年末年始の長期休暇を前に、セキュリティ機関などが注意を呼びかけている。休暇中は、インターネットを利用する時間が増えたり、旅行先や帰省先など普段とは異なる環境で利用したりすることも多い。思わぬトラブルに巻き込まれないよう、いつも以上の注意を払っていただきたい。
JPCERTコーディネーションセンター(JPCERT/CC)やIPA(情報処理推進機構)から出されている年末年始に向けた注意喚起については、末尾にURLを記載しておくのでぜひ参照しておいていただきたい。ここでは、最近の状況から見た一般ユーザー向けの注意点をまとめておく。
■ウイルス感染に注意
ウイルス(マルウェア)は、メールやWebサイト、SNS、ブログなどさまざまな経路を使用して、ユーザーのパソコンに侵入しようとする。その際にウイルスは、自身を実行させるために主に次の2つの手段を使う。
(1) ソフトウェアの脆弱性を突いて自動的に実行する
インターネットの利用中に特に注意しなければいけないのが、脆弱性が悪用されるケースだ。システムやブラウザ、プラグインなどのソフトウェアのアップデートを怠っていると、Webサイトなどを閲覧するだけで、知らない間にウイルスに感染してしまうことがある。
このタイプのウイルス感染を防ぐためには、使用しているOSやブラウザーなどを最新の状態にアップデートし、脆弱性を解消しておく。普段使用しているパソコンはもちろん、帰省した際には実家のパソコンについても、アップデートが適切に実施されているかどうかを確認したい。Windows Updateを必ず実施し、Adobe Reader、Adobe Flash Player、JRE(Java Runtime Environment:Java実行環境)がインストールされている場合には、それぞれ最新版を使用しているかどうかを確認する。
Adobe Readerは、[ヘルプ]メニューの[アップデートの有無をチェック]で、Flash PlayerとJREは、コントロールパネルのそれぞれのアイコン、もしくは下記バージョン確認ページで最新版のチェックとアップデートが行える。
・Flash Playerのバージョン確認(アドビ)
http://www.adobe.com/jp/software/flash/about/
・Java のバージョン確認(オラクル)
http://www.java.com/ja/download/installed.jsp
(2) ユーザー自身に実行させる
ネットの利用中にもうひとつ注意しなければいけないのが、ユーザーをだまして実行させようとする手口だ。有用なアプリと見せかけて実行させるものもあれば、ブラウザーやメディアプレーヤなどのアップデートに見せかけて実行させようとするものもある。
たとえばワンクリック詐欺では、動画を再生するために必要だと騙し。請求画面を表示し続けるワンクリックウェアを実行させようとする。
偽セキュリティソフトや偽メンテナンスツールの場合には、「ウイルスに感染している」「エラーが見つかった」といった偽の警告を表示してユーザーを不安に陥れ、その解決手段として役に立たないインチキソフトを購入させようとする。
スマートフォンの場合には、人気のアプリにウイルスを仕込んで配布する手口も用いられているので、公式サイトで配布されている信用できるアプリ以外は、インストールしないように注意したい。
■不正ログインに注意
今年も6月をピークにたくさんの不正ログイン被害が発生した。筆者の集計では、2013年が1年間で約85万件だったのに対し、今年は11月末時点で90万件を超える状況だ。被害報告に共通しているのは、他社から流出したと見られるアカウント(ID/パスワード)を使って、不正ログインを試行している点だ。
複数のインターネットサービスで同じIDとパスワードの組み合わせを使用している場合には、あるサービスのアカウント情報が流出すると、他のサービスも不正ログインの被害を受ける可能性がある。サービス間で同じIDとパスワードを使いまわしている場合には、異なるパスワードに変更しておくことをお勧めする。
休暇中は、ネットカフェやホテルの端末を使ってインターネットにアクセスしたり、公衆無線LANやホテルのLANなどのアクセス回線を使用することもあるだろう。自分が管理していない端末を利用する場合には、何が仕掛けられているか分からないので、サービスにログインしたり、クレジットカード情報を入力したりといった行為は慎んでいただきたい。
自分が管理していない回線は、常に盗聴されている可能性を考慮しよう。SSL暗号化接続やVPNサービスを使った接続以外では、やり取りしている内容が盗聴されているおそれがあるので、サービスにログインしたり、クレジットカード情報を入力したりしてはいけない。
■架空請求に注意
架空請求被害が、過去最悪の状況を迎えている。警察庁のまとめによると、かつては1件当たり100万円前後だった被害額が、昨年は400万円超え、今年は500万円超えと高額化している。その結果、被害件数こそピーク時におよばないものの、被害総額は、年間の過去最高額を今年上半期だけで上回り、10月末時点で128億7千万円を突破する、過去最悪の状況だ。
インターネットネットがらみの架空請求の手口は、主にメールによる架空請求と、アダルトサイトのクリック詐欺だ。
メールによる架空請求は、有料サイトの利用料金などの名目で架空の請求を行い、現金をだまし取ろうとするもの。サイトの運営会社からの依頼などと称した、よく分からない請求内容のメールが突然届き、支払わないと調査を開始する、法的手段をとるなどの文言で不安をあおり、早急に電話するよう誘導する。 こうした債権の回収を代行できるのは、弁護士と法務大臣の許可を受けた債権回収会社だけだ。通知がメールで来ることは無く、アダルトサイトや出会い系サイトなどの利用料を請求する債権回収会社もない。情報サイトなどと書かれた未納の料金を請求するメールは、全て架空請求なので、あわてて連絡したりせず、無視していただきたい。
クリック詐欺は、無料のアダルトサイトなどを見ようとクリックして行くと、突然「登録完了しました」という画面になり、高額な料金を請求するもの。以前は、振込先等を記載しているところが多かったが、最近は電話やメールで連絡させようとする手口が主流で、事前に電話番号登録させようとする、用意周到なところもある。メールによる架空請求と同様、こちらもあわてて連絡をとったりせず、無視するのが鉄則だ。なお、詐欺サイトの中には、請求画面を表示し続けるワンクリックウェアを、動画再生用のソフトと称して実行させようとするとこもあるので注意していただきたい。
■フィッシングに注意
国内のオンラインサービスを装い、ID/パスワードなどをだまし取ろうとするフィッシングの大量発生が続いている。オンラインバンキングのフィッシングは、10月末の攻撃を最後に停止したようだが、オンラインゲームは、この2か月間ほぼ休みなく攻撃を続けており、偽サイトは現在も稼働中だ。断続的ではあるが、プロバイダーなどのWebメールのアカウントを狙ったフィッシングも繰り返し行われている。
フィッシングは、年末年始の休暇期間中も引き続き行われることが予想される。休暇中は、届け出窓口が機能しないことが多いため、フィッシングサイトが長期間にわたって稼働を続けたり、アカウントの復旧に時間がかかってしまったりする可能性も高い。調査や確認、更新などと称して、ID/パスワードなどを入力させようとするメールには、くれぐれも注意していただきたい。
日本語ではないが、TwitterのDMを使って誘導するフィッシングが先週、国内のユーザーの間でも確認されている。英文のDMで送られて来るリンクを開くとTwitterの偽ログインページが開き、セッションが切れたと称してログインさせようとするものだ。
フィッシングの誘導手段はメールだけでない。SNSなどのあらゆる手段が使われることを心に止めておいていただきたい。ID/パスワードやクレジットカード情報などを入力する際には、正しい相手とSSL暗号化通信で接続していることを必ず確認する。SSL接続時には、ブラウザのアドレスバーに錠マークが表示される。
(2014/12/22 ネットセキュリティニュース)
【関連URL】
・年末年始における情報セキュリティに関する注意喚起(IPA)
http://www.ipa.go.jp/security/topics/alert261218.html
・冬期の長期休暇に備えて(JPCERT/CC)
https://www.jpcert.or.jp/pr/2014/pr140007.html