいるという事案がほとんどです。
こうしたネット上の誹謗・中傷が問題となっている背景には、情報モラルや自己抑制力が欠如していることがあると言われています。
つまり、自分のネット上での発言が、他人を心理的に追い詰める恐れがあることを理解せずに安易に投稿してしまったり、不満やストレスのはけ口として、過激な個人攻撃などを投稿したりといった行為が目立っています。
また、SNSなど匿名で投稿できるという環境が、上記のような問題に拍車をかけています。
具体的な事例としては次のようなものがあります。
1.2017年7月、芸能人を中傷するデマをブログに投稿し、所属事務所の業務を妨害した疑いで、男女数名が書類送検された。
2.2017年10月に男性が、教育事務所のWebサイトに女学生を襲撃する旨の犯行予告をしたとして、市内の小中学校に対する業務妨害の疑いで逮捕。
3.交通事故を引き起こした容疑者の父親と間違えられて、勤務先などの情報がインターネット上に誤って掲載され、嫌がらせや中傷を含む電話が多数かけられ、業務に大きな支障が出た。
この問題についてはセキュリティ対策ソフトのアップデートなどで対応できる問題ではないので、被害にあった際には、以下の対応を検討してください。
1.公的相談機関へ相談。
2.犯罪と思われるものについては警察へ被害届を提出。
3.投稿先の管理者やプロバイダへ削除を依頼。
システムで解決できる可能性のほとんどない事案だけに、対応が難しい面もありますが、まずはデマがこれ以上拡散しないように、投稿先への削除依頼を優先しましょう。
犯罪の可能性がある場合には、警察や弁護士への相談が最善です。
第2位 ランサムウェアによる被害
第2位は「ランサムウェアによる被害」です。
ランサムウェアとは、感染したコンピュータ内のデータを暗号化し、それを復元するのに必要な「復号化キー」と引き換えに身代金(ランサム)を要求するというマルウェアです。
ランサムウェアがこれまでの脅威と大きく異なるのは、金銭という明確な目的を持っているということと、ほとんどの場合、復号化キーが手に入らなければファイルを元の状態に戻すことが困難であるということです。
ランサムウェアに感染する経路としては以下のようなものがあります。
1.メールの添付ファイルからの感染
2.悪意のあるWebサイトから感染
3.OSの脆弱性を突いた攻撃
4.不正なスマホアプリのインストール
こうした点を踏まえて、ランサムウェアへの対策には以下のようなものが有効です。
1.メールの送信者のアドレスを必ず確認する。
2.メールの添付ファイルは、セキュリティ対策ソフトでスキャンしてから開く。
3.メールに記載されているURLを安易にクリックしない。
4.OSやブラウザの更新プログラムは常に最新のものを適用しておく。
5.セキュリティ対策ソフトのパターンファイルも常に最新のものを適用しておく。
これら5つの対策はマルウェアの感染を防ぐ一般的な方法ですが、マルウェアがファイルを暗号化してしまうという攻撃を仕掛けてくるという特性上、次のような対策も必要です。
・定期的なバックアップの取得
バックアップは内部の記憶媒体だとせっかくのバックアップも暗号化される恐れがあるので、光学メディアや外付けのハードディスクなど外部の記憶媒体へ行う必要があります。
・復号ツールの活用
ランサムウェアの情報提供サイト「The No More Ransom Project」では、複数の複合ツールが提供されています。
ランサムウェアをセキュリティ対策ソフト等で駆除した後で、該当のランサムウェアに適合する復号ツールがあれば、暗号化を解除できる可能性があります。
ランサムウェアは近年の脅威の中では最も厄介なもののうちの1つです。
情報が重要な資産となっている現在、それを暗号化され、復元できるかどうかもわからない状態になるわけですから、まずは感染しないこと、万が一感染しても被害を最小限に食い止められるように、バックアップを取っておくこと ― こうした対応が求められます。
第1位 インターネットバンキングやクレジットカード情報等の不正利用
最後に、第1位は「インターネットバンキングやクレジットカード情報等の不正利用」です。
まず、攻撃の手口としては以下のようなものがあります。
1.ウィルス感染
攻撃者が、メールに記載したURLから悪意のあるサイトに誘導したり、メールに悪意のあるファイルを添付したりすることにより、誘導されたサイトや添付ファイルからコンピュータをウィルスに感染させる方法です。
感染してしまったコンピュータから、インターネットバンキングにログインしたり、クレジットカード情報を入力したり、また最近では仮想通貨交換所にログインしたりすると、その情報が攻撃者に窃取されます。
攻撃者は窃取した情報を元に別の口座への不正送金、クレジットカードの不正利用、仮想通貨の窃取などを行います。
2.フィッシング詐欺
まず攻撃者は、実在するインターネットバンキングのページにそっくりな偽物のWebサイトを作成します。これをフィッシングサイトと呼びます。
そして、フィッシングサイトへのリンクが記載されたメールに「セキュリティ向上のため、あなたのログイン情報を更新してください」などといった文言で利用者を騙してログイン情報などを入力させて窃取するという手口です。
URLなども本物のサイトに似せてあるので、騙されるケースが後を断ちません。
次に、この脅威の傾向ですが、警察庁によりますと、2017年、インターネットバンキング不正送金発生件数は425件、被害総額は約10億8,100万円となり、2016年の1,291件、約16億8,700万円と比較すると減少傾向にはありますが、1件あたりの被害額が増加していることに注意が必要です。
また、一般社団法人日本クレジット協会によりますと、2017年第1四半期から第3四半期までのクレジットカードの番号盗用被害額は130.3億円で、前年同期間の2倍近くに増加しています。
こうした被害を受けないための対策としては以下のようなものがあります。
・メールの送信者やアクセスしているWebサイトを十分に確認する。
・添付ファイルはスキャンしたから開く。
・金融機関へのアクセスは、メールに記載のURLからではなく、銀行の公式サイトから正規にログインして行う。
・OSやブラウザは常に最新の更新プログラムを適用する。
・セキュリティ対策ソフトも最新の状態に更新しておく。
金融機関から発表されているセキュリティ情報をこまめに確認することも重要です。