サイバー犯罪対策テクニカルアドバイザーからのアドバイス


インターネットを安全・安心して使うために、神奈川県警察サイバー犯罪対策テクニカルアドバイザーからのアドバイスを参考にしてください。

サイバー犯罪対策テクニカルアドバイザーのご紹介

写真:三輪信雄氏

神奈川県警察では、高度なサイバー犯罪に的確に対処するため、民間からサイバーセキュリティの専門家

三輪 信雄 氏

をサイバー犯罪対策テクニカルアドバイザーに迎えています。

サイバー犯罪対策テクニカルアドバイザーからは高度情報通信技術に関する助言を得るなど、県民が安心して利用できるサイバー空間の構築に努めています。



三輪 信雄氏は、

  • S&J株式会社 代表取締役社長
  • 総務省 最高情報セキュリティアドバイザー
  • 経済産業省 産業構造審議会臨時委員
  • 独立行政法人 情報処理推進機構 情報セキュリティ関連事業審議委員会委員

等に就任し、広くIT業界で活躍しています。

このページの先頭へ戻る

第3回  スマホのセキュリティ警告にご注意

掲載日:令和3年12月15日

パソコンでインターネットを使っていると、セキュリティの警告が表示され、指定された連絡先に電話をするとサポートを装って遠隔操作ソフトをインストールさせられたり、プリペイドカードを購入させられたりする、いわゆる「サポート詐欺」が、テレワークの普及とともに増加しています。

一方で、最近はスマホでも偽のセキュリティの警告が表示されることが多くなってきました。

スマホで検索してサイトにアクセスすると、図3−1のような警告画面が出てくることがあります(これらは実際に私のスマホに表示されたものです)。

図3−1

「ウイルスが見つかった」「攻撃を受けた」など、焦らせるような文章が表示されるので、多くの人が驚くことでしょう。そして、「今すぐ修復」というボタンを押すとアプリのストアに移動し、アプリをダウンロードさせようとします。公式ストアなので「ウイルスではないだろう」と安心させる目的であると考えられます。

ところが、このアプリはウイルスではないものの「有料アプリ」であるため、その後、課金されてしまうものになります。

図3−2

今回誘導を促されたアプリでは、月額5,400円(年額6,500円)も課金されてしまうものでした。うっかり登録すると自動的に課金され続けてしまいます。

ウイルスでもなくサポート詐欺でもないこの手口は、まだあまり知られていないので被害に遭ってしまうことが考えられます。

このような偽のセキュリティの警告は、閲覧したホームページが改ざんされてしまっているために表示されます。つまり、正規のサイトにアクセスしたとしても、セキュリティの偽警告が表示されてしまうのです。

「怪しいサイトからアプリをダウンロードしない」、「パスワードを入力しない」といった注意は知っていても見抜けないため、「セキュリティ警告が出たら怪しい」と考えたほうがいいでしょう。

また、今回の警告画面には1秒ずつカウントダウンする様子も表示されていました。

これは「時間がない」と焦らせることで判断を鈍らせることも狙いですので、セキュリティの警告などが出た場合には、すぐに閉じるかアプリを終了させましょう。

また、表示された特徴的な文言で検索してみると偽のセキュリティ警告に関する情報が見つかることがあるので調べてみましょう。

なお、警告画面のスクリーンショットがあると調べやすいでしょう。

このページの先頭へ戻る

第2回  SMSに御用心!!

掲載日:令和3年8月2日

SMS(ショートメッセージサービス)を使った詐欺が以前からもありますが、今でも後を絶ちません。

あの手この手で被害に巻き込もうとします。私のところにも最近届きましたのでご紹介します。

◆その1  −携帯電話会社を騙る手口−

「電話料金が大変高額となっております」というものが先日届いた(図2−1)のですが、発信者が大手携帯電話会社となっていたこともあり、ドキッとするかもしれません。

確認のためにクリックするようになっているURLも、その携帯電話会社のサービス名を表すアルファベットの文字列から始まっており、また、「.com」であることからも、「あれ?」と思っても念のためにクリックしてしまいそうなURLです。

図2−1

しかし、よく見ると、以下の見分けるポイントがあります。

  • 「携帯電話サービス名○○.com」となっており、○○には意味のない2文字が入っている
  • 「http:// 」から始まっており、最近では「https://」が主流なので不自然

私はこの時点で「こんなURLは詐欺に違いない」と確信できましたが、クリックして先へ進んでしまった方が少なからずいるのではないでしょうか。

今回はどのようなことになるかを検証するために、敢えてURLをクリックしてみました(※注意1)

すると、「電話料金が大変高額になっております」と更に焦りが増すようなポップアップが表示(図2−2)されました。

図2−2

※注意1  三輪アドバイザーはセキュリティの専門家であるため、安全を確保しながらこのようなことを行えますが、一般の方はクリックしないようにしてください。

次に携帯電話のサービス用ID入力の画面になり、続いてパスワードの入力を求められます(図2−3)。

今回、私はデタラメな文字列を入力してみましたが、詐欺サイトなのでパスワードのチェックもなく、そのまま進むことができました。

図2−3

もしもこの画面で本当のIDとパスワードを入力してしまうと、その情報が盗まれてしまい、買い物などで悪用されてしまう危険性があります。

よく見ると、一番上のブラウザのアドレス欄には「安全ではありません」と表示されています。

これは正規のHTTPS通信(※注意2)が行われていないことを示すブラウザの警告です。

このように「ブラウザの警告にも注意を払う」べきです。

※注意2  HTTPS(Hypertext Transfer Protocol Secure)とは、WEBサイトとWEBクライアント間でデータの送受信を暗号化し、通信経路上での盗聴や第三者によるなりすましを防止するプロトコル(通信規約)のことで、「https://〜」ではじまるWEBサイトはHTTPSで通信が行われます。また、HTTPS通信では、暗号鍵として電子証明書が使われ、その電子証明書に不審な点があると「安全ではありません」などの表示がされることがあります。

◆その2  −大手通販サイトを騙る手口−

次に、大手通販サイトのIDとパスワードを盗むSMSを紹介します。

これも私に届いたもの(図2−4)ですが、画面には何件かセキュリティコードのメッセージが表示されています。

図2−4

これは私がその通販サイトで2要素認証(※注意3)を使っているため、その通販サイトを使った際に届いたセキュリティコードであり、正規のメッセージです

※注意3  「2要素認証」とは、正規の利用者であることを確認するための認証方法として、本人が覚えているID/パスワード(知識要素)、スマートフォンなどの本人が持っている物(所有要素)、本人の顔、指紋、虹彩など(身体的要素)といった要素を2つ組み合わせて行う認証方式のことです(2つ以上の要素を使うことは「多要素認証」といいます)。

  「2要素認証」の代表的な例としては、ID/パスワードと併せて、事前に登録している携帯電話番号にSMSでセキュリティコードを送り、そのコードを入力させることで、その番号の携帯電話(スマートフォン)を持っていることを確認するという方法があります。

詐欺として届いたものは、「●●●会員のお支払い方法に問題があります」という2件のメッセージです。この手法の特徴は、既に大手通販サイトから正規に受け取っている2要素認証のSMSに続いて同じ画面に表示されていることです。このため「大手通販サイトから来た正規のメッセージ」と思い込んでしまう可能性が高くなります。このような手法もよく使われており、「 既に正規のメッセージを受け取っていた画面に届いたメッセージでも信用してはいけない」ということです。

しかも、2つ目のメッセージでは「http s://」から始まっており、少し詳しい方だと逆に「『https:/ /』だから安心」と勘違いしてしまうのです。しかし、この手口でも先の携帯電話会社を騙る手口と同様に、よく見るとURLに不自然なところがあります。

  • 「. <大手通販サイト名>-co-j○○.icu」となっており、○○には意味のない文字が入っています。また、「.icu」という部分は通常使われるものではないので、不自然であると見抜けます。
  • 一般によく使われる「.co.jp」に似せたURLになっているので、一瞬、見だけだと「『.co.jp』だから安心」と勘違いしてしまうかもしれませんが、注意深く見ると「.co.jp」ではないことがわかります。URLなどをよく見ないで素早く操作してしまうというスマホの特性を突いた手法と言えるでしょう。

こうしたURLをクリックしてしまい、IDやパスワードなどを入力してしまうとアカウントが乗っ取られてしまう可能性があります。

◆被害を防ぐためのポイント

今回、ご紹介した通り、SMSに記載されたリンク先のクリックには十分に注意が必要ですし「そもそもクリックすべきではない」とも言えます。メッセージやメールで届いた URLはクリックせずに、正規のサイトへ専用アプリなどでアクセスして、必要な手続きは行うべきです。

また、 「IDやパスワードは盗まれるもの」という前提に立ち、2要素認証を有効にすることも「当たり前になってきている」という認識を持つべきです。最近の主要なサイトやアプリでは2要素認証が設定できるようになっています。少しわかりにくいところに説明がされていることもありますが、2要素認証は是非とも設定してください。「 2要素認証のないサービスは利用しない」という考え方でも私はいいと思います。 どうしても2要素認証のないサービスを利用するときには、通常よりも更に複雑で他に使っていないパスワードを使ってください。

今回は、SMSからの詐欺について、見分けるポイントや注意点などを説明しましたが、今後も様々な手法でオンライン詐欺は行われますので、 最新の情報を収集して注意し、家族や友達とも情報交換するようにしてください。

このページの先頭へ戻る

第1回  サポート詐欺にご注意!

掲載日:令和3年3月2日

ある日、Aさんはテレワーク中で、資料作成のためにネット検索を続けていました。いろいろなキーワードで検索していると、あるページにアクセスした途端、「パソコンがウイルスに感染しました」という画面が表示されました。真っ赤な警告画面にAさんは驚きました。よく見ると「すぐにお電話ください」とあり、電話番号が書かれていました。

Aさんはテレワーク中ということもあり、同僚に相談もできず、また自分の不注意でウイルス感染してしまったという負い目から「すぐに対応しなければいけない」と考えました。そこで書かれていた電話番号に電話をすると、サポートデスクを名乗る、どこか不自然な日本語ながら丁寧な口調の男性が出ました。

男性は「詳しく調べたいので、指定のソフトをインストールしてください」と指示しました。Aさんは言われた通りそのソフトをインストールしました。それは遠隔操作ソフトでした。男性は遠隔操作ソフトで、いろいろなことを調べているようでした。

Aさんは、男性からいろいろな画面を見せられ、「これは深刻な状態です。修復するには、すぐに有償のサポートに加入する必要があります。プリペイドカードを購入してください。」と言われました。Aさんはプリペイドカードを買うために慌ててコンビニに走って行きましたが、そこで何かおかしいと気づきました。

会社のシステム担当者に連絡して事情を説明したところ、「それはサポート詐欺です」と教えられ、Aさんは愕然としてしまいました。

実はAさんは、顧客に関する重要なメールをやりとりしていたのです。すぐにパソコンを会社に持ち込んでサイバーセキュリティの専門会社に調査を依頼して、顧客にも謝罪することになりました。



このように、テレワークの浸透に伴ってサポート詐欺の被害も増えています。近くに相談する同僚がいないことや焦りから、つい指示に従ってしまうことが多いようです。

サポート詐欺は昔からある手口ですが、会社のネットワークを利用していた時には自動的に防いでくれていたので、自宅で直接インターネットを使っているとサポート詐欺などの不正なサイトが表示されてしまうのです。

実際に、遠隔操作ソフトなどをインストールしてしまうと、情報が抜き取られてしまったり、コンピュータウイルスに感染させられたりする危険性もあります。また、電話をすることでその電話番号も犯罪者集団に知られてしまい、悪用されることも考えられます。

インターネットを利用していて、電話を迫るような画面の表示が出たらすぐにその画面は閉じてください。

どうしても画面が閉じられなくなったら、パソコンの電源を切ってください。そうすればそれ以上の被害を防ぐことができます。電話を迫る画面の表示だけなら、ギリギリセーフと考えてもいいです。心配であれば、ITに詳しい人に最新のウイルス対策ソフトでスキャンしてもらってもいいでしょう。

今回は「サポート詐欺に注意!!」というお話をさせていただきました。これからも最近のサイバー犯罪とその対策について紹介していきたいと思います。

(参考)

サポート詐欺に関しては、下記も参考にしてください。

  ウイルスに感染したという偽警告に注意!

このページの先頭へ戻る