消費者と事業者の信頼の中心に
2020年2月26日
昨年後半はフィッシング詐欺の増加が世間を騒がせましたが、その他にも、通販サイトを狙ったクレジットカード情報の詐取被害が多発する等、多数のサイバー犯罪のニュースが報道されています。
政府では2月1日から3月18日までを「サイバーセキュリティ月間」として、サイバーセキュリティの普及啓発を強化しています。
そこで今回は、サイバー犯罪の裏側にひそむ攻撃者の事情と、消費者として今すぐ必要な2つの対策をご紹介します。
全世界のサイバー犯罪による被害額は2021年には6兆ドルにも上る、という試算もあります。
実際にサイバー犯罪に関するニュースの増加に危険を感じる方も多くいらっしゃるのではないかと思います。しかし、なぜ犯罪が増えているのかをご存じの方はそれほど多くはないのでしょうか。
その背景として、まずはサイバー犯罪が大きなビジネスとなっていることがあげられます。
決してサイバー犯罪を推奨するわけではありませんが、攻撃者側からすると、以下のような点で非常に魅力的なビジネスなのです。
インターネットは1990年代に広まりだし、その利用者は爆発的に増え、今や世界で約40億人が利用しているともいわれています。また、世界中のどこにいても国境を越えた犯罪活動が可能となり、効率的に多くの対象を攻撃することができます。
Amazonや楽天、またはブランドの通販サイトなど、私たちがインターネット上でクレジットカード情報を入力してものを買うことはもはや日常茶飯事となりました。銀行口座をオンラインで持つことも普通のこととなっています。
このように、クレジットカード情報、セキュリティコード、口座番号など、犯罪者の格好のターゲットとなる情報がいくらでも飛び交っています。
インターネットを利用し、また国境を越えれば、匿名性を確保したまま攻撃を行うことが容易にできます。現実での犯罪よりも足がつきにくいと言えます。
そして、上記の点に加えて、忘れてはならないのがダークウェブの存在です。
ウェブには私達が見ることができない膨大な空間があり、そこに存在する情報の量は、一説によると私達が普段アクセス可能な量の400~500倍もあると言われています。
そのような膨大な空間の最深部に当る部分が、ダークウェブと呼ばれています。ダークウェブは非常に匿名性が高い空間のため、犯罪者にとって非常に好都合です。
サイバー攻撃のためのノウハウや攻撃ツールもこのダークウェブ上で売買されており、中には数千円程度で購入できるものもあるようです。一種の市場が形成されており、ノウハウやツールを購入すれば子供でも攻撃者になることが可能です。サイバー攻撃を使って盗み出された個人情報やクレジットカード情報なども売買されています。
このような状況下で、犯罪行為への加担のハードルも下がり、犯罪者に手を染める者が増加していると考えられています。
※ダークウェブについてより詳しく知りたい方はこちらをご覧ください(NortonBlog内記事)
このようにサイバー犯罪がビジネスと化しているため、私たちにその攻撃が及ぶ可能性も高くなっています。そこで、今すぐ確認するべき対策を 2点ご紹介します。
何種類ものWebサイト、サービスへの登録が当たり前になった今では、「覚えきれない」「めんどくさい」等の理由でいくつものサイトに同じパスワードで登録されている方も多いようです。
しかし、パスワードの使いまわしは大変危険です。絶対にやめてください。
攻撃者は、ひとつのサイトからIDとパスワードを盗み出すと、それをダークウェブ上で販売します。
もしもパスワードを使いまわししていると、どこか一つのサイトから盗み出されたIDとパスワードで、他のサービスにも不正にログインされることになります。そして、不正にクレジットカードで高額な購入をされるなどの被害を受けることになるのです。
よろしければ、JPACが公開しているホワイトペーパー「パスワード2.0」を参考にしてください。覆面セキュリティリサーチャー キタきつね氏が提唱する、パスワードの新たな管理方法です。
覚えやすく、簡単に設定でき、かつ強力なパスワードとはどのようなものなのか?セキュリティリサーチャーの知見を活用した、読了後すぐに使えるテクニックが紹介されています。
また、自分のメールアドレスやが漏えいしているかどうかを調べる方法もあります。オーストラリアのセキュリティ研修者トロイ・ハント氏が運営する「Have I Been Pwned」というサイトです。2020年2月時点で94億件を超える流出アカウントが登録されており、自身のアカウントが漏えいしているかどうかを確認することができます。
実在の銀行やショッピングサイト等を装って偽のメールを送り、メール本文内にリンクを貼った偽のWebサイトに誘導して、クレジットカード情報や、ユーザーID、パスワード、ワンタイムパスワードといった重要な個人情報を盗み出す犯罪が増えています。これらはフィッシング詐欺と呼ばれています。
犯罪者は銀行等からの緊急の連絡や、ログインの確認といった内容を装ってメールを送ってきます。そしてメール本文内のリンクから、犯罪者がつくった偽の情報入力画面に移動させるのですが、メール本文、偽の情報入力画面ともに、本物と見分けがつかないケースが非常に多くなっています。
フィッシング詐欺自体は昔からありましたが、メール本文の日本語が不自然だったり、偽の情報入力ページに違和感があるなど、誰が見ても怪しいと思えるケースが大多数でした。
しかし、最近のフィッシング詐欺では、メール本文、ページ、そしてメールアドレスやURLまで巧妙に偽装されていることばかりで、本物と区別をつけることはもはや不可能なほどです。
そこで、銀行やショッピングサイトから少しでも違和感がある連絡がきた場合は、本文中のリンクはクリックせずに、ブックマークやアプリから正規のサイトに直接アクセスするようにしてください。そうすることで偽の画面に誘導されることを防げます。
フィッシング詐欺については今後も増加することが予想されます。フィッシング対策協議会が最新の情報を発信しているので、ぜひご覧ください。
サイバー犯罪の手法は日々進化しており、私たちのちょっとした油断をつくような新しい犯罪が次々に生まれています。
インターネットを利用している誰もがサイバー犯罪の被害に合う可能性があります。もはや空気のように当たり前になったインターネットですが、その危険な面は意識できていない方も多いようです。
今回、サイバー犯罪の裏側にある事情もご紹介いたしましたが、インターネットを使っている以上、常に犯罪の被害を受けるリスクがあることも忘れずに、しっかりと適切に対策を行ってください。
JPACは、WEBサイト、アプリに特化した、合理的、リーズナブルな取得可能な個人情報保護第三者認証制度「TRUSTe(トラストイー)」の認証付与活動を行っております。専門家によるコンサルティングを通じて個人情報保護管理体制の構築が可能です。コンサルティング、審査の後はマークの掲載が可能となりますので、しっかりと個人情報保護に取り組んでいるアピールにもなります。ぜひ取得をご検討ください。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。