そして、今一番悩ましいというのがインターネットバンキングに係わる不正アクセスや詐欺事件だと吉田氏は語る。手法としては、フィッシングもしくは不正プログラムによる犯行なのだが、「疑わしくはクリックせず」というインターネットセキュリティの「イロハの“イ”」さえ守れていれば、セキュリティ対策ソフトを導入していれば防げるものも多かったのではないだろうか。実際に平成23年3月から12月の被害利用権者165人(口座)、不正送金の総額はなんと約3億円というから軽視することはできない。平成25年度においては、既に不正送金総額が約3,000万円を超えているというから、我々利用者も気を引き締める必要がありそうだ。
また、実際に被害に遭われた方のPCを見ると、脆弱性への対処不足、インターネットセキュリティ対策ソフト未導入、あるいは導入していてもアップデートされていないものが多い、つまり、「急所を晒したノーガード状態」なものが多いのだそう。キチンとした対処、対応を取っていれば、ある程度のサイバー犯罪を未然に防ぐことができていただけに、吉田氏の心痛も察して余りある。
圧倒的に金銭を要求する攻撃や脅威に加え、明らかに日本人を対象とした攻撃も増加!
次いで登壇したシマンテック林氏によれば、昨今のオンライン上の脅威は以前のような愉快犯的なものではなく、実質的な金銭を求める攻撃や脅威が多くなってきているのだという。金銭を得るために、先に登壇した吉田氏同様オンラインバンキングを含め、様々な手法を用いているが、ここで気になるキーワードが。“ソーシャルエンジニアリング”だ。ここで言うソーシャルエンジニアリングとは、犯罪者がユーザーの心理を突いた騙しのテクニックを意味し、インターネットセキュリティソフトでは技術的に対応し辛いと林氏。
サイバー犯罪に手を染める悪意ある者たちが目的、つまり金銭を得るために取る手法はマルウェアやスパム、脆弱性を突いたものなどの古典的なものなど多岐にわたる。写真右は日本語で送られていたマルウェアが仕込まれたメールの一例だ |
また、林氏はスマートフォンを狙った攻撃・脅威についても語ってくれた。世界的に見るとサイバー犯罪者たちの狙いは異なるとのことだが、こと日本では個人情報を搾取する脅威がもっとも多いという。さらに、スマートフォンでの脅威については、不正アプリはもちろん、それに加えPCでよく見られた“ワンクリック詐欺”的手法との組み合わせも既に確認していると林氏。個人情報に加え位置情報など様々な情報が集積されているだけに、その潜在的リスクの大きさに我々はもっと注意を払うべきなのかもしれない。
スマートフォンに関しては、既にご承知の読者の方もいようかと思うが、オフィシャルマーケットで悪意あるアプリが堂々と配布されていたケースも。加えて、写真右のような複合型の脅威も存在するとあっては、対策を講じなければならない必要性を強く感じさせられた |
オンラインバンキングに至っては、明らかに日本人をターゲットとしたものが顕在化してきているという。Javaの脆弱性を突いたその攻撃は、Web経由でマルウェアをインストールさせる。しかも、修正パッチを適用していない場合は閲覧しただけで感染してしまう。しかも、設定ファイルには日本の5つの銀行のみが記述されていることからみても、日本人が狙われているのは明らかだ。
脆弱性を突いたマルウェアは、着実に日本人を狙っている。写真右の設定ファイルの一部を見れば、所々に日本語で記述された部分があることに気が付くだろう。脅威は対岸の火事ではなく、もはや今も自身に迫りつつある脅威なのだ |
"脅威は身近なのだ"と認識を改めるべき悲しき時代へ突入してしまったのか?
本誌でもセキュリティ関連の記事は、過去何度となく取り上げてきた。セキュリティ製品の発売情報はもちろん、IPA等が伝えるセキュリティ情報も。しかし、現にサイバー犯罪者たちによる情報・金銭の搾取は、衰えるどころか手を変え品を変え増える一方だ。警察庁の吉田氏もシマンテックの林氏も述べていたが、サイバー犯罪者による攻撃はもはや対岸の火事ではない。今そこにある危機、なのだ。セキュリティ製品の導入はもちろん、脆弱性を補完するパッチを適宜適用することは、もはやPCを扱う以上必然だと考えるべきなのかもしれない。