「自分は大丈夫、は大丈夫じゃない」専門家が指摘するサイバー攻撃の実態と対策

TBS NEWS DIG

サイバー攻撃はますます巧妙化し、私たちの生活を脅かしています。

去年、個人情報の漏えいは4000万人分超え、不正送金の被害額は87億円余りと、いずれも過去最悪となりました。

私たちがすぐにできる対策はまず「手口を知ること」。
情報セキュリティの専門家が解説します。

コロナ禍でデジタル化進んだ一方で脅威も増加

「あらゆる機器や情報、データがつながり、業務の効率化や高度化が進みました。一方で技術の進展には必ずセキュリティの問題が伴います」

こう指摘するのは情報処理推進機構の小山明美グループリーダーです。

去年新型コロナウイルスの感染症法上の位置づけが季節性インフルエンザなどと同じ「5類」に移行しました。

人々の活動が活発化したことや、コロナ禍で進んだテレワークの普及などデジタル化が進行しましたが、その結果サイバー攻撃の被害も拡大しているといいます。

「繋がった会社同士や業務の流れ、そのどこかがサイバー攻撃を受けてしまうと、システム全体が停止しサービスが利用できなくなってしまう。昨年度もそういった事案が何件か発生しました」

サイバー攻撃は、決して他人事ではなく、誰もがその標的となり得ます。そのため、具体的な手口を知ることで、自らの身を守ることが重要です。

小山さんは、昨年度に発生したサイバーセキュリティに関係する事件事故の発生状況や被害の実態、国内外の動向を網羅した「情報セキュリティ白書2024」を編纂し、先月発刊しました。

ここからは、白書を基に身近なサイバー攻撃の手口を詳しく解説していきます。

過去最多！４０９０万人分の個人情報が漏えい

東京商工リサーチの調査結果によると、去年流出した個人情報は4090万人分で、調査を始めてから過去最多となりました。

情報漏えいや紛失事故の件数の原因別でみますと、ウイルス感染・不正アクセスが53.1%と大半を占め、次いで誤表示・誤送信、そして不正持ち出し・盗難が続きました。

漏えいした情報は名前やメールアドレスのほか、クレジットカード情報やネットショッピングの購入履歴です。

盗まれた情報は闇サイトで売買されるほか、メールアドレスなどの情報をつかってサービスへの不正アクセスに利用されたり、クレジットカードが不正に利用されたりする被害につながります。

外部からの攻撃は、システムやサービスの弱い部分、脆弱性が狙われると小山さんは指摘します。

「例えばOSやソフ​トウェアが最新の状態になっていないとか、ウイルス対策のソフトが入っていないとか、パスワードが簡単なものだったり使い回されていたりとか、データへのアクセス権が適切に設定されていないと、簡単に不正アクセスされてしまう恐れがあります」

小山さんは、普段から気を付けているという人でも、生活のタイミングで誰でも油断して、被害を受けてしまう可能性があるといいます。

自分は大丈夫、は大丈夫じゃない

個人情報が盗まれてしまう手口のひとつに「フィッシング詐欺」があります。
銀行やクレジットカード会社、ショッピングサイトなど、私たちにとって身近な企業や組織のWEBサイトを装った偽サイトに誘導し、IDやパスワード、クレジットカード情報などの重要な個人情報を盗み取る手口です。

昨年度にフィッシング対策協議会に寄せられたフィッシングの報告件数は、100万件を超えました。

去年、マイナンバーカードを作るとポイントがもらえるキャンペーンがあり、締め切りは9月末でしたが、そのタイミングに合わせて不審なメールが出回りました。
ポイントの申込期限が延長されたと偽った内容で、メールに記載されているURLをクリックするとフィッシングサイトに誘導されます。

一見すると普通の正しいサイトのように見えますが、クレジットカード番号が必要だと騙して情報を盗もうとしています。

最近では、偽サイトを本物と見分けることが非常に困難になってきています。

KADOKAWAではことし6月にサイバー攻撃を受け、グループが持つ25万人分の個人情報が流出したほか「ニコニコ動画」などのサービスや出版事業のシステムが停止しました。

8月に公表した調査結果の中で「現時点ではその経路および方法は不明であるものの、フィッシングなどの攻撃により従業員のアカウント情報が窃取されてしまったことが本件の根本原因であると推測されております」と指摘しています。

その上で「窃取されたアカウント情報によって、社内ネットワークに侵入されランサムウェアの実行および個人情報の漏えいにつながることとなりました」としています。

小山さんは、普段から気を付けていても、生活のタイミングで誰でも油断して被害を受けてしまう可能性があるといいます。

「社会人だから、気を付けているから大丈夫っていうことはないです。攻撃者は人間の心理を狙ってきます。例えば料金が未納とかアカウントが失効する、といったような何か行動を起こさないといけないんじゃないかと焦らせます」

盗まれ流出した情報が使われるインターネットの不正送金の被害額は、去年、過去最悪になりました。

警察庁の発表によりますと、去年、インターネットバンキングで不正送金された被害額は87億円を超え、件数も5578件にのぼりました。

こうした背景には、AI技術の進化の影響も懸念されるといいます。

「生成AIが登場して、日本語も非常に流暢な翻訳がされるようになってきました。こうした技術が詐欺のメールで使われることが懸念され、一見すると怪しいって気が付きにくくなっている恐れがあります」

「日本語として違和感がなくても突然来たメールは、記載のURLはクリックしない、登録しているブックマークなどから正しいURLでそのWEBサイトに入ってアクセスするというようにして、メールに記載のものをそのまま鵜呑みにしないということが大事です」

「情報セキュリティ白書2024」は、情報処理推進機構（IPA）のWEBサイトから無料でダウンロードすることができます。

「知るテック」、次回は相談件数が増加している「サポート詐欺」、それに被害が相次ぐ「ランサムウェア」について深掘りします。