サイバー犯罪対策テクニカルアドバイザーからのアドバイス


インターネットを安全・安心して使うために、神奈川県警察サイバー犯罪対策テクニカルアドバイザーからのアドバイスを参考にしてください。

サイバー犯罪対策テクニカルアドバイザーのご紹介

写真:三輪信雄氏

神奈川県警察では、高度なサイバー犯罪に的確に対処するため、民間からサイバーセキュリティの専門家

三輪 信雄 氏

をサイバー犯罪対策テクニカルアドバイザーに迎えています。

サイバー犯罪対策テクニカルアドバイザーからは高度情報通信技術に関する助言を得るなど、県民が安心して利用できるサイバー空間の構築に努めています。



三輪 信雄氏は、

  • S&J株式会社 代表取締役社長
  • 総務省 最高情報セキュリティアドバイザー
  • 経済産業省 産業構造審議会臨時委員
  • 独立行政法人 情報処理推進機構 情報セキュリティ関連事業審議委員会委員

等に就任し、広くIT業界で活躍しています。

このページの先頭へ戻る

第5回  開くと危険なエモテット(Emotet)

掲載日:令和4年8月30日

皆さんは「メールをうっかり開くとウイルス(コンピュータウイルス、またはマルウェア)に感染してしまう!」という話は聞いたことがあると思います。

メールを使ってウイルスに感染させる手口はインターネットが広く利用されだした当初からあり、添付ファイルを開かせる、リンク(本文中にあるURLなど)をクリックさせる手口が代表的です。

最近はあまり見かけなくなりましたが、本文を表示(HTML表示といいます)させるだけで感染させる手口もありました。

最近のメールを使って感染するウイルスの代表的なものとしては「Emotet(エモテット)」が挙げられ、日本でも多くの方が感染してしまっているようです。

エモテットの感染につながるメールは昔からあるウイルスメールと違い、「これがエモテットのメールです」とはっきり示せないほど様々なタイプがあるため、見分けることは容易ではありません。

「不審なメールは開かない」ということは誰もが分かっていることですが、エモテットのメールは、「差出人が知人なのでよく確認せずに開いてしまう」、「少し不審な気がしたが興味本位で開いてしまう」という『人間の心の隙』を突いて添付ファイルを開かせる、URLをクリックさせるなど、メールの内容が狡猾になっています。

但し、狡猾なエモテットのメールでも、添付ファイルを開いたり、本文中のリンクをクリックする際に注意すれば被害に遭うことはありません。

もし、注意せずに開いてしまった場合には、あなたのパソコンに保存されているメールが盗まれ、あなたとやり取りしていた相手に、「あなたのふり」をしてエモテットのメールが送られてしまいます。

つまり、あなたが感染することで、あなたの知り合いが新たに感染することになってしまうかもしれないのです。

言い換えるとあなたが感染したことは、取引先や友人に「バレてしまう」ということにもなります。しかも、これから何年間も盗まれた情報がエモテットのメールに使われてしまうのです。

さらに最近では、エモテットに感染したことで、保存されているメールだけでなくクレジットカード情報や個人情報などを盗まれたり、感染したパソコンだけではなく会社内の他のパソコンなどに保存されているデータを暗号化して脅迫する「ランサムウェア」の被害に遭うこともあります。

エモテットに限らず、ウイルスメールは「開かない」ことに尽きるのですが、以下のような場合にはウイルス感染を疑ってください。

  • 添付ファイルを開いた(「ダブルクリックした」など)が、ファイルは開けず何も起こらない
  • 添付ファイルは開けたが、心当たりのない内容(関係ない請求書など)だった
  • メール本文中のリンクをクリックしたらファイルがダウンロードされ(保存され)、思わずそのファイルを開いてしまった

もし、上記のような感染が疑われる状況になってしまった場合には、パソコンをシャットダウンするか、ノートパソコンの場合には蓋を閉じましょう。そのままの状態で、あれこれ調べてしまうと、かえって被害が広がってしまいます。

よくある対処方法として、「ウイルス対策ソフトでフルスキャンする」ということがありますが、最近のエモテットはウイルス対策ソフトでは検知できない場合がありますし、エモテットへの感染をチェックする専用ソフトであっても、必ず見つかるということではありません。

また、取引先から「あなたを騙って怪しいメールが来た」との知らせを受けた場合には、あなたがエモテットに感染してしまった可能性があります。

このような場合には、直ちにシステム担当者に連絡をして、適切な対応をしましょう。エモテットに感染したかどうかは、専門家に確認してもらわないと正しい判断はできません。

エモテットに感染してしまったことが分かった場合には、そのパソコンはネットワークから切り離し電源を切って「(後日詳しく調べるために)保全」し、新しいパソコンを用意しましょう。もし、どうしても新しいパソコンを用意できない場合には、そのパソコンを初期化しましょう。

ウイルス対策ソフトで、ウイルスを駆除してそのまま再利用しているケースが多いのですが、その場合、検知できていないウイルスを見逃してしまっていることがあり、とても危険です。

このようなウイルス対策ソフトによる見逃しは近年増加しているため、EDR(※注)と言われる新しいソフトやサービスが有効とされています。大企業から使われ始めたEDRですが、最近では、ランサムウェアなどの最近の脅威への対策として中小企業でも広く使われ始めています。

※注 EDR(Endpoint Detection and Response)とは、システムのエンドポイント(端末)においてサイバー攻撃によるものなどの不審な挙動を監視し、即時対応する製品のこと。従来のウイルス対策ソフトなどはウイルス感染などのサイバー攻撃を防ぐことを目的としているが、EDRはサイバー攻撃を受けた後の検知と即時対応を行うことを目的としている。

実は私がこの原稿を書いている時点(令和4年7〜8月)ではエモテットの感染活動は沈静化している様子です。しかし、エモテットはこれまで何度も感染活動の沈静化と活発化を繰り返しており、2〜3か月後に活動が活発化する可能性もありますので引き続き注意が必要です。

今回ご紹介した通り、エモテットは取引先や知人を騙った狡猾なメールで感染を広げているため、それと気付かず「ついうっかり」開いて感染してしまいがちですが、

  • いつものやり取りの流れと違うな?
  • 差出人の名前は正しいが、メールアドレスが違うぞ?

など、気をつけていれば気づくことができます。

「おや?」と思った時には、メールの送り主に電話で確かめるなど確認するようにしてください。



(参考)

メールをきっかけとした被害の防止については、下記も参考にしてください。

  メールに注意して、リスクの低減を図る

※ エモテットに関する情報は、「サイバー犯罪、サイバーセキュリティに関する緊急情報」にもありますので、併せてご覧ください。

また、下記の情報も参考としてください。

  Emotetの解析結果について(警察庁)

  「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて(独立行政法人情報処理推進機構)

  マルウェアEmotetへの対応FAQ(JPCERT/CC)

このページの先頭へ戻る

第4回  ランサムウェアにご注意

掲載日:令和4年4月20日

「ランサムウェア」とは、感染するとパソコンなどに保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価として金銭を要求するコンピュータウイルスの一種です。

最近では、ランサムウェアに感染したため工場が停止したケースや感染と同時に機密情報等を盗まれた上で「金銭を払わなければ情報をダークウェブ(※注1)で公開する」と二重恐喝(ダブルエクストーション)を受けたケースも少なくはありません。

※注1 匿名接続を実現するためのソフトウェア等を使用しなければ接続できないウェブサイト

では、なぜランサムウェアに感染したことにより、このような事態にまで発展してしまうのでしょうか。

それは、ランサムウェアが単なるコンピュータウイルスではなく、高度な技術を持った攻撃者が直接攻撃(図4−1)してくるからなのです。

1 インターネット上で脆弱性のあるVPNサーバを探し侵入 2管理用サーバ(ADサーバ等)を攻撃し、管理者権限で侵入 3ユーザPCのウイルス対策ソフトなどを無効化し、マルウェア(不正なプログラム)を配信(※注 配信されたマルウェアにより、遠隔操作が可能な状態等になる) 4ファイルサーバに侵入し機密情報等を搾取 5ファイルサーバ、ユーザPCのファイルがランサムウェアにより暗号化され、脅迫文などが表示される
図4−1

ですから、突然ファイルが暗号化され脅迫文が表示(図4−2)されたり、システムが使えなくなってしまうといった目に見える状況になった時点では、既に攻撃の「最終段階」に至っているということになります。

画像:ランサムウェア感染後のデスクトップ
図4−2

このようにランサムウェアは、攻撃者である「人間」が手作業で行うところが、メールや不審なサイトから感染するイメージのあるウイルスとの大きな違いになります。

こうした攻撃者は、インターネット上で侵入可能な脆弱性のあるシステムを狙って無差別に攻撃しています。

特に脆弱性のあるVPN装置(テレワークなどで企業に接続するための装置)が狙われる傾向があり、最近、ランサムウェアの被害に遭ったほとんどの企業がVPN装置から侵入されています。

急速に広まったテレワークの対応のために、多くの企業でVPN装置が設置されましたが、脆弱性対策のためのパッチ適用がされないまま使われているケースがとても多く、それが被害の減らない原因の一つとなっていると考えられます。

また、無差別な攻撃が行われているため、大企業や政府機関よりも圧倒的に数の多い中小企業が攻撃を受ける確率が高くなっているようで、実際、私の会社(※注2)では、今年に入って多くの中小企業からランサムウェアの被害に関する対応依頼を受けています。

※注2 三輪アドバイザーが代表取締役社長を務めるS&J株式会社のこと

ランサムウェアの被害に遭うと、ほぼ全てのケースでフォルダやデスクトップ上に「脅迫文」が置かれ、その中には攻撃者への連絡方法が書かれています。

多くの場合、攻撃者のダークウェブサイトへのアクセスが指示されます(図4−3参照)。

攻撃者に連絡を取ると脅迫金額が示され、期限以内に暗号資産で支払うよう要求され、その金額は高額で、数千万円から数十億円にのぼります。

画像:ランサムウェアによりアクセスを促されたダークウェブサイトの例(脅迫に応じなかった企業等から搾取した情報がリークされるなどしている)
図4−3

また、データが暗号化されてしまったため、システムそのものが使えなくなり、バックアップデータも暗号化されデータを復元できず業務が停止したり、場合によっては取引先とのシステムが停止したり、工場全体が停止したりすることもあります。

そのために、システムの再構築やデータの入れ直しなどの作業が必要になるなどの不利益を受けることにもなります。

更に、ネットワークに侵入されたことから情報漏洩の可能性もあるため、取引先や顧客に謝罪する必要もありますし、セキュリティ専門会社への調査費用や対応費用もかかることも考えられます。

もちろん、システム再構築等にも多大な費用が必要になります。

ケースにもよりますが、復旧にかかる費用は数千万円から数億円にのぼることも珍しくありません。

よく被害に遭った企業から「復旧にかかる費用よりも安く済むので支払い交渉に応じた方がよいか」などと聞かれるのですが、攻撃者との交渉は行ってはいけません。交渉しただけでも「払う気があるのだ」とされ、再度攻撃を受けることにもつながりますし、支払いに応じればテロ組織や他国を攻撃するような国へ資金を提供することにもなるので決して交渉も支払いもしてはいけません。

では、ランサムウェアの被害に遭わないためにはどうしたらよいのでしょうか。

残念ながら簡単な防御方法はありません。これまでのウイルス対策はもちろんですが、少なくとも以下の対策は行うべきです。

  • VPN装置の最新化(最新のパッチをすぐに適用する)
  • VPN認証方法の強化(多要素認証の採用)
  • パソコンやサーバに最新のウイルス対策ソフト(EDR(※注3)など)を導入

できれば、サーバ類の監視なども専門業者に委託するといいでしょう。

ランサムウェアは、大企業でも中小企業でも関係なく、隙があれば侵入してきてシステムを破壊して脅迫します。

これまでのウイルス対策に加えて新たな脅威に備えなければならない時代になったと考えてください。

※注3 EDR(Endpoint Detection and Response)とは、システムのエンドポイント(端末)においてサイバー攻撃によるものなどの不審な挙動を監視し、即時対応する製品のこと。従来のウイルス対策ソフトなどはウイルス感染などのサイバー攻撃を防ぐことを目的としているが、EDRはサイバー攻撃を受けた後の検知と即時対応を行うことを目的としている。

このページの先頭へ戻る

第3回  スマホのセキュリティ警告にご注意

掲載日:令和3年12月15日

パソコンでインターネットを使っていると、セキュリティの警告が表示され、指定された連絡先に電話をするとサポートを装って遠隔操作ソフトをインストールさせられたり、プリペイドカードを購入させられたりする、いわゆる「サポート詐欺」が、テレワークの普及とともに増加しています。

一方で、最近はスマホでも偽のセキュリティの警告が表示されることが多くなってきました。

スマホで検索してサイトにアクセスすると、図3−1のような警告画面が出てくることがあります(これらは実際に私のスマホに表示されたものです)。

図3−1

「ウイルスが見つかった」「攻撃を受けた」など、焦らせるような文章が表示されるので、多くの人が驚くことでしょう。そして、「今すぐ修復」というボタンを押すとアプリのストアに移動し、アプリをダウンロードさせようとします。公式ストアなので「ウイルスではないだろう」と安心させる目的であると考えられます。

ところが、このアプリはウイルスではないものの「有料アプリ」であるため、その後、課金されてしまうものになります。

図3−2

今回誘導を促されたアプリでは、月額5,400円(年額6,500円)も課金されてしまうものでした。うっかり登録すると自動的に課金され続けてしまいます。

ウイルスでもなくサポート詐欺でもないこの手口は、まだあまり知られていないので被害に遭ってしまうことが考えられます。

このような偽のセキュリティの警告は、閲覧したホームページが改ざんされてしまっているために表示されます。つまり、正規のサイトにアクセスしたとしても、セキュリティの偽警告が表示されてしまうのです。

「怪しいサイトからアプリをダウンロードしない」、「パスワードを入力しない」といった注意は知っていても見抜けないため、「セキュリティ警告が出たら怪しい」と考えたほうがいいでしょう。

また、今回の警告画面には1秒ずつカウントダウンする様子も表示されていました。

これは「時間がない」と焦らせることで判断を鈍らせることも狙いですので、セキュリティの警告などが出た場合には、すぐに閉じるかアプリを終了させましょう。

また、表示された特徴的な文言で検索してみると偽のセキュリティ警告に関する情報が見つかることがあるので調べてみましょう。

なお、警告画面のスクリーンショットがあると調べやすいでしょう。

このページの先頭へ戻る

第2回  SMSに御用心!!

掲載日:令和3年8月2日

SMS(ショートメッセージサービス)を使った詐欺が以前からもありますが、今でも後を絶ちません。

あの手この手で被害に巻き込もうとします。私のところにも最近届きましたのでご紹介します。

◆その1  −携帯電話会社を騙る手口−

「電話料金が大変高額となっております」というものが先日届いた(図2−1)のですが、発信者が大手携帯電話会社となっていたこともあり、ドキッとするかもしれません。

確認のためにクリックするようになっているURLも、その携帯電話会社のサービス名を表すアルファベットの文字列から始まっており、また、「.com」であることからも、「あれ?」と思っても念のためにクリックしてしまいそうなURLです。

図2−1

しかし、よく見ると、以下の見分けるポイントがあります。

  • 「携帯電話サービス名○○.com」となっており、○○には意味のない2文字が入っている
  • 「http:// 」から始まっており、最近では「https://」が主流なので不自然

私はこの時点で「こんなURLは詐欺に違いない」と確信できましたが、クリックして先へ進んでしまった方が少なからずいるのではないでしょうか。

今回はどのようなことになるかを検証するために、敢えてURLをクリックしてみました(※注意1)

すると、「電話料金が大変高額になっております」と更に焦りが増すようなポップアップが表示(図2−2)されました。

図2−2

※注意1  三輪アドバイザーはセキュリティの専門家であるため、安全を確保しながらこのようなことを行えますが、一般の方はクリックしないようにしてください。

次に携帯電話のサービス用ID入力の画面になり、続いてパスワードの入力を求められます(図2−3)。

今回、私はデタラメな文字列を入力してみましたが、詐欺サイトなのでパスワードのチェックもなく、そのまま進むことができました。

図2−3

もしもこの画面で本当のIDとパスワードを入力してしまうと、その情報が盗まれてしまい、買い物などで悪用されてしまう危険性があります。

よく見ると、一番上のブラウザのアドレス欄には「安全ではありません」と表示されています。

これは正規のHTTPS通信(※注意2)が行われていないことを示すブラウザの警告です。

このように「ブラウザの警告にも注意を払う」べきです。

※注意2  HTTPS(Hypertext Transfer Protocol Secure)とは、WEBサイトとWEBクライアント間でデータの送受信を暗号化し、通信経路上での盗聴や第三者によるなりすましを防止するプロトコル(通信規約)のことで、「https://〜」ではじまるWEBサイトはHTTPSで通信が行われます。また、HTTPS通信では、暗号鍵として電子証明書が使われ、その電子証明書に不審な点があると「安全ではありません」などの表示がされることがあります。

◆その2  −大手通販サイトを騙る手口−

次に、大手通販サイトのIDとパスワードを盗むSMSを紹介します。

これも私に届いたもの(図2−4)ですが、画面には何件かセキュリティコードのメッセージが表示されています。

図2−4

これは私がその通販サイトで2要素認証(※注意3)を使っているため、その通販サイトを使った際に届いたセキュリティコードであり、正規のメッセージです

※注意3  「2要素認証」とは、正規の利用者であることを確認するための認証方法として、本人が覚えているID/パスワード(知識要素)、スマートフォンなどの本人が持っている物(所有要素)、本人の顔、指紋、虹彩など(身体的要素)といった要素を2つ組み合わせて行う認証方式のことです(2つ以上の要素を使うことは「多要素認証」といいます)。

  「2要素認証」の代表的な例としては、ID/パスワードと併せて、事前に登録している携帯電話番号にSMSでセキュリティコードを送り、そのコードを入力させることで、その番号の携帯電話(スマートフォン)を持っていることを確認するという方法があります。

詐欺として届いたものは、「●●●会員のお支払い方法に問題があります」という2件のメッセージです。この手法の特徴は、既に大手通販サイトから正規に受け取っている2要素認証のSMSに続いて同じ画面に表示されていることです。このため「大手通販サイトから来た正規のメッセージ」と思い込んでしまう可能性が高くなります。このような手法もよく使われており、「 既に正規のメッセージを受け取っていた画面に届いたメッセージでも信用してはいけない」ということです。

しかも、2つ目のメッセージでは「http s://」から始まっており、少し詳しい方だと逆に「『https:/ /』だから安心」と勘違いしてしまうのです。しかし、この手口でも先の携帯電話会社を騙る手口と同様に、よく見るとURLに不自然なところがあります。

  • 「. <大手通販サイト名>-co-j○○.icu」となっており、○○には意味のない文字が入っています。また、「.icu」という部分は通常使われるものではないので、不自然であると見抜けます。
  • 一般によく使われる「.co.jp」に似せたURLになっているので、一瞬、見だけだと「『.co.jp』だから安心」と勘違いしてしまうかもしれませんが、注意深く見ると「.co.jp」ではないことがわかります。URLなどをよく見ないで素早く操作してしまうというスマホの特性を突いた手法と言えるでしょう。

こうしたURLをクリックしてしまい、IDやパスワードなどを入力してしまうとアカウントが乗っ取られてしまう可能性があります。

◆被害を防ぐためのポイント

今回、ご紹介した通り、SMSに記載されたリンク先のクリックには十分に注意が必要ですし「そもそもクリックすべきではない」とも言えます。メッセージやメールで届いた URLはクリックせずに、正規のサイトへ専用アプリなどでアクセスして、必要な手続きは行うべきです。

また、 「IDやパスワードは盗まれるもの」という前提に立ち、2要素認証を有効にすることも「当たり前になってきている」という認識を持つべきです。最近の主要なサイトやアプリでは2要素認証が設定できるようになっています。少しわかりにくいところに説明がされていることもありますが、2要素認証は是非とも設定してください。「 2要素認証のないサービスは利用しない」という考え方でも私はいいと思います。 どうしても2要素認証のないサービスを利用するときには、通常よりも更に複雑で他に使っていないパスワードを使ってください。

今回は、SMSからの詐欺について、見分けるポイントや注意点などを説明しましたが、今後も様々な手法でオンライン詐欺は行われますので、 最新の情報を収集して注意し、家族や友達とも情報交換するようにしてください。

このページの先頭へ戻る

第1回  サポート詐欺にご注意!

掲載日:令和3年3月2日

ある日、Aさんはテレワーク中で、資料作成のためにネット検索を続けていました。いろいろなキーワードで検索していると、あるページにアクセスした途端、「パソコンがウイルスに感染しました」という画面が表示されました。真っ赤な警告画面にAさんは驚きました。よく見ると「すぐにお電話ください」とあり、電話番号が書かれていました。

Aさんはテレワーク中ということもあり、同僚に相談もできず、また自分の不注意でウイルス感染してしまったという負い目から「すぐに対応しなければいけない」と考えました。そこで書かれていた電話番号に電話をすると、サポートデスクを名乗る、どこか不自然な日本語ながら丁寧な口調の男性が出ました。

男性は「詳しく調べたいので、指定のソフトをインストールしてください」と指示しました。Aさんは言われた通りそのソフトをインストールしました。それは遠隔操作ソフトでした。男性は遠隔操作ソフトで、いろいろなことを調べているようでした。

Aさんは、男性からいろいろな画面を見せられ、「これは深刻な状態です。修復するには、すぐに有償のサポートに加入する必要があります。プリペイドカードを購入してください。」と言われました。Aさんはプリペイドカードを買うために慌ててコンビニに走って行きましたが、そこで何かおかしいと気づきました。

会社のシステム担当者に連絡して事情を説明したところ、「それはサポート詐欺です」と教えられ、Aさんは愕然としてしまいました。

実はAさんは、顧客に関する重要なメールをやりとりしていたのです。すぐにパソコンを会社に持ち込んでサイバーセキュリティの専門会社に調査を依頼して、顧客にも謝罪することになりました。



このように、テレワークの浸透に伴ってサポート詐欺の被害も増えています。近くに相談する同僚がいないことや焦りから、つい指示に従ってしまうことが多いようです。

サポート詐欺は昔からある手口ですが、会社のネットワークを利用していた時には自動的に防いでくれていたので、自宅で直接インターネットを使っているとサポート詐欺などの不正なサイトが表示されてしまうのです。

実際に、遠隔操作ソフトなどをインストールしてしまうと、情報が抜き取られてしまったり、コンピュータウイルスに感染させられたりする危険性もあります。また、電話をすることでその電話番号も犯罪者集団に知られてしまい、悪用されることも考えられます。

インターネットを利用していて、電話を迫るような画面の表示が出たらすぐにその画面は閉じてください。

どうしても画面が閉じられなくなったら、パソコンの電源を切ってください。そうすればそれ以上の被害を防ぐことができます。電話を迫る画面の表示だけなら、ギリギリセーフと考えてもいいです。心配であれば、ITに詳しい人に最新のウイルス対策ソフトでスキャンしてもらってもいいでしょう。

今回は「サポート詐欺に注意!!」というお話をさせていただきました。これからも最近のサイバー犯罪とその対策について紹介していきたいと思います。

(参考)

サポート詐欺に関しては、下記も参考にしてください。

  ウイルスに感染したという偽警告に注意!

このページの先頭へ戻る