情報処理推進機構(IPA)は1月7日、2013年に発生した情報セキュリティに関する様々な事案の中で、金銭被害につながる可能性が高いという点で、特に一般利用者に影響が高いと考えられるものを発表し、注意を呼びかけている。
呼びかけで挙げられている事案は、「インターネットバンキング利用者を狙った不正送金」、「過去の流行時の約2倍の件数に上るウェブ改ざん」、「偽の警告画面を表示させ有償版の購入を促し、クレジットカード番号を入力させる「偽セキュリティソフト」などの手口」、「従来の対策では見抜くことが難しい、スマートフォンのワンクリック請求アプリ」の4つ。
インターネットバンキング利用者を狙った不正送金
Webメールのログイン情報を盗み取る機能を有したウイルスを用いて、銀行から利用者宛にメールで送信されたワンタイムパスワードを盗み、本人に成りすまして不正に送金するという、新たな手口が用いられている。
また、従来からある大手金融機関を装った偽のメールを送り、メール文中のリンクをクリックさせ偽サイトに誘導するフィッシングメールの手口も引き続き用いられている。この手口については、2013年10月以降に6件の相談が寄せられているほか、年末には「三菱東京UFJ銀行のフィッシングサイトが再び登場 - 編集部にもメール着信」と新たな被害の発生も起こっているため、今後も注意が必要だ。
過去の流行時の約2倍の件数に上るWebサイト改ざん
2013年1年間でWebサイト改ざんに関するIPAへの届出件数は75件にのぼり、過去に改ざんが流行していた2010年の34件、2012年の38件と比較すると、2013年は約2倍に増加した。また、JPCERTコーディネーションセンターから公表されているウェブ改ざん数も、2012年第3四半期以降急増している。
この理由には、過去にWebサイトの改ざんが流行した際の手口や、「Webサーバー上で稼働しているソフトウェアの脆弱性を悪用」、「簡単なFTPパスワードなどを推測して改ざん」といった複数の手口を組み合わせた手口の巧妙化があるとしている。
偽の警告画面を表示させ有償版の購入を促し、クレジットカード番号を入力させる「偽セキュリティソフト」などの手口
この手口に関する相談は2012年354件だったものが、2013年には889件と、件数が2.5倍になった。「偽セキュリティソフト」を用いた手口では、改ざんされたWebサイトなどをセキュリティ対策が不十分なPCで閲覧した場合に、「偽セキュリティソフト」がバックグラウンドでインストール。実際には感染していないのにも関わらず、"ウイルスに感染している"という脅しの画面を表示し、解決のためと偽って有償版の購入を促す手口が増加したという。
また、PC内のデータを暗号化して、PC自体を使えない状態にし、環境を復元することを条件に金銭を要求するランサムウェアが再び登場。2013年8月から相談件数が増え、通年で22件となっている。
従来の対策では見抜くことが難しい、スマートフォンのワンクリック請求アプリ
アプリ内に設定されたアダルトサイトを表示し、画面に従って登録を完了すると請求画面を表示するという手口が広がっているという。なお、このアプリは公式マーケット上で公開されていた。
この手口は、不正なアプリをダウンロードしないための注意点である、「正規のマーケットから入手」「アクセス権限(パーミッション)を注意深く確認する」という、従来の判断基準が通用しないのが特徴。
IPAによると、これらの被害に遭わないための対策として、「日頃から用心するべきこと」として、以下の3点を挙げている。
出所が不明なファイルをダウンロードしたり、ファイルを開いたりしない
安易にURLリンクを開かない
重要なデータのバックアップ
また、基本的な予防策として、「セキュリティソフトを導入し、ウイルス定義ファイルを常に最新に保つ」や「PCやスマートフォンのOSやアプリケーションソフト(特にAdobe Flash Player、Adobe Reader、Java)を最新版に更新して脆弱性を解消する」ことを必ず実施するよう呼びかけているほか、「年に一度は普段使用しているメーカー以外の無料ツールでウイルスチェックを行う」ことを対策として挙げている。
