このコラムは企業向けIT情報メディア「ITmedia エンタープライズ」に掲載されているので、組織向けのセキュリティ情報を取り上げるようにしています。ただし筆者は最近、セキュリティ対策のあるべき姿に個人か組織かであまり違いはないのではないか、と考えるようになりました。
毎年恒例の情報処理推進機構(以下、IPA)の「情報セキュリティ10大脅威」では、「組織」向けと「個人」向けそれぞれの順位が発表されています。とはいえ、多くの人が組織に属している以上、組織で起きている脅威を個人は無視できませんし、その逆もしかりです。筆者としては、“個人向け”と考えられている対策が、組織であまり進んでいないような気もしています。
組織が“個人のこと”と考えていて、対策が進んでいないものといえばやはり「フィッシング詐欺対策」でしょう。組織への侵入経路は、相変わらずVPN機器の脆弱(ぜいじゃく)性が主流でしょう。ただこれよりも簡単なのは「正規のID/パスワードを盗む」ことです。個人向けの10大脅威の中でも、よく見ると不正に入手した認証情報があれば実行可能となっている脅威が幾つもあることに注目してほしいと思います。
●クレジットカードを少額で不正利用されていない? 巧妙な新手口
IPAは2024年11月、サポート詐欺に関する注意喚起を発表しました。サポート詐欺は、相談件数こそ減少しているものの、それでも月に200件を超える相談が寄せられている、攻撃者にとって一定の効果が得られている手法です。現時点で有効と考えられる対処方法も掲載されていますので、ぜひチェックしておいてください。
この注意喚起によると、「支払いのためにGoogle Playギフトカード・Appleギフトカードなどのプリペイドカードを近くのコンビニで買うように指示」する、さらにはサポートと称して“遠隔操作”を実行して「被害者にネットバンキングを開かせて不正送金を試みる事例」もあると言われています。
通常の業務の中でこのような指示が出るケースは冷静に考えれば「ない」ということは分かるはずです。しかし攻撃者は被害者の冷静さを失わせるよう、巧みに会話を誘導し、判断力を鈍らせてきます。そのため被害者がだまされたことを責めてはいけません。それよりは詐欺の事例を知り、万が一サポート詐欺に巻き込まれたとしても、「これ、どこかで聞いたことあるな」と思えるようになることが、フィッシング詐欺への有効な対策です。
そういう意味で気になる注意喚起がクレジットカード事業者のJCBから発表されたので、こちらを紹介しましょう。
この詐欺の手口に引っかからないためには、クレジットカードを「Apple Pay」や「Google Pay」など、スマートフォンのウォレットに登録する作業を知っておく必要があります。JCBのクレジットカードをウォレットに登録する際には、スマートフォンでの登録作業のあと、本人認証として“利用者が指定された電話番号に電話する”という処理が必要です。
クレジットカード会社によっては、事前に登録された携帯電話番号にSMSが送信され、そこに書かれたコードを入力することで本人確認をする仕組みが使われていますが、その逆に、電話をかけることで有効にするという手法を使う事業者もあります。問題は、この手法がどうやら攻撃を受けているということです。
攻撃者は恐らく、カード契約者とは別の場所でスマートフォンにクレジットカード情報を入力し、認証が必要となった状態で契約者にフィッシングを実行しているものと推察できます。仕組みとしては、契約者が登録した携帯電話番号から指定の電話番号に一瞬でも通話できれば認証が完了しますので、電子メールやSMSに電話番号リンクを送り、そこをタップさせることでスマートフォンでの決済が有効になります。
金額によっては有効性を確認せずに決済できるため、少額ながら不正に利用される可能性があります。このような注意喚起が発せられたということは、それなりに不正利用が増えた、と見ることができるでしょう。実は筆者もApple Pay登録時に他社と異なるフローを体験し、「これ大丈夫なのかな」とほんの少し思っていたところです。
もちろん不正利用を検知して保険でカバーできるのが、クレジットカードの利点です。それでもやはり、このような不正利用の被害に遭わないのが一番です。この事例では恐らく、クレジットカード事業者から利用者のID/パスワードが漏れている可能性があるため、弱いパスワードを使わないなどの認証情報の保護を意識することが重要です。また、多くの方は一度も利用したことがなく、今後も利用しないであろう「リンクをタップして電話をかける」機能は使わないことをお勧めします。
筆者は実は、当初この注意喚起メールを完全に見逃し、ごみ箱に直行させるところでした。なかなか注意喚起は電子メールでは伝わらない時代になってしまったことも問題を難しくしています。そのためできれば皆さんも「フィッシング詐欺に引っ掛かりそうになった話」などを、身近な同僚、家族と共有してみてください。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。