2018.5.8

あなたの会社は大丈夫ですか?忘れたころに襲われる?サイバー攻撃2018

SEの種村です。

 

社会に大きな影響を与えるような大規模な個人情報流出やWebサイト改ざんなど、メディアで取り上げられるとその時は気になるものですが、数週間もすれば関心は薄れてしまい、その時は「うちでもサイバーセキュリティ対策を強化した方がいいのかな」と考えていてもそのまま手付かずになるという事はよくある事だと思います。

 

ここ数カ月は情報流出やサイト改ざんなどの大きなニュースが出ていないと思いますが、だからと言ってサイバー攻撃が鎮静化しているわけではなく、年々言われている事ではありますが手口は益々巧妙になってきているように感じます。

 

こちら(https://www.ipa.go.jp/security/vuln/10threats2018.html)に情報処理推進機構(IPA)が2018年4月に発表した「情報セキュリティ10大脅威2018」ものが公開されていますが、私の中で気になるのは企業を対象にした以下の内容。

 

3位:ビジネスメール詐欺による被害
4位:脆弱性対策情報の公開に伴う悪用増加
5位:脅威に対応するためのセキュリティ人材の不足

 

この3つは1年前まではランキングに入っていなかった内容ですので、急速に脅威が増していることなります。
特に3位については、実際に相談を受ける機会も増えています。

3位:ビジネスメール詐欺による被害

目にしたり相談を受ける事が増えたので、明らかに脅威が増していると実感している内容です。

 

具体的に増えたと感じているのが、「AppleIDの再設定を装ったフィッシングサイトへの誘導メール」です。

 

ある日突然「AppleIDのパスワードを再設定してください」などのメールが届きます。
※他のもいくつもバリエーションがあるようです。

 

このメール自体にウィルスが含まれている事はないので、セキュリティ対策ソフトでは引っかかりません。
しかし、文中にあるリンクをクリックして表示されるサイトが偽物であり、本物のAppleのサイトに非常に似せて作ってあります。

 

この偽サイトでAppleIDと現在のパスワードを入力してしまうと、その情報がそっくり盗まれてしまう事になります。

 

仮に、盗まれ場AppleIDにクレジットカード情報が登録されていたとすると、、、かなり危険が高くなるというのは納得いただけると思います。

 

では、その危険を回避するにはどうしたらよいのでしょうか?

 

偽AppleID設定サイトの見抜き方

本物サイトURLは https://appleid.apple.com です。

 

本物のポイントは【https://】で始まっている事です。

私が実際に見た中で、偽サイトは共通して【http://】で始まっていました。

 

ドメインを似せて作られているとパッと見分からない時もありますが、仮に開いてしまったサイトが【http://】で始まっていたら100%偽サイトです。

 

これだけ知っているだけでも大分見分けが付きますが、今後は【https://】の偽サイトも増えて来るでしょうし、恐らく既に存在もしていると思います。

 

そうなったらどうしたら良いのでしょうか?

 

偽サイトの見分けが付かない場合の対処法

この手の詐欺手法は【メールがスタート】になっている点です。

 

なぜメールがスタートなのか?と言えば、yahooやgoogleで検索した結果に偽サイトは上位表示されないからです。

 

という事は、メールの文中にあるリンクを使わずに、yahooやgoogleで検索して表示されたサイトを開けば回避できる事になります。

 

今回はAppleIDを例にしましたが、楽天やAmazonでも同じ事が言えます。

利用者が多いサービスほど偽サイトによるフィッシング詐欺も多く存在していますので、メールを少しでも不自然に思ったら、メール文中内のリンクは利用せずに実際に検索して出てくるサイトから訪問するようにするだけで、問題を回避出来るようになります。

まとめ

今回紹介した偽サイトやフィッシングメールを作成しているのは人です。

幾らウィルス対策ソフトを導入していても、それを回避出来るような対策・改良が行われ、より巧妙な罠を仕掛けてきます。
既にIDを盗まれているのに気づいていないというケースも実際にあるでしょう。

 

今回はAppleIDを例に上げましたが、AppleIDからメールを閲覧されてしまい、社内システムへのアクセスまで突破されてしまう可能性も十分にあり得ます。

 

しかも、企業内外の情報漏洩は、社会的信用度を著しく下げてしまう可能性が高いものが殆どです。

 

「怪しいメールが来たら誰かに聞いてみる」という習慣を持つだけでも随分違ってきますので、守れないルールではなく気軽に出来る簡単な習慣付けをして、サイバー攻撃対策の1歩を進んでみては如何でしょうか?

万が一情報漏洩してしまったら?

弊所にはIT・情報システムに強い弁護士が在籍しております。
お困りごとがありましたら、お気軽にご相談ください。