IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、一般ユーザーも被害に遭う危険性が高い金銭的被害について紹介している。

より巧妙化が進む金銭的被害の手口

まず、IPAでは、2013年に金銭的な被害に直結する危険性が高い事例について、以下の4つ指摘している。

  • インターネットバンキングユーザーを狙った不正送金
  • 過去の2倍以上となったWeb改ざん
  • 偽の警告表示を行い、有償版の購入を求め、クレジットカード番号などを詐取する偽セキュリティ対策ソフト
  • 従来の対策では、見破ることが難しくなった、スマートフォンのワンクリック請求アプリ

さて、この4つのうちWeb改ざん以外は、2013年初頭の呼びかけにおいても指摘されたものである。つまり、この数年、似たような手口を使い、一般ユーザーを騙そうとしている傾向が見えてくる。IPAでは、さらに「巧妙化」を指摘する。具体的にどのような手口なのか? 以下でみていきたい。

インターネットバンキングユーザーを狙った不正送金

IPAにおける不正送金に関するの相談件数は、上半期の20件から下半期の96件と4倍以上となった。その理由であるが、2013年4月に新たな手口が登場した。まず、Webメールのログイン情報を盗むウイルスに感染させる。次に、銀行からユーザーに送られたメールのワンタイムパスワードを盗み、不正送金を行う手口である(図1)。

図1 ワンタイムパスワードを盗み取る手口(出典:IPA)

従来は、ウイルス感染により、インターネットバンキングのログイン情報を盗み出すという手口であった。IPAによれば、従来の手口やフィッシングメールなどの手口も引き続き用いられているとのことである。

過去の2倍以上となったWeb改ざん

まずは、図2をみてほしい。

図2 Web改ざん件数の推移(JPCERT/CC公表のデータを基に作成)

2012年第三四半期以降急増している。こうして改ざんされたWebサイトは、脆弱性などを完全に解消していないPCで閲覧すると、それだけでウイルスに感染してしまう。従来のフィッシング詐欺では、いかに本物に似せても、IPアドレスなどは本物ではない。これを利用した防御策もあるが、本物のWebサイトを改ざんした場合には無力である。

クレジットカード番号などを詐取する偽セキュリティ対策ソフト

偽セキュリティ対策ソフトも、2012年の354件から2013年の889件と大幅に増加した。偽のウイルスに感染したという警告を表示し、偽のセキュリティ対策ソフトの購入を迫る。似たよう手口だが、PC内のデータを暗号化したり、画面表示などを乗っ取り、使用可能にするには金銭を要求するランサムウェアも22件報告された。

図3 ランサムウェアによる被害イメージ(出典:IPA)

偽セキュリティ対策ソフトでは、クレジット番号情報などが詐取されるが、被害金額自体は数千円くらいである(セキュリティ対策ソフトの価格に等しい)。ランサムウェアの場合は、10万円以上のケースあり、被害レベルが拡大している。これまでは、海外で多く検出されたが、国内でも流行の兆しがある。

巧妙化するスマートフォンのワンクリック請求アプリ

ワンクリック詐欺でも、2013年は巧妙化がみられた。図4を見てほしい。

図4 ワンクリック請求における新旧手口の比較(出典:IPA)

従来は、インストールの際に必要なアクセス権限(パーミッション)を確認することで、本来の機能とは無関係な場合、不正アプリと疑うことができた。しかし、新たな手口では、このようなアクセス権限を求めることはしない。図4では、インターネットアクセスしか要求していない。これだけから不正アプリと判断するのは難しいだろう。インストールされると、アプリ内に設定されたアダルトサイトを表示し、画面の指示通りに登録を行うことで請求画面となる。この請求画面は、アプリを削除するだけで復旧させることができる。また、このアプリは、個人情報を盗み出すような活動は行わないとのことだ。不正活動は地味だが、金銭を詐取されることもあり、立派な不正アプリといえる。

他にも、従来は公式なマーケットからダウンロードするといった方法も安全とされたが、もはやそれも安全の担保とはならない状況である。

被害に遭わないための対策は

基本的な予防策としては、以下の2点がある。

  • セキュリティ対策ソフトを導入し、ウイルス定義ファイルを最新に保つ
  • PCやスマートフォンのOSやアプリケーションソフト(特にAdobe Flash Player、Adobe Reader、Java)を最新版に更新して脆弱性を解消する

上の対策は、わかるだろう。下の対策であるが、ウイルスなどの感染には、脆弱性が悪用されることが多い。したがって、脆弱性対策が何よりも求められる。さらにIPAでは、普段の行動として、

  • 出所が不明なファイルをダウンロードしたり、ファイルを開いたりしない
  • 安易にURLリンクを開かない
  • 重要なデータのバックアップ

といった対策も重要と指摘する。2014年も同様に巧妙化が続き、より多数の金銭的被害が想定される。これまで以上の対策が求められるだろう。