ネットセキュリティ今どきのキホン

第13回:金銭狙いのサイバー犯罪の手口と有効な対策を知ろう

 今やタブレット端末/スマホはもちろんのこと、自動車や洗濯機、メガネに時計と身の回りのあらゆるモノがネットに繋がるIoT(Internet of Things)時代となりました。こうした環境の変化を感じながらも、ネットを利用する際のセキュリティ意識は特に変わらないという方は多いのではないでしょうか? 便利で楽しい仕組みが開発されると、新たな仕組みを悪用するサイバー攻撃が出てくるのは、残念ながらネットの歴史における事実です。とはいえ、必要以上に心配する必要はありません。この連載では、皆さんがネットを使う上で知っておきたい今どきのネットの危険と、それらを避けるためのキホンを紹介します。


 ネットのサイバー犯罪は日々巧妙にそして悪質になっています。9月8日付の警察庁の発表によると、2016年上半期におけるネットバンキングに関連する不正送金の被害は、857件・約8億9800万円[*1]にも上っています。今回は、金銭を狙うサイバー犯罪について、古くからある定番の詐欺手法から、ここ最近流行しているウイルスまで、その手口を解説するとともに、これらの被害を防ぐための対策ポイントをご紹介します。

ネットの古典的攻撃手法“フィッシング詐欺”

 “フィッシング詐欺”という言葉をご存知でしょうか? ネットの利用者をだまして偽のウェブサイトに誘導し、そこで情報を釣り(フィッシング)上げることからフィッシング詐欺と呼ばれます。古くからある攻撃ですが、利用者をだます手口は巧妙化を続け、未だに被害が後を絶たない悪質なネット詐欺です。フィッシング詐欺では、ネットバンキングをはじめとした金融機関の認証情報や、課金や決済の仕組みを持つネットショッピング、オンラインゲームなどのログインに利用されるID/パスワード、さらには決済のためのクレジットカード情報などがよく狙われます。

 偽サイトへの誘導にはメールを使うのがフィッシング詐欺の定番ですが、スマホのSMS(ショートメッセージサービス、またはテキストメッセージ)を利用した誘導も確認されています。

図1:モバイル向けフィッシング詐欺サイトの表示例

ネットバンキングを狙うウイルスにも注意

 ネットバンキングを狙うウイルスにも注意が必要です。海外では以前から拡散されているこうしたウイルスは、2013年ごろから国内に本格流入し、2016年上半期には昨年の同時期と比べておよそ2倍の約2万5500台の国内検出が確認されており、いま最も注意が必要な脅威の1つです。

 2016年の上半期、ネットバンキングを狙うウイルスは、迷惑メールによる感染が目立ちました。日本語の巧妙な迷惑メールに添付されたファイルを受信者が誤って開くことでウイルスに感染してしまうのです。これらの迷惑メールは、「支払確認」「宅急便お届けのお知らせ」「商品お届けのご案内」といった、つい心当たりがあると勘違いしてしまいがちな巧妙な件名で手元に届いていました。

図2:2016年上半期、ネットバンキングを狙うウイルスの拡散で最も影響の大きかった、日本郵政をかたる日本語の迷惑メールの例

 ネットバンキングを狙うウイルスは、感染するとPC内でじっと身を潜めます。利用者が感染端末で正規のネットバンキングを開始するとその動きを検知し、正規の取引の最中に偽画面を差し込んで入力された認証情報などを盗み取ります。最終的に盗んだ情報を使って、犯罪者の口座に不正送金を行うのです。

ネットバンキングを狙うウイルスの挙動については、こちらの動画も参考にしてみてください。「ネットバンキングを狙うウイルスの脅威」(トレンドマイクロ公式YouTubeチャンネル)

 ネットバンキングを狙うウイルスは、ある特定の金融機関だけを狙ったものではありません。2016年の上半期に猛威を奮ったウイルスの一種「URSNIF(アースニフ)」は、地方銀行も含め約40の金融機関を標的にしています。ネットバンキングのみならず、信販会社へのアクセス時にクレジットカード情報を盗み取る動きも組み込まれていました。

金銭を狙うサイバー犯罪の被害を防ぐためのポイント

 フィッシング詐欺もネットバンキングを狙うウイルスも、攻撃の起点としてメールが悪用されることが多くあります。「利用中の金融機関から届いたメールだから」「普段利用している配達業者からの不在通知メールだから」といった理由で安易に信用するのではなく、常に詐欺の可能性を疑ってメールの内容を慎重に確認するようにしましょう。特にメールの中に書かれたURLを辿った結果、パスワードや個人情報の入力を求められる場合や添付ファイルの付いたメールには要注意です。真偽が確認できない場合は、情報を入力したり、添付ファイルを開いたりする前に電話など別の手段で確認を取るようにしましょう。

 意識をしていても、判断に迷ったり、気付けなかったりする場合もあります。パソコンには必ずセキュリティソフトを入れて最新の状態で利用しましょう。迷惑メールや、詐欺サイト、ウイルスを検知・ブロックしてくれます。

 また、普段からご利用の金融機関のホームページを積極的に訪れるようにしてください。多くの機関でこのようなサイバー犯罪の脅威に対し、常に最新の注意喚起が行なわれており、個別の対策を提供している機関もあります。ご利用の銀行口座などの取引状況をこまめに確認し、不正送金が行われていないかを確認することも被害を最小化する上で重要なポイントです。

 いたずらに心配する必要はありませんが、日常での金銭のやりとり同様に、ネット上での金銭にかかわる情報のやりとりは、常に慎重に行うよう心がけましょう。

[*1]……平成28年上半期におけるインターネットバンキングに係る不正送金事犯の発生状況等について(警察庁発表)
http://www.npa.go.jp/cyber/pdf/H280908_banking.pdf(PDF)

森本 純

もりもと じゅん:トレンドマイクロ株式会社 マーケティング戦略部 コアテク・スレットマーケティング課 シニアスペシャリスト。インターネットを安全に楽しむためのセキュリティ情報サイト「is702」の企画・運営をはじめ、セキュリティエンジニアとしての実務経験をもとに大学生から企業ユーザーまで広くさまざまな立場の人への脅威啓発活動を担当。