11月18日、インターネットイニシアティブ(IIJ)はメディア向けに、セキュリティに関するオンライン勉強会を開催した。個人や企業を狙ったサイバー攻撃は複雑化し、巧妙化する一方だが、実際にどのような攻撃を受けており、どのような対策をすればいいのだろうか。

IIJのメディア向け勉強会は、年数回、さまざまなジャンル向けに開催されているもの。今回はサイバー攻撃に関する最新事例の紹介が行われた。なお勉強会はZoomにて行われているが、筆者の環境の問題で画面キャプチャーが行えなかったため、主に配布された資料を中心にご紹介する。

個人向けの攻撃に関しては、IIJ九州支社の技術部サイバーセキュリティサービス課に所属する今井健氏から説明があった。今井氏は九州・沖縄、中四国を対象としたサイバーセキュリティサービスの企画・構築・運用に携わっており、国内のウェブサイト改ざんでは年間500件以上のインシデントをJPCERT/CCと連携して対応したことで感謝状を授与されている。

今井氏は個人向けのサイバー攻撃として長年被害が発生しているものとして、「SEO ポイズニング」「フィッシング詐欺」「宅配業者を装ったSMS」の3つを紹介した。

SEOポイズニングとは、検索サイトの上位に表示させる検索に無害を装った結果を表示させ、悪意のあるサイトに誘導する手法だ。検索サイトで自社サイトをなるべく上位に表示させようとする手法がSEO(Search Engine Optimization:検索エンジン最適化)だが、詐欺サイトがこれを悪用した形となり、ユーザーの手ではなかなか対策しにくい問題ともいえる。

SEOポイズニングでは、検索結果として偽の通販サイト、または抽選で当選したかのような偽ページを表示させ、そこに入力させた住所やメールアドレス、クレジットカード番号やパスワードといった情報を盗むのが目的となっている。この偽サイトはまったく違うサーバーに作られることもあるが、攻撃したサイトに侵入して作られるケースもあり、こうなると識別はさらに難しくなる。

今井氏は、SEOポイズニングへの対策としては、悪用されるウェブサイト側と、不審サイトに誘導されるユーザー側双方の対策が必要だと指摘する。最近の詐欺サイトは非常に巧妙化しているため、外見で見分けるのは難しくなっているが、過度に割引率が高かったり、支払い方法が銀行振り込みのみである、電話で連絡の取れる情報が掲載されているか(その情報が有効か)、サイト名などで検索してみて正当に評価されているかなどを行うことで、詐欺サイトかどうかを見分けやすいという。

一方企業側は、自社のサイトが装われていないか、定期的に検索結果をチェックするとともに、攻撃者がウェブサイトに侵入されないよう、サーバ側のソフトを最新に維持すること、管理画面の認証情報を強化するなどの対策が考えられる。サイト管理者にとっては負担が増える、頭の痛い問題だろう。

続いてフィッシング詐欺については、近々では10月15日以降、総務省を装い、第二回の特別定額給付金の特設サイトを開設したという内容のフィッシングメールが多数確認されている。フィッシングメールのURLを踏んで到達するフィッシングサイトでは、住所氏名や生年月日といった個人情報に加え、クレジットカード番号や、運転免許や保険証といった本人確認資料の画像アップロードまで要求するケースもあり、11月10日までに160件以上のフィッシングサイトが確認されたという。

また昨年は、被害総額が20億円を突破した、銀行を騙ったフィッシングが企てられた。銀行フィッシングでは自動電話による本人認証が破られており、ますますフィッシングサイトへの注意が必要になっている。この攻撃は現在も引き続き観測されており、特にSMSを使った誘導には注意が必要だという。

  • 銀行の偽サイトを経由して正規のパスワードを盗み、ワンタイムパスワードを破るという手法で銀行の本人認証が破られた。今年はウォレットサービスを狙った攻撃でも銀行の認証について話題になった年だった

また今夏以降、キャッシュカードの代わりにスマートフォンアプリを使ってコンビニATMから現金の引き出しや振り込みが行える「スマホATM」を狙ったフィッシングも横行している。こちらもSMSなどに記載されたURLから偽サイトに誘導してパスワードなどを盗み出す手口となっている。

SMSを利用したフィッシングとしては、宅配業者を装った攻撃も多く発生している。Android端末の場合はURLからマルウェアのインストールを要求され、応じてしまうと端末が乗っ取られ、SMS送信の踏み台として悪用されるなど、加害者に仕立てあげられることもある。iOS端末の場合はマルウェアのインストールはできないものの、フィッシングサイトに誘導されて様々な認証情報を盗まれる可能性がある。

今井氏は、日本において企業がSMSを使った連絡をするケースはほとんどないことを指摘。SMSに記載されたURLはほぼ全てフィッシングだと考えて警戒することが必要だろう。もしSMSを利用している企業があるなら、別の手段への乗り換えを検討するべきだ。また、災害等の発生や大きなイベントなど、多くの人が関心を寄せる出来事をテーマにした不審メールにも注意するべきと指摘した。

  • メールなどのURLは信用していきなりクリックしないのが基本だが、なかなか全ユーザーが徹底するのは難しい

  • 特別定額給付金や災害時のネット募金募集など、人々の関心を集める出来事には詐欺が付き物。メールから直接リンクを踏まず、実施企業の公式ページから確認するクセを付けたい