トレンドマイクロは1月7日、2019年の主に個人を標的とするサイバー犯罪の動向を解説するセミナーを開き、被害回避のポイントに「手口を知りだまされないよう意識する」ことを挙げた。
解説を行ったセキュリティエバンジェリストの岡本勝之氏は、冒頭で2019年のサイバー犯罪動向について「常識を覆すもの」と総括した。主な手口として(1)二段階認証を突破する詐欺、(2)SMSの悪用、(3)人気サービスのなりすまし――の3点を取り上げた。
(1)は、偽のメールやSMS、ソーシャルメディアのメッセージとフィッシングサイトを使う従来の手口に、近年のオンラインサービスで導入が広がっているワンタイムパスワード(OTP)を組み合わせたものになるという。同社の観測では、2019年9月以降にこの手口を使う詐欺サイトのドメイン数が増加している。
岡本氏によれば、フィッシングサイト型の詐欺は昔から存在し、かつてはオンラインバンキングなど金融系のサービスが悪用された。現在では、二段階認証を導入する正規サービスがさまざまな業種に拡大し利用者も慣れ始めていることから、サイバー犯罪者側が正規サービスを模倣して利用者をだますために、二段階認証を犯罪手法に取り込んでいる。
一般的に、二段階認証は認証回数が増えるとしてセキュリティが強化されると思われがちだが、この種の手口では、そもそもフィッシングサイトへ誘導する偽のメールやメッセージの段階から犯罪者が仕掛けており、二段階認証と称して送られるOTPや認証画面も偽物になる。岡本氏は、「『二段階認証は安全』と思い込みがちな利用者の“常識”の裏をかく手口」と解説する。犯罪者に名称などを悪用された正規のサービス側も、自社の顧客が犯罪被害に巻き込まれていることに気が付きにくい。
二段階認証を使うフィッシング詐欺手口のデモ。その手前の段階となる偽メッセージやフィッシングサイトも犯罪者が用意できるため、犯罪に気づけなければ二段階認証を完了するまでだまされたままになってしまう
(2)は、数年前にSMSなどで宅配便の通知などを装い、メッセージ内のリンクからマルウェアを仕込んだモバイルアプリをインストールさせる犯罪手法の効果が知られるようになったことで拡大している。同社の観測では、不正サイトに誘導されるモバイルユーザーが2019年7~9月の3カ月間で52万7586件、10~11月の2カ月間では57万3266件に上った。
SMSから不正サイトに誘導されるケースが増加傾向にあるという
岡本氏によれば、SMSでは送信元を偽装できることから、犯罪者が正規のサービスや実在企業などの名称に偽装したSMSを送り付ける。SMSの送信元だけを見た受信者はだまされてしまい、メッセージに従って不正アプリをインストールしてしまう。その結果、モバイル端末内の情報を犯罪者に窃取されたり、別の人に対して偽SMSを送信するなどの犯罪に加担させられたりする。同氏は、「送信元が偽装されると、SMSアプリ内で正規のメッセージと偽のメッセージが混在して表示され、よりだまされてしまいがちになる」と話した。
(3)も昔から続く傾向だが、2019年はQRコードなどを使うモバイル決済が流行したことで、犯罪者側も正規のモバイル決済サービスになりすます詐欺手法を使い出した。
2019年に流行したモバイル決済サービスに便乗するフィッシング犯罪が目立つようになった
いずれの犯罪手法も本質的には人間の心理をついて巧妙にだます「詐欺」であり、犯罪者側はその時々の時流に便乗し、利用者の“常識”の裏を突く方法を組み合わせている。こうした犯罪被害を防ぐには、セキュリティソフトなど技術的な対策を使いつつ、最終的には犯罪者に狙われる人間が手口に気付けるかどうかになる。岡本氏は、以下の基本的な対策ポイントを紹介している。
- サイバー犯罪の手口を知り、だまされないように意識する
- メールやメッセージの送信元、内容などを確認して、安易にリンク先へアクセスしない
- 普段とは異なるタイミングで何かしらの情報入力を求められた場合は、いったん立ち止まって再度確認する
- 複数のサービスで同じ認証関連の情報(パスワードなど)を使いまわさない
利用者が思い込んでいる“常識”の裏を突く犯罪傾向が強まっているという
