『すぐそこにあるサイバーセキュリティーの罠』2021/4/16
勝村 幸博 (著)
サイバー攻撃から身を守るために、さまざまな攻撃の手口を教えてくれる本で、テレワークを狙う巧妙な攻撃、フィッシング詐欺、ビジネスメール詐欺、ランサムウエア、偽メッセージ、心のスキを狙うソーシャルエンジニアリング、コロナ禍に便乗した攻撃、AIを使った未来の攻撃の可能性など、さまざまな手口が紹介されています。
例えば「第2章 コロナ禍の罠」では、テレワークを狙う、次のような巧妙な攻撃事例を知ることが出来ました(JPCERT/CCの調査で明らかになったビジネスメール詐欺事例の一つ)。
「決済金額の上限が3000万円のA社に対して、攻撃者は偽のメールで2900万円、2800万円、2990万円といった金額を請求するメールを送信したという。(中略)
「決済上限額が外部に漏れることは通常は考えられない。この情報を知っている内部の関係者が関与した可能性が高い」(中略)
ビジネスメール詐欺は、請求側と支払い側がやりとりするメールを攻撃者が盗聴して情報を入手することが多いといわれる。その情報を使って正規の担当者をだますのだ。
だが企業の内部に共犯者がいれば、攻撃者はもっとだましやすくなる。内部の人間しか知らない情報が含まれていればいるほど、正規の請求メールだと信じ込ませやすくなる。」
……こんな用意周到に仕組まれた詐欺には、騙されない自信が持てません……。
私は個人情報入力しなければいけないサイトにアクセスするとき、いちいちURL名を確認するよう心掛けていますが、それすら対策している悪質サイトがあるそうです。正規のサイトとほぼ同じURL名で、「-」がないだけの悪質サイトが確認されています。……ここまで悪質なサイトには、慎重なつもりの私でも、やっぱり騙されてしまうかも……不安がつのります。それでも今後も、「URL名確認」は一応、続けるつもりですが……。
また「新型コロナ」関連では、正規サイトっぽいドメイン名を、詐欺師たちが取得している可能性が高いそうです。次のように書いてありました。
「CTCに参加する米ドメインツールズの専門家によれば、3月上旬から下旬にかけて新型コロナ関連ドメインの登録数が急増。1日当たり5000件を超えた。そのほとんどが高リスクのサイト。すなわち悪意のある可能性が高いサイトだったという。
大きな災害や危機が発生した際には、正規の寄付サイトや支援サイトがまず立ち上がり、それらを模倣する偽サイトが出現するのが一般的だった。
ところが正規サイトが立ち上がる前から、詐欺師は我先にと関連ドメインを貪欲に取得していたのだ。ドメインツールズの専門家は、このような傾向は今までに見たことがないとコメントしている。」
しかも「新型コロナ」関連では、たとえサイトに表示されている内容が正しくて役に立つ内容であっても、そのサイトの運営者を信頼してはいけないようです。この本には、米ジョンズ・ホプキンス大学が公開する感染マップのデータをリアルタイムで取り込んで、フィッシングを企んでいる悪質なプログラムの事例が紹介されていました。
そしてこの本の中で一番恐ろしく感じたのが、「第5章 メールにもスマホにもメッセージにもパソコンにも罠」。佐川急便や日本郵便などからの不在通知にみせかけたSMS偽メッセージが大きな被害をもたらしているそうです。この詐欺の恐ろしいところは、SMSの機能を悪用して「正規の企業から送られてきたメッセージの中に、偽のメッセージを紛れ込ませて」いること。
スマートフォンなどのSMSアプリは、同じ相手からのメッセージを同じスレッド(送信者ごとの画面)内に連続して表示していますが、実は送信元をきちんと識別しているわけではなく、メッセージごとに設定される文字列をもとに推測で分類表示されているそうです。だから偽メッセージを正規の企業のメッセージに紛れ込ませることが可能で、同じ「送信元」の中に本物と偽物が混ざった状態で表示されてしまうことがあるのだとか!
その対策としては、「表示されているスレッドに関わらずメッセージをきちんと確認する。特に電話番号、URLが含まれているものには、安易にアクセスしないよう注意する。」必要があるそうです。
……私自身もこのようなメッセージを受け取ったことがあり、その時にはすぐに「偽」だと分かりましたが、自分のスマホに実際に表示されている「偽」のメッセージ画面を見て、詐欺師の手口はここまできているんだなーと本当に戦慄させられました。
さらに今後は、AIを活用した詐欺が行われるようになるかもしれません。「第8章 未来のAIの罠」には、「遠隔手術を可能にする外科手術ロボットの手術に割り込むAIウイルスの事例」や、「25メートル離れた場所から、「電球」を利用して盗聴する事例」などの、とても恐ろしい事例が紹介されていました。これらは大学などが研究として発表した事例なので、実際の被害例ではありませんが、すでに技術的にはこんなことまで可能になっていることを知ることが出来て、とても参考になりました(恐ろしくなりました)。
……サイバー攻撃はどんどん巧妙化しているので、完全に防ぐことは到底できそうにないと無力感すら覚えてしまうほどですが、それでも現在、自分に出来る防御だけでも行っていく努力を続けていきたいと思っています。被害を最小限にとどめるために、みなさんも、ぜひ読んでみてください。
* * *
なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。
<Amazon商品リンク>