ホワイトハッカーの知識情報処理推進機構,大脅威情報セキュリティ
独立行政法人 情報処理推進機構(IPA)から
「10大脅威情報セキュリティ 2022」が発表されました。
「個人向け」と「組織向け」があるのですが、今回は「個人向け」を私なりにわかりやすく説明いたします。
一般的には、情報セキュリティの脅威はなかなか実感しにくいと思います。
しかし年々脅威は大きくなり私たちの生活を脅かすようになってきました。
ちょっとの知識だけでも自分を守ることができます。
ぜひ頭のすみっこにでも入れておいてくださいね。
結構ボリュームの多い記事になってしまいましたが
結論を言うと
1.不要なメールは開かない。
2.不要なアプリはインストールしない。
3.不審なボタンはクリックしない。
です。肝に銘じてくださいね。
情報セキュリティとはなんだろう
偉そうに「2022年「個人」の大脅威情報セキュリティ トップ10」とタイトルにしましたが
「情報セキュリティ」ってわかりますか?
多くの人は「なんだろう?」となるでしょう。
察しの良い方は「情報を守ることかな?」と考えておられると思います。
「まあまあ正解」です。
情報セキュリティのお勉強をされている方は参考書の一番最初に出てきますね。
でも一般的には・・・なんのこっちゃです。
そこで、銀行を例に説明したいと思います。
私たちがお金を預けるのに一番信用できるは
お父さん、お母さん・・・いやいや銀行ですね。
お金を預けるには一番信用できるのが銀行です。
銀行は最高のセキュリティでお金が守られているからです。
※以下、青文字太字が情報セキュリティになります。
情報セキュリティを銀行で例えると
銀行は超最高のセキュリティで守られています。
貴方は「ホワイトハッカー銀行」に口座作りに行きます。
キャッシュカードは当然必要ですよね。
【口座開設】
- ホワイトハッカー銀行の窓口に「本人確認書類(マイナンバーカード、免許書など)と「印鑑」を持って口座を開設し、通帳を作ってもらいます。
- 次にキャッシュカードの作成を依頼して「パスワード」を登録します。
- 数日後、簡易書留郵便で銀行から「キャッシュカード」が送られてきます。即日発行の銀行もあります。
【キャッシュカードの利用方法】
- 貴方が貴方のキャッシュカードで、貴方の決めた「パスワード」をつかってお金をおろします。
- あり得ないですが、貴方のキャッシュカードにパスワードをつけて他人に渡すことは基本的にはありませんね。
※貴方の口座の預金を他人が引き出すことはできないようになっています。また、キャッシュカードとパスワードが無いとお金がおろせないようになっています。
(これを情報セキュリティの「機密性」と言います。)
【キャッシュカードでお金をおろす】
- キャッシュカードがあれば、「ホワイトハッカー銀行」のATM(現金自動預け払い機)に行きお金をおろすことでできます。
- 銀行の営業時間内であれば、預金があればいつでもお金をおろすことができます。また「ホワイトハッカー銀行」と提携している銀行やコンビニでも利用ができます。
※ホワイトハッカー銀行と提携している銀行以外ではお金をおろすことができません。
(これを情報セキュリティの「可用性」と言います。)
【残高照会】
- お金を預けて通帳を見れば預金は預けた金額がプラスされ、お金を引き出せば金額がマイナスされています。当然のことですが、正確に通帳に金額が記載されています。
※通帳の残高が勝手に増えたり、減ったりはしません。
(これを情報セキュリティの「完全性」と言います。)
最高のセキュリティで守られている銀行の銀行業務が脅かされると「大脅威」となるのですね。
たとえば
- 勝手に口座から現金が引き落とされる。
- 口座の金額が改ざんされる。
- ATM(現金自動預け払い機)がすべて故障してお金がおろせない。
などです。
思い当たることはありませんか・・・
- みずほ銀行のシステム障害でATM使用不可
- インターネットバンキング等の不正送金/不正引出し
ありますよね。(^^;;
あと、映画『相棒シリーズ X DAY』でもサイバー犯罪として「情報セキュリティの大脅威」を表現していましたね。
絶対に無いと言えません。
と言うか、ニュースになっていないだけかもしれません。
2022年 個人向け大脅威情報セキュリティ トップ10
順位 |
脅威 |
1 |
フィッシングによる個人情報等の詐取 |
2 |
ネット上の誹謗/中傷/デマ |
3 |
メールや SMS 等を使った脅迫/詐欺の手口による金銭要求 |
4 |
クレジットカード情報の不正利用 |
5 |
スマホ決済の不正利用 |
6 |
偽警告によるインターネット詐欺 |
7 |
不正アプリによるスマートフォン利用者への被害 |
8 |
インターネット上のサービスからの個人情報の窃取 |
9 |
インターネットバンキングの不正利用 |
10 |
インターネット上のサービスへの不正ログイン |
それでは、2022年 個人向け大脅威情報セキュリティを一つずつ見ていきましょう。
フィッシングによる個人情報等の詐取
フィッシング詐欺とは
サイバー犯罪者(釣り人)が貴方が好きそうな美味しい餌をつけて貴方の個人情報を「釣る(入手する)」手口の事を言います。
簡単に言うと貴方にメールを送り、メールの内容で巧妙に貴方をダマして、貴方が気が付かないうちに貴方の個人情報(名前、住所、保険証番号、運転免許証番号、銀行情報、クレジット番号など)を盗むことです。
なぜ詐欺に遭うのか
有名な企業の名前を騙ってメールを送り付けてきます。
たとえば、メールのタイトルや本文に
・セゾンカード
・三井住友銀行SMBCダイレクト
・SMBCカード
・ヨドバシドットコム
・日本郵政
・Amazon
などの企業名が入っていると「あっ、私の関係するメールだ!!」と思われる方がいらっしゃるのです。
フィッシングによる攻撃手口と攻撃結果の行動
私に来たメールをもとに説明いたします。
1.サイバー犯罪者は不正に取得したメールアドレスを元に不特定多数にメールを送ります。
今回は「不正に取得したメールアドレス」に貴方のメールアドレスがありました。
2.貴方に有名な企業を騙ったメールが届く
メールタイトル
【三井住友会社】本人確認などを措置取らせていただく必要がございます。
メール本文
3.このメールの「https://direct.smbc.co.jp.pjbfjs.com」をクリックすると
偽物とは思えないホームページが表示されます。
※このアドレス「https://direct.smbc.co.jp.pjbfjs.com」は正式な三井住友銀行のアドレスではありません。(貴方をダマそうとしているのが見え見えです。)
4.偽物とは思えないホームページなので騙されて、認証情報(「店番号・口座番号」「契約者番号」「パスワード」)を入力してログイン。次に個人情報を入力する画面が表示されるので入力してしまうのです。
5.この時点で、個人情報が盗まれています。(「店番号・口座番号」「契約者番号」「パスワード」「氏名」「住所」「誕生日」など)
6.サイバー犯罪者はこの盗んだ認証情報を利用して貴方の預金を盗んだり、個人情報を違法取引のウェブサイトで販売するのです。
フィッシングの被害に遭わないために
・基本的に知り合いの方のメール以外は「怪しいメール」だと思ってください。
・怪しいメールについて本文中のアドレスはクリックしないでください。
(サイバー犯罪者は、あの手この手でクリックさせようとします。)
たとえばメールのタイトルで
・いますぐ連絡を!!
・ログインができなくなります
・お支払い方法に問題があります
・お客様情報の確認
・【最終警告】・・・緊急の連絡
・第三者による不正使用の可能性があることを検知したむねのお知らせ
・解約予告のお知らせ(ETC利用照会サービス)
・Amazon.co.jpの支払い方法の問題 クレジットカード情報を更新します
・アカウントの一部の機能が制限されています
など脅迫まがいの文章でかつ、操作を急がせる文章には特に気を付けましょう
メールのアドレスをクリックせずに、yahooやgoogleなどで正規のホームページを見つけて、メールなり電話なりで確認しましょう。
ネット上の誹謗/中傷/デマ
SNSの問題点
SNS(ソーシャル・ネットワーキング・サービス)の利用で問題になるのが、自分の発言が自分に不利益を被らない「匿名性」です。
一部の者がSNSの「匿名性」であることをいいことに、特定の個人をターゲットに誹謗/中傷/デマを行うのです。
また、他人になりすまして特定の個人に誹謗/中傷/デマを行うこともあります。
これらの行為により被害を受けた人は精神的な苦しみを受けたり、信頼や信用を損ない金銭的な損失を被ることがあります。
誹謗/中傷/デマの刑罰
明確には誹謗/中傷/デマを取り締まる刑法はないそうです。
しかし人の嫌がらせをしているわけですから誹謗/中傷/デマをネットに上げた時点で犯罪は発生します。
また、誹謗/中傷/デマを拡散した者も拡散した時点で犯罪は発生します。
(※誹謗/中傷/デマの情報を削除しても犯罪は発生しています。)
先ほど、「誹謗/中傷/デマを取り締まる刑法」は無いと書きましたが、誹謗/中傷/デマがもとで以下の刑法にあたる場合があるそうです。
- 刑法第233条:信用毀損罪、偽計業務妨害罪
虚偽の風説を流布し、又は偽計を用いて、人の信用を毀損し、又はその業務を妨害した者は、3年以下の懲役又は50万円以下の罰金に処する。
- 刑法第230条:名誉毀損罪
公然と事実を摘示し、人の名誉を毀損した者は、その事実の有無にかかわらず、3年以下の懲役若しくは禁錮又は50万円以下の罰金に処する。
SNSのサービスは匿名では無い!!
SNSは匿名と書きましたが、実は匿名ではありません。
では、誰が書いたかを知るためには「裁判所」にお願いする方法があります。
Twitterの例で簡単に説明しますと・・・
- Twitterに誹謗/中傷/デマのツィートがありました。
(Twitterアカウントや記事の発生日時、ツィートの内容を証拠にします。)
- 裁判所にお願いしてTwitter社に「どのプロバイダーからのアクセスか」の情報を開示してもらいます。
- プロバイダーに誰がアクセスしていたか、氏名、住所を確認します。
- 家に乗り込みます。
※簡単に書きましたが、犯罪なので実際には警察などが関与すると思います。
「誹謗/中傷/デマ」は犯罪になります。
SNSは気軽に楽しくできるコミュニケーションツールにしたいですね。
メールやSMS等を使った脅迫/詐欺の手口による金銭要求
メールやSMS等を使った脅迫/詐欺の手口とは
先ほどのフィッシングの手口は、貴方の個人情報を盗むために偽りサイトに誘導していましたが、メールやSMS等を使った脅迫/詐欺の手口は「偽りの証拠」などを貴方に突き付けて「家族に公表されたくなければ」などと脅迫してビットコインなど金品を要求します。
メールやSMS等を使った脅迫/詐欺の内容
貴方がアダルトサイトを見たと言う脅迫
実際に私に送られたメールです。
決して私は「アダルト動画」を見ていません。(^^;;
脅迫内容としては
「貴方がご自分を楽しませている様子、そして右側ではその時に視聴されていたポルノ動画を表示するようなビデオクリップを作成いたしました。」
最近のパソコンはビデオ会議が行えるように内側にカメラが付いています。
要は、貴方が「アダルト動画を楽しんでいる姿をビデオに撮った」と言うことなのです。
そして、貴方のパソコンに登録されているメールアドレス全員に動画を送るという脅迫です。
パソコンで夜な夜な「アダルト動画」を見ているおじさまにとっては大事件ですね。
そして「19万円 相当のビットコインを私のBTCウォレットに送金」と言う要求です。
ビットコインは「匿名性」があり、足のつきにくいお金なのです。
サイバー犯罪者はこのメールを大量に送っているのです。性別、年齢関係なく送るのです。
有料動画サイトの未納料金があります。と言う詐欺
こちらはSNSで見かける架空請求の詐欺メールです。
メールの内容は
「有料動画サイトの未納料金があります。
本日連絡がない場合、法的措置に移ります。
03-0000-0000」
実際に電話をした動画がありました。
当たり前ですが、絶対に電話をしてはいけません。
こちらもサイバー犯罪者がSNSでメールを大量に送っているのです。
メールやSMS等を使った脅迫/詐欺の被害に遭わないために
勝手に無差別にメールを送って来るのでこちらからは対応はできません。
最初にこのメールが来たら「ドキッ」としますが「無視」することです。
クレジットカード情報の不正利用
昨今、当たり前のようにインターネットショッピングではクレジットカードが利用されています。
クレジットカードの情報さえあれば、いつでも、どこでも、誰でも簡単に購入できるのです。
と言うことは、サイバー犯罪者がクレジットカードを不正に取得できると、いつでも、どこでも、サイバー犯罪者に購入されてしまいます。
不正にクレジットカードを入手する方法とは
クレジットカードは財布の中にあるから大丈夫と思っていませんか。
サイバー犯罪者はあの手この手でクレジットカード情報を不正に取得するのです。
フィッシング詐欺
前にもお話しましたとおり
フィッシング詐欺とは、金融機関やカード会社などを装ったメールを送信し、偽サイトに誘導してクレジット情報を盗む手口です。
【金融機関のフィッシング詐欺メールの例】
・三井住友カードをご利用のお客さま
利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下ヘアクセスの上、カードのご利用確認にご協力をお願い致します。
・平素は「モバイルsuica」をご利用頂きありがとうございます
会員番号 :xxxxxxxxxx
現在弊社では、お客さまが弊社にご登録いただいた各種情報につきまして、最新の情報であるかどうかご確認をさせていただいております。
下記のURLへアクセスし、必要な情報を入力のうえ。 https://www.xxxx.com/index.aspx
※このURLの有効期間は手続き受付時より24時間です。
(有効期限 2022/03/24 17:47) ——————–お問い合わせ先 モバイルsuicaサポートセンター TEL 050-xxxx-xxxx 受付時間 8時00分~22時00分
だまされやすい内容になってますね。
偽サイトに誘導されてクレジットカード情報を入力すると、不正にアクセスされ悪用されてしまいます。
絶対に怪しいホームページアドレスをクリックしないように。
違法取引のウェブサイト
盗まれたクレジットカード情報がダークウェブサイトで販売されています。
【ダークサイト】
わざわざクレジットカード情報を購入して不正アクセスをする輩がいるのですね。
情報の取り扱い不備(情報漏洩)
こんなニュースを見たことがあると思います。
「兵庫県尼崎市は23日、全市民約46万人分の個人情報が入ったUSBメモリーを委託業者が紛失したと発表した。名前や住所、生年月日、住民税額や、児童手当と生活保護の受給世帯の口座情報などが含まれるという。」
「ごめんなさい」ですまない事件です。
個人情報の取扱いの不備ですが、あり得ないことです。
この場合はクレジットカード情報は無かった様子ですが、情報セキュリティの強化をしっかりしていただきたいものです。
また、セキュリティの甘いネットショップから情報漏洩している話もよく聞きます。
ネットショップで購入する場合は、購入するネットショップの信用もチェックする必要がありますね。
架空のネットショッピングサイト詐欺
こちらもフィッシング詐欺と同様なのですが、メールで例えば「激安 ブランド品が定価より最大99%OFF!今大人気のサイト」などの宣伝文句で架空ショップに誘導して偽商品をクレジットカードで購入させてクレジットカード情報を盗むのです。商品は送られてきません。
「うまい話には裏がある」ので気を付けてください。
スマホ決済の不正利用
貴方のスマホは電話やインターネットをするだけですか?
それだけではありませんね。
スマホで手軽に購入していませんか?
そうです、スマホはおさいふ化、クレジットカード化しているのです。
スマホ決済とひと言でいっても、その種類はさまざまで、メルペイ、楽天ペイ、楽天Edy、d払い、モバイルWAON、PayPay、FamiPay、LINE Pay、nanacoモバイル、モバイルSuica、au PAYなど次々と出てきています。
そんな中、スマホ決済の不正利用のケースが増えてきているのです。
スマホ決済の不正利用の手口とは
スマホの紛失による不正利用
スマホの紛失数は1年間で約10万台以上といわれています。
スマホにはセキュリティの機能もついているので中身を見られることはないと思われているかもしれませんが、悪意のある他人の手に渡るとスマホを解析されて、決済アプリを使って商品を購入される可能性があります。
フィッシングによるスマホ決済情報の漏洩
お馴染みの「フィッシング詐欺」ですね。アプリに登録された認証情報(IDとパスワード)を盗みます。
フィッシングメールの内容例
※絶対にホームページのアドレスをクリックしてはいけません。
偽造QRコードの読み取りによる不正利用
私はPAYPAYを利用しています。
書店で買い物するときにQRコードを読み込ませて決済しています。
携帯からカメラアプリを使ってQRコードを「パシャ」っと
ところがそのQRコードが「偽造QRコード」だったら・・・
偽りのWebサイトへ誘導されたり、怪しいアプリのダウンロードを促すメッセージが表示されたりします。
これらの操作を進めると貴方の情報が外部に漏洩する危険があります。
偽警告によるインターネット詐欺
パソコンやスマホを閲覧中に、いきなり「お使いのコンピューターはウイルスに感染しています」等の警告画面を表示し、使用者を不安にさせて解決するためにお金を要求する詐欺です。
こんな画面が出たら慌てますよね。
偽物の警告画面を画面に表示して利用者の不安につけこむ詐欺です。
わかりやすい「サポートを装った詐欺にご注意ください」動画
わかりやすい動画がありましたので、ご覧ください。
偽りの広告は無視しましょう。
私も経験がありますが、「ドキッ」と不安になりますが、絶対に以下の行為は避けてください。
・偽物の警告画面のボタンをクリックしてはいけません。
・不明なプログラム(サポートプログラム)をインストールしたり、画面に記載されている電話番号には電話してはいけません。
・最終的には金銭を要求されます。
上記動画に書かれている対応をお願いします。
不正アプリによるスマートフォン利用者への被害
サイバー犯罪者は貴方のスマホに「不正アプリ」をインストールしたくてしょうがないのです。
もし不正アプリをインストールをしてしまうと
- スマホに登録されている個人情報が盗まれます。
- スマホを乗っ取り、使えるためにはと金銭を請求されます。(ランサムウェア)
- スマホに迷惑広告が表示され偽りサイトに誘導されます。
- 他のパソコンやスマホを攻撃する踏み台にされてしまいます。
(貴方がサイバー犯罪者として捕まる可能性があります。)
ランサムウェア解説動画(警視庁公式チャンネル)
こちらはランサムウェアという攻撃のパソコン版の説明動画ですが、スマホでも同様のことが起きています。
不正なアプリをインストールしないためには
まず「不正なアプリはインストールしない」を徹底してください。
アプリは必ずGoogleやAppleの公式のアプリストアからダウンロードします。
これしかありません。
「アプリのレビューなども参考になる」と言う話もありますが、サイバー犯罪者がレビューを書いている可能性もあります。
まずはアプリをインストールする前に「ひと呼吸」して詳しいものに聞くか、パソコンで調べてみましょう。
インターネット上のサービスからの個人情報の窃取
自分が利用しているショッピングサイトから「個人情報が流出した」となるとパニックになりませんか?
ショッピングサイトだけでなく、いろいろな所で「個人情報が流出した」というニュースを見る機会が多くなりました。
私たちはどうしたら良いのでしょうか。
インターネット上のサービスとは
ネット上で私たちが主に個人情報(氏名、性別、生年月日、メールアドレス、クレジットカード情報等)を登録しているサービスは
- ショッピングサイト(amazon、yahooショッピング、楽天市場など)
- SNS(Facebook、Twitter、LINE、Instagram、YouTubeなど)
- ネットオークション(ヤフオク、楽天オークション、モバオクなど)
- ポータルサイト(Google、Yahoo、MSNなど)
などが挙げられます。
貴方も登録しているサービスがあると思います。
インターネット上のサービスのセキュリティの信頼性
インターネット上のサービスのセキュリティがどれだけ高いのか、信頼できるのか、万が一の保証はあるのかを十分に理解して個人情報を登録しなければなりません。
100%とは言いいませんが、上記に挙げたサービスはセキュリティは高いと考えます。
ただし、それ以外のサイトについては十分気を付ける必要がありますね。
個人情報の窃取から守るためには
基本的には私たちにはどうすることもできません。
サイバー犯罪者はセキュリティの弱いサイトを狙い、個人情報の窃取します。
セキュリティが高いサービスを利用するしかありません。
選択するとは自分ですから、周りに惑わされることなく信頼できるサービスを選びましょう。
胡散臭いサイトには個人情報を登録しないように。
インターネットバンキングの不正利用
インターネットバンキングのパスワードなどをフィッシング詐欺やウイルス感染により盗み取り、預金を不正におろしたり、第三者の口座に不正に送金するなどの犯罪が多発しているそうです。
インターネットバンキングの不正の手口
「
フィッシングによる個人情報等の詐取」でもお話しました通り、銀行を装ったニセのメールを送るなどして、銀行のログイン画面を模倣したニセのホームページに誘導し、インターネットバンキングに使うIDやパスワードなどの情報を入力させて盗みます。
その後、盗んだ情報でインターネットバンキングにログインして第三者に送金するのです。
その他にも、スマホにメッセージを届けるSMS(ショートメッセージサービス)を使いマルウェアを仕込んだアプリをインストールさせてインターネットバンキングの情報を盗みだします。
インターネットバンキングの不正利用の被害に遭わないために
敵は私たちより頭が良いです。
金融関係のメールやSMSのメールが来た時には、まずは疑ってかかるしかありません。
インターネット上のサービスへの不正ログイン
「
フィッシングによる個人情報等の詐取」でもお話しました通り、インターネット上のサービスを装ったニセのメールを送るなどして、インターネット上のサービスに使うIDやパスワードなどの情報を入力させて盗みます。
こちらも前記「インターネットバンキングの不正利用」と同じですね。
もしインターネットのトラブルでお悩みなら
「警察庁 インターネット安全・安心相談」をご利用ください。
https://www.npa.go.jp/cybersafety/
インターネット上のトラブルの解決を支援するサイトです。
また、具体的な被害に遭われた場合の相談は
「都道府県警察本部のサイバー犯罪相談窓口一覧」
https://www.npa.go.jp/cyber/soudan.html
にご相談ください。
2022年「個人」の大脅威情報セキュリティ トップ10のまとめと、私の対応策
トップ10を見てきたのですが、サイバー犯罪者行うリスクの少ない犯罪は「フィッシング」です。
一番気を付けていただきたいのは怪しいメールやSMS、メール、SNS内のURLリンクを不用意に開かないことです。
これだけでも十分の効果はあると思います。
実は私もインターネットのセキュリティを信用していません。(^^;;
100%大丈夫とは言えないからです。でもamazonとかyahooオークション、メルカリは使いたいですね。
そこで私のクレジットカードですが、
ネットで利用するクレジットカードを「デビットカード」にしています。
ちょっと邪魔くさいですが、預金は通常1万円ぐらいはいっていて、必要に応じて入金しています。
もし、私のデビットカードのIDやパスワードがサイバー犯罪者に盗まれても預金額以上引き落とされることはありませんので被害は少なくなります。(普通のクレジットカードであれば預金額に関係なく、限度額まで商品が購入できるので被害は大変なことになります。)
いかがでしたか。
サイバー犯罪者はあの手この手といろんな事を考えて罠を仕掛けてきます。
私たちより頭が良いのかもしれません。
サイバー犯罪者がしてほしい事は、メールのURLをクリックしてほしい。アプリをインストールしてほしいのです。
だから、私たちは
・怪しいメールは開かない。
・怪しいメールを開いても文中のURLをクリックをクリックしない。
・怪しいアプリをインストールしない。
・とりあえず上記行動には移さず、詳しい方に相談したり、メールのタイトルなどを検索エンジンで調べてみましょう。もし検索で引っかかったら怪しいから否かを確認しましょう。
最後にもう一度言います。
1.不要なメールは開かない。
2.不要なアプリはインストールしない。
3.不審なボタンはクリックしない。
です。