地域活動AtoZ
2023年3月掲載
インターネットを安全に利用するには
インターネットを介した攻撃の手口は進化し、その被害も深刻化しています。自治体の公式ウェブサイトがサイバー攻撃を受け、サイトが一時つながらなくなることなども、珍しいことではありません。今回は、そうした昨今の状況を踏まえ、インターネットを安全に使うための方法や心構えなどについて、事例を交えてたっぷりご紹介します。(本記事は2023年3月2日に開催したオンライン講習会《インターネットを安全に利用するには〜2023年バージョン》で使用した資料に基づいています)
サイバーセキュリティの基本
情報を搾取するサイバー攻撃では、映画やドラマに出てくるような、ハッカーがプログラムを使って直接パソコンなどに不正アクセスするようなケースは多くありません。オレオレ詐欺などと同様、不安や恐怖を煽ったり、有名企業を詐称し安心させたり、人間心理を悪用した詐欺的手法で迫ってくることがほとんどです。インターネット利用方法の多様化に伴い、攻撃手法も多様化・巧妙化してきています。最近は、以下のようなパターンがトレンドとして報告されています。
- フィッシングによる個人情報の搾取
- ネット上の誹謗/中傷/デマ
- メールやSMSなどを使った脅迫/詐欺による金銭要求
- クレジットカード情報の不正利用
- スマホ決済の不正利用
- 偽警告によるインターネット詐欺
(IPA(情報処理推進機構)「情報セキュリティ10大脅威 2022」より)
ではこれより、実際に起こってしまったサイバー攻撃や詐欺などの例とその対策について、基本的なところをご紹介していきます。
事例と対策:パソコン編
ケース1
- 不審なメールをうっかり開いてしまい、パソコンがウィルス感染し、メールアドレス帳で管理されているメールアドレスが抜き取られてしまった。
- 不審なサイトを開いてしまい、サイトに埋め込まれたプログラムが実行され、ブラウザが予期せず終了するクラッシュという現象が起きてしまった。
対策
まず、セキュリティ対策ソフトをパソコンにインストールしておくことが重要です。ウィルス対策以外でも不審サイトの検知やディレクトの保護など、セキュリティ対策全般に対応したソフト(例:ウィルスバスター、ESET、ノートン360など)がありますので、そうしたものが望ましいです。
ブラウザクラッシュの例
このようなアラートが画面いっぱいに表示されることがあります。これは「アラートオープン型」の「ブラウザクラッシュ」と呼ばれています。
ケース2
マイクロソフト・オフィスを最新状態にしていなかったため、不審なメールに添付されていた、脆弱性を利用したプログラムを実行してしまい、パソコンが乗っ取られてしまった。
対策
OS(オペレーティングシステム)やアプリのアップデートを定期的に実行し、常に最新の状態にしておきましょう。緊急性の高いアップデートほど、なるべく早く更新を実施することが重要です。
ケース3
パソコンを電車に忘れてしまい、パソコンの中のデータを抜き取られ、インターネットにアップロードされてしまった。
対策
他人がパソコンを操作できない状態にしておくことが重要です。そのためには、最低限以下のような準備をしておくことをおすすめします。
- 自動ログインを無効にし、ログイン画面でのログインを有効にする。
- 推測しやすいパスワードを設定しないでおく。
- ユーザー名やパスワードを記入した付箋などをパソコンに貼らないでおく。
- ディスクを暗号化しておく。
- BIOSパスワードを設定しておく。
※BIOSパスワードとは、パソコンのOSが起動する前に設定したパスワードが要求されるようになる機能です。これにより持ち主以外のパソコン起動を防ぐことができますが、OS起動前にロックされているので、パスワードを忘れるとそもそもパソコン起動ができなくなるので注意が必要です。
事例と対策:メール編
ケース1
- 取引銀行を詐称したメールが届き、メール本文にあった本人確認のページリンクをクリックし、個人情報を入力してしまった。
- 通販会社から注文確認のメールが届き、注文確認のリンクを開き、個人情報を入力してしまった。
対策
見慣れないメールをチェックする場合は、差出人の名前ではなくメールアドレスを必ず確認し、メールアドレスのドメインが正しいものかどうか調べてみましょう。不審なメールのリンクや添付ファイルを不用意に開かないようにし、また利用しているメールソフトの迷惑メール機能を有効にしてこまめに迷惑メールの判定を行うようにしましょう。
※三井住友銀行を詐称したメール例
内容はいかにも三井住友銀行からのメールに見えますが、差出人のメールアドレスはその都度変わり、「lynmmtssp@direct.smtb.jp」と明らかに偽装とわかるものや、「flbsjki@yahoo.co.jp」といったフリーメールを使ったものなどが見受けられます。
ケース2
- メールを開いたら、Webページのような画面が表示されプログラムが自動で実行された。
- メールに添付されているZIPファイルを保存したら、添付ファイルが勝手に実行されてしまった。
対策
まずは利用しているメールソフトでHTMLメール(テキストのみでなく、Webページの記述に用いるHTMLによって本文が作成された電子メール)の表示を無効にしておくのが良いでしょう。初期設定では有効になっているケースもあります。また、添付ファイルの自動解凍も無効にしておいてください。ZIPなど圧縮ファイルをセキュリティソフトがスキャンできず、ウイルスが入り込む可能性があります。
ケース3
・「あなたのデバイスの中身を見れている」「アダルトサイトを閲覧しているあなたの姿の映像をばらまく」など、不安を煽るようなメールが届き、メールの文面に記載された方法でお金を送金してしまった。
対策
まずは利用しているメールソフトでHTMLメール(テキストのみでなく、Webページの記述に用いるHTMLによって本文が作成された電子メール)の表示を無効にしておくのが良いでしょう。初期設定では有効になっているケースもあります。また、添付ファイルの自動解凍も無効にしておいてください。ZIPなど圧縮ファイルをセキュリティソフトがスキャンできず、ウイルスが入り込む可能性があります。
※執筆者に届いた脅迫メール
いかにもパソコンにアクセスしているような書き方ですが、パソコン、タブレット、スマートフォンなど複数デバイスを所有するITエンジニアの立場から見れば、本メールには実際にどのデバイスが乗っ取られているかの情報がなく、すぐに嘘だと分かります。またセキュリティソフトも反応していませんし、当然アダルトサイトの閲覧もしていません。
事例と対策:Webサイト編
ケース1
銀行を詐称した偽メールのURLに誘導され、本物そっくりのサイトで、クレジットカードのカード番号とパスワードを入力し、銀行口座から不正にお金を出金された。
対策
まず、身に覚えのないメールは開かないでください。上述のとおり、メールアドレスのドメインが正しいものかどうか確認してください。リンク先のドメインやURLが本当にその銀行のものなのかも、ブラウザで確認してみてください。
パスワード管理について
通販サイトや会員サイトでは、簡単なパスワードを設定せず、複雑なものにしてください。ログインアカウントがメールアドレス+推測しやすいパスワードなどだと、簡単にログインされてしまいます。生年月日、数字の連番(123456、1111、123123…)、簡単な単語(passwd、member…)なども避けてください。
パスワードの総当たり攻撃を行う不正アクセス者も存在します。パスワードは、英数字と記号を組み合わせて12桁以上のものとするのが理想です(参考:パスワード生成サイト https://www.luft.co.jp/cgi/randam.php )。
また、ブラウザ及びOSのパスワード管理機能や、パスワード管理アプリを使うのも有効です。ただし、ログイン画面で自動ログインしてしまう機能を持つものもあるので、これを有効にしていると、偽サイトで自動ログインしてしまう可能性もあるので注意が必要です。
ケース2
何気なく開いたサイトで突然「ウィルスに感染した」というポップアップ(操作画面で、最前面に飛び出すように現れるウィンドウなどの表示要素)が表示され、そのポップアップに記載された偽のサポートセンターの電話番号に電話をかけてしまい、サポートのためと言われ、遠隔操作をするツールをインストールした。すると遠隔操作で口座から不正送金をされてしまった。
対策
ウィルスに感染したと焦らずに、まずはその電話番号が本当にその企業のものなのか、海外の電話番号ではないのかなどを確認してください。仮に電話をかけてしまい、相手が「大手企業」「セキュリティ担当」「カスタマーサポート」等を名乗ったとしても、重要な情報は教えないように気をつけてください。もちろん、その前段として、遠隔操作するツールなどの素性のわからないツールはインストールしないようにすることが重要です。
ケース3
水道が詰まってしまい、検索エンジンで1位で表示された業者に電話をかけて工事してもらったが、高額な工事費用を請求する悪徳業者だった。
対策
検索エンジンで1位になったサイトが、必ずしも安全なサイトではありません。検索エンジンで上位にくるよう操作している専門業者もおり、その業者に悪徳業者が依頼しているケースもあります。検索エンジンで上位にくるサイトを高額で販売する業者などもいます。
この事例の場合は、最近頻発している悪徳工事業者のケースで多くみられるものです。(下)水道のことなどは、住んでいる地域の指定業者に依頼するようにしましょう。
事例と対策:SNS編
ケース1
SNSで友達申請をしてきた海外からの女性がおり、共通の友達もいることから承認した。その後、メッセージで連絡があり、LINEに誘導され、投資話をもちかけられた。よく見ると、友達申請してきた名前とメッセージの名前が違っていることに気づいた。
対策
共通の友達がいるため安心したとしても、その友達もただ承認しただけで、必ずしも安心できる人物とは限りません。最近は、海外の人物のふりをした詐欺グループからの勧誘が増えています。見知らぬ人物からの友達申請には注意が必要です。
友達申請を承認する前に、可能であれば、その人物の過去の投稿を確認してみてください。このような詐欺用アカウントでは、投稿が少ない、投稿されている写真や内容に一貫性がないなど、不自然なものが多いのです。承認後も怪しいと思った場合は、その後の相手からのメッセージは無視し、友達を却下するようにしましょう。
ケース2
SNSで一般公開してしまった写真から、住所や勤務先などの個人情報が知られてしまい、悪意のある投稿などで悩まされることになった。
対策
Googleに画像検索という機能があり、ここで特定の写真を検索すると、Googleが似たような人物や風景の写真を検索結果に表示します。GoogleはSNS情報も検索対象としているので、SNSのプロフィール写真や過去の投稿とマッチしてしまうと、すぐにそのSNSから個人を特定できてしまいます(某寿司屋で醤油を舐めた男性が、短時間で氏名や学校などの情報をインターネットで公開されてしまった、ということもありました)。
写真には色々な情報が写り込んでいます。電柱に貼られた住所、特徴的な建物、写真のメタ情報(そのデータを表す属性や関連する情報を記述したデータ)に記録された位置情報など。こうした情報を念入りに見つけ、Google画像検索などの手法で裏付けをとる人物が、インターネット上、特にSNSや掲示板などに多いので、写真の公開には十分に注意が必要です。
SNSではプライベート、友達だけに公開、一般に公開など、いくつかの投稿レベルがあります。事故のほとんどは、この投稿レベルの間違いで一般公開してしまったケースです。SNSでプライベートな情報を投稿する場合は、そのレベルを意識してください。
ちなみに、Twitterはfacebookやinstagramなどに比べて、秘匿性が弱いSNSです。Twitterは一見プライベートな公開に思われても、インターネット検索で引っかかることがあるので、一般公開を気にする人は注意が必要です。
ケース3
- うっかりSNSで書き込んだ内容で炎上し不特定多数から攻撃された。
- SNSで見つけた情報が面白く拡散したが、誤った情報だった。
対策
SNSでは不特定多数のユーザーが見ているので、どのように受け取られるかわからなかったり、個人の偏見が入ったりしている投稿は、不適切な内容として炎上につながる可能性があります。中でも人種や性別、宗教などセンシティブな内容への発言は炎上しやすい傾向があります。
書き言葉は対面とは異なり、温度感や感情がつかみづらく、そっけない書き込みが「怒っている・馬鹿にしている」と思われ、読み手の怒りを買ってしまうことがあります。絵文字も、感情を表すものとして有効ですが、間違った絵文字だと炎上することがあるのです。
ここ数年で、「フェイクニュース」という言葉も注目されるようになりました。特定の人物に対する噂話などが引き金で拡散・炎上し、人を自殺に追いこんだ事例もあります。誤った情報を拡散することは、その情報に関わった人物や会社・機関などに多大な迷惑をかけることもあるため、情報の拡散には注意が必要です。
事例と対策:クラウド編
ケース1
クラウドストレージ(インターネットを介して利用するファイルの保管場所)にアップロードした大容量ファイルを共有し、仲間にダウンロードしてもらうようにしていたが、共有URLがインターネットで公開されてしまい、不特定多数にダウンロードされてしまった。
対策
クラウドストレージ上のファイルを共有する場合、多くはダウンロード用のURLが発行されます。このURL自体は推測しにくいものなので問題ありませんが、URL自体が人的ミスなどで流出する可能性はあります。共有する場合は、パスワードを設定し、ダウンロード期間を短くして、用が済んだ時点ですぐに削除するなどしてください。
ケース2
クラウドストレージで障害が発生し、保管していた写真が復元できなくなった。すべてクラウドストレージで写真管理していたので、大事な写真を失ってしまった。
対策
クラウドストレージは便利ですが、必ずしも障害に完璧ではありません。実際に、大きな障害によりお客さんから預かっているデータを消失させてしまった業者もいます。大切なファイルは、クラウドストレージに預けるだけではなく、外付けディスクなどにもバックアップするようにしましょう。
事例と対策:その他
ケース1
自宅にあるパソコンにインターネット経由でアクセスするため、ルータ(ネットワーク間の接続をおこなう機器)で外部からのアクセスを許可する設定をしていたが、自宅パソコンが外部から不正アクセスされてしまった。
対策
インターネット経由から自宅パソコンにアクセスするような設定ができるルータがありますが、あなたがアクセスできるということは、ルータのIPがわかれば誰でもアクセスできるというものです。このような設定をする場合は、これまでも述べてきたようなセキュリティ設定を行うべきです。
✓パソコンをログイン認証にする
✓パスワードは複雑なものにする
✓特定のIPアドレスからの通信のみにアクセス許可する
(セキュリティが確保できないルータの場合は、便利でもこのような設定は行わない方が良い)
スマートフォンを紛失してしまったら
最近のスマートフォンには、紛失に対応した機能が実装されています。例えばiPhoneの場合では、「探す」という機能を使えば紛失したスマートフォンが現在どのあたりにあるのか、地図で表示してくれます。
ただし、電源やGPSがオフになっていたり、電源オフから24時間以上経過していたりすると、位置情報が取得できなくなるケースもあります。そのため、位置情報は必ずしも正確でないこともあります。
この機能で便利な面は、リモートで初期化ができることです。紛失してすぐであれば初期化に成功する可能性は高いです。重要な情報がスマートフォンに保存されているのであれば、まずは初期化をし、手元に戻ってきた後でバックアップから復元するということが可能です。
技術の進化に伴う将来の危険
●IOTの進化
自宅の鍵でもスマートフォンや顔認証で解錠できるようなIOT(Internet of Thing モノのインターネット)が進んでいます。IT化されるほど、物理的な鍵よりも簡単に解錠される危険性が高まります。最近の車盗難では、専用の端末で簡単にエンジンを起動できるのです。これも、車がIT化してきたためです。
●AIの進化
AI(Artificial Intelligence:人工知能)でも簡単にフェイク動画作成が可能になりました。今まで以上に情報の正確性を判断することが重要になってきます。一方で、このようなフェイクを判断するAIも増えてくるでしょう。
AIによるチャット技術、ChatGPTも話題です。しかし、このチャット自体が間違った情報を回答する可能性があり、ここでも情報の正確性が問われます。今後、検索エンジンの代わりにチャットが台頭する可能性もありますが、情報の正しさをどのように判断するかがインターネット全体の課題になっていくと思われます。
●SNSの進化
SNSは、今後ますますプライベートで利用されることが増えてくると思われます。ただし、プライベートだからと安心すればするほど、うっかり個人情報を流出させてしまう可能性も高まります。そのため、自身の情報をより一層しっかりと管理していく必要があるのです。
まとめ
詐欺の手口は巧妙化し、ウィルスなども高度化してきています。ですが、誘導する手口は昔ながらの手法がベースです。オレオレ詐欺の対策でも、「電話を置いて一呼吸置いて、冷静になってください」と言われます。インターネット上のこのような詐欺行為も同様です。偽メールや偽サイトに出会っても、まずは一度冷静になって判断するようにしてください。
情報の取り扱いには注意しましょう。SNSで投稿する写真やテキスト、クラウド上で取り扱う情報などは、不特定多数の人に見られても良いものに限定しましょう。もしくは、公開設定やセキュリティ設定をしっかりして、不特定多数に漏れないようにしましょう。
多くのインターネット上の事故は、人的ミスが起因のものです。個人情報やカード情報・口座情報など重要な情報を取り扱う場合は、十分注意の上で利用してください。安易な情報入力などはしないよう心がけてください。
2023年3月 執筆:すぎなみ地域コムサポートチーム