セーファーインターネットデー特集: 悪質なスピアフィッシングに対処する方法
2023 年 2 月 7 日 Corey Nachreiner 著
毎年 2 月、世界中の何百万人もの人々がセーファーインターネットデー(Safer Internet Day)に参加し、「よりよいインターネットのために力を合わせよう」と呼びかけています。この世界的イベントは今年で 20 周年を迎え、その間に多くのことが変化しましたが、変わらないこともあります。特に効果的なサイバーセキュリティにとって、テクノロジはその一部でしかない、という事実です。ツールやシステムがより強力になっても、セキュリティ上の被害を避けるにはユーザが正しい行動を取らなければ意味がありません。セーファーインターネットデーの究極の目標は、すべての人にとってより良いインターネットを育むことです。この日は、デジタルテクノロジを適切に扱い、批判的かつ創造的に利用するためにはどうすればよいかを考える、絶好の機会となっています。
2023 年、そしてこれからもより安全にインターネットを利用するために、今日頻発している脅威と、それに対しセキュリティ確保のためにできることを以下に紹介します。
正規のソフトウェアを使用し、常に最新の状態に保つ
悪意ある行為者は、ユーザの機器やネットワークに侵入するためのソフトウェアの脆弱性を常に探しています。また、これは業務用ソフトウェアだけでなく、ゲームでも同じことが言えます。最近、人気のあるオンラインゲームが危険にさらされ、攻撃者がゲーマーのPCを乗っ取ったり、ゲームのアカウントやシステムに侵入したりする事件が発生しています。
ゲームソフトの中には、無料でダウンロードできる海賊版に魅力を感じるユーザもいるかもしれませんが、そのリスクは高く、大きな損失を被る可能性も含んでいます。攻撃者は、海賊版ソフトウェアで被害者を誘い出しますが、そのソフトウェアにはマルウェアやコンピュータへのバックドアが埋め込まれていることがあります。また、ソフトウェアのライセンスキーを回避するために使用されるキークラッカーには、危険なトロイの木馬が含まれている可能性があります。ソフトウェアの海賊版が倫理的にも勧められないことと、セキュリティ上の理由からも、ソフトウェアは正規のソースから購入しましょう。
悪質なスピアフィッシングに注意を
昨今のサイバー犯罪者は実力を向上させており、信頼する友人、同僚、企業、組織(銀行、小売店、政府機関など)になりすました偽物のメールやテキストメッセージ、メッセージアプリを作成し、攻撃してきます。それらを使い、偽の Web サイトを訪問させ、ログイン情報などの個人情報の取得、送金、マルウェアの配布をすることが目的です。悪意のあるメッセージに、マルウェアを含むドキュメントが添付されている場合もあります。盗難データは販売され、個人情報窃盗や詐欺などに利用されることもあります。こうした攻撃は、自動化されたフィッシングツールや、個人情報の豊富な SNS を探るプログラムなどを活用して、より巧妙に、個人に照準を合わせて行われるようになっています。また、新型コロナウイルスの拡大をへて、オンラインショッピングやオンラインバンキングなどのサービスに登録するユーザが増えたため、無防備な消費者につけ入る隙がさらに大きくなっています。
スピアフィッシング攻撃は、主要なセキュリティ脅威です。これに関わるサイバー犯罪者は、個人を特定し、説得力のあるメールやメッセージを作成する手口を巧妙かつ効果的に進化させています。友人や家族、同僚、小売業者や銀行、政府機関などの正規の企業や組織からのメールを装って、信頼できる送信元から送られてきたように見せかけ、マルウェアを送りつけて送金させたり、ログイン情報やその他の個人情報を取得するために作られた偽 Web サイトにアクセスさせたりするために使われることがよくあります。また、悪質なメッセージには、マルウェアを含むドキュメントが添付されていることもあります。一度盗まれたデータは、販売され、個人情報の盗難や詐欺に利用されることもあります。犯罪者は、標的を定めて攻撃を行う自動化されたフィッシングツールを利用したり、SNS やその他のソースから情報を収集しするようなプログラムを活用するようになってきています。さまざまなオンラインサービスにサインアップするユーザも年々増加しているため、無防備な消費者も増え、その機会を活用しようとするサイバー犯罪者にとってはチャンスが増える一方なのです。
検知しにくいスピアフィッシング攻撃への対策
スピアフィッシングを防ぐには、まず警戒することが大切です。上司や同僚からの依頼などに違和感を覚えた時には気をつけましょう。辻褄の合わない点がないか、詳細を確認してください。正規のソースから来たメールであるかどうか、必ずメールアドレス全体を確認し、怪しい場合には削除してください。また、DNS フィルタリングなどの適切な保護が施されていないドメインでは、攻撃者がメールアドレスを偽装できる可能性がある点も覚えておいてください。また、クリックしたドメインが本当に正しい場所に遷移するものかどうか、ドメインを確認しましょう。反射的にクリックをすることは避けてください。時には、手動で入力した方が良い場合もあります。見慣れない送信者からのファイルは絶対にダウンロードせず、疑わしい場合は、IT 部門やセキュリティ部門にメールを転送して詳しく調べてもらいましょう。
腑に落ちないことがあったり、何か違和感を覚えたりした場合は、いつでも安全な方の選択肢を選びましょう。警戒を怠らず、十分な注意を払うことで、悪質な攻撃から身を守り、より安全なインターネット生活を送ることができるでしょう。