欧州で5月25日に施行された「一般データ保護規則(GDPR)」に便乗するさまざまな種類のサイバー犯罪が今後、日本企業などを標的に起こり得るという。トレンドマイクロが予想される手口を解説している。
GDPRでは、欧州経済領域(EEA)参加国の居住者の個人データやプライバシーに関する情報を取り扱う世界中の企業や組織に対し、保護などの適切な取り組みを義務付けている。同社が発表した国内企業のGDPRに関する意識調査では、十分に認知されていない状況が判明。同社は、違反に対する高額な罰則金などの制裁事例が出て、対応が本格化するだろうと見ている。
GDPRに便乗するサイバー犯罪について同社は、こうした制裁などに不安を抱く企業や個人の心理を突く詐欺的な手口が横行するだろう予想し、下記の5種類を挙げる。
- 「GDPR準拠」をうたった偽セキュリティソフト
- プライバシーポリシー変更を装うフィッシング詐欺
- 「GDPR違反」をうたった恐喝
- 偽のGDPR診断サイト
- GDPRに便乗したビジネスメール詐欺
(1)では、技術的な対応方法に不安を抱く組織を狙うという。具体的には、「セキュリティ製品がGDPRに対応しているかをチェックする」などとうたい、その結果、「対応していない」との偽りの回答で製品購入を迫る。偽セキュリティソフトの購入をあおる手口は、これまでも偽のウイルス感染やシステムエラーといっただまし文句を使うケースがあり、GDPRを使う手口もあり得るとしている。
(2)では、正規の企業や組織がその対応を顧客などに説明する目的でも行っているだけに、犯罪を見分けるのが難しい。ただ、これまでのフィッシング攻撃と同様に個人情報やID、パスワードなどを入力させる手口は共通すると見られ、同社は冷静に対応することが肝心だと解説する。
(3)は、特に「端末ロック型」のランサムウェアにおける恐喝メッセージにGDPRが使われると予想している。このタイプの攻撃では、以前にも警察などの法執行機関を名乗り、「端末上で違法な行為を確認したので画面をロックする。ロックを解除したければ金を払え」といったメッセージで相手を脅迫する「ポリスランサムウェア」が横行した。GDPRでも「法律に抵触している」「制裁金を払え」といった脅し文句で、金銭を要求するケースが考えられるという。
(4)では、予算などが少ない中小企業などを標的にするケースが想定されるという。GDPRが定める罰則金は、企業の財務体力によっては倒産しかねない規模になることから、手軽な「診断サイト」になりすまして、さまざまな情報入力を求めたり、あるいは診断料や解決策の情報料などを銘打って金銭を要求したりするなどの犯罪が予想されるとしている。
(5)では、GDPRがEEA圏に拠点が無い企業や組織に代理人の設置を求めていることから、これを逆手に取り、「GDPRに精通したコンサルタント」などになりすまして、メールなどで企業の担当者に接触を図る手口が考えられるという。
これらの手口に関して同社は、「従来のランサムウェア対策やフィッシング詐欺対策など加えて、新しい対策方法を講じる必要ない」と解説。詐欺犯罪は、相手をだますために世間の関心事や悩み事を“ネタ”にするため、常に冷静な判断と対応が取れるよう、サイバー犯罪動向に敏感になることが重要だと指摘する。
