テレワーク、スマホ、メール狙う「サイバーセキュリティの罠」に気をつけろ。

テレワーク、スマホ、メールを狙う最新トラブルとその裏側の実態に迫ったのが、本書「すぐそこにあるサイバーセキュリティの罠」(日経BP)だ。コロナ禍で登場した新たな手口も紹介している。言うまでもなく、いまやインターネットトラブルは、すべての人がターゲットになっている。

「すぐそこにあるサイバーセキュリティの罠」(勝村幸博著)日経BP

著者の勝村幸博さんは、日経NETWORK編集長。日経BPで、主にセキュリティーやインターネット技術に関する記事を執筆。著書に「コンピュータウイルス脅威のメカニズム」などがある。

■書かれている内容に不自然な点はないか...ご用心

本書では、フィッシング詐欺などの新しい手口が紹介されている。個人情報を入力するWebサイトでは、Webブラウザーに「鍵マーク(碇マーク)が表示されていれば安全」という「HTTPS神話」が崩壊した、と警告している。

WebサイトがHTTPSに対応していると、Webブラウザーには鍵マークが表示され、URLは「https」から始まる。

仕組みとしては、HTTPSに対応したWebサイトはサーバー証明書をWebブラウザーに送信し、WebサイトとWebブラウザー間の通信は暗号化される。通信の盗聴は防げるが、これだけでは、そのWebサイトが信用できることにはならないという。

偽サイト全体に占めるHTTPS対応サイトの割合は、2018年第3四半期には半分近くになったというデータがある。HTTPSに対応していても信用できないのは、サーバー証明書は3種類あり、種類によっては簡単に取得できるためだ、と説明している。

だから、鍵マークの有無だけでは安全性を判断できない。Webページに書かれている内容に不自然な点はないかどうかなど、総合的に判断する必要がある、としている。

■新型コロナに便乗した「ビジネスメール詐欺」とは?

新型コロナに便乗した詐欺や攻撃も増えている。テレワークの導入に伴い、業務フローを変更した企業も少なくない。それにつけこんだのが「ビジネスメール詐欺」だ。典型的な手口はこうだ。

攻撃者はまず、2社の経理担当者がやりとりしている請求に関するメールを何らかの手口で盗聴する。そして、請求側の担当者になりすまし、支払い側に偽の口座を伝え、金銭を振り込ませる。

海外では大規模な被害が報告されているが、国内の被害状況はあまり分かっていなかった。被害に遇っても企業が公表することはまれだからだ。

国内のセキュリティー組織であるJPCERTが行った調査では、未遂を含めて117件の事例がわかり、請求額の合計は約24億円。企業名や詳細は明らかにしていないが、数百万円から数千万円規模の被害も発生しているという。

■必ずしも万全ではないVPNのセキュリティー

テレワークが普及し、多くの企業が頼りにしていたのが社外から社内ネットワークにアクセスできるようにするVPNだが、そのセキュリティーは万全ではないというのも驚きだ。

国内のセキュリティー組織であるJPCERT/CCは、米フォーティネット、米パルスセキュア、米パロアルトネットワークスのVPN製品に、危険な脆弱性が見つかったと注意を呼び掛けた。

脆弱性を悪用されるとコンピュータウイルスなどを遠隔から実行されたり、任意のファイルを読み取られたり、認証情報を取得されたりする恐れがある。

いずれの製品も脆弱性を修正するプログラム(パッチ)は公開されているが、まだ対応していないユーザーも多い。

とくに狙われているのが、パルスセキュア製で未対応のVPNサーバーは国内に1511台あったという。その後対応が進んだが、まだ危険なVPNサーバーは298件残っているという。悪用されたデータベースファイルの窃取やランサムウェアの感染がJPCERT/CCに報告されている。

■テレワークが終わり、社内ネットワークに接続...ここにも危険が

テレワークが終わり、通常勤務に戻り、社員が自宅で使っていたノートパソコンや外部記憶装置などが社内ネットワークに接続されることになる。ここにも危険が潜んでいるという。

通常、自宅のネットワークは社内ネットワークよりもセキュリティーレベルが低く、ウイルス感染や不正アクセスのリスクが高い。自宅で使っていたパソコンを社内ネットワークにつなぐのは危険な行為であり、ウイルスが持ち込まれる可能性があるからだ。

日本ネットワークセキュリティ協会はチェックリストを公開している。社内ネットワークに接続する前に、「セキュリティー対策が最新の状態か」「ウイルスに感染していないか」「無許可のソフトウェアがインストールされていないか」などを確認するよう勧めている。

次々と編み出されるネット詐欺の手口。不在通知などを装う偽SMS(ショートメッセージ)を受け取った人も多いだろう。「お客様にお荷物のお届けにあがりましたが不在の為持ち帰りました」と宅配業者を名乗る手口だ。そこから、偽サイトに誘導する。この手口は報道されたため、別の宅配業者を名乗る手口も出ているそうだ。

(ちなみに、こういった手口の踏み台にされないためには、Androidスマホなら、セキュリティー設定で、「提供元不明のアプリ」をオフにするといいようだ。)

サイバー犯罪は現在、一つの産業になり、分業化が進んでいる、と警告している。

手口は高度化する一方、スマートフォンの大方のユーザーにとって、セキュリティーは関心外のことである。「金銭を提供する」といったメールから出会い系詐欺サイトに誘導され、金銭をだまし取られる被害の相談は全国の消費生活センターなどに年間3000件も寄せられている。

変わらない手口にだまされる人は絶えない、と著者は嘆いている。

(渡辺淳悦)

kaisha_20220901182427.jpg

「すぐそこにあるサイバーセキュリティの罠」
勝村幸博著
日経BP
1980円(税込) 

関連記事(外部サイト)

  • 記事にコメントを書いてみませんか?