現在、大阪・関西万博が開催されているが、それに伴って万博を装った偽サイトが多数出現している。また公共機関・重要インフラを狙った標的型攻撃も急増している。次々に新たな手法が現れるサイバー犯罪に対しては、最新の情報を知り、適切な対策を講じることが重要だ。
6月26日~27日に開催された「TECH+セミナー セキュリティ 2025 Jun. 今を守り、未来を築く」に大阪府警察本部警務部高度情報推進局 サイバーセキュリティ対策課管理官/警視の奥地英之氏が登壇。最近のサイバー犯罪の傾向と、企業が採るべき対策について説明した。
最近のサイバー犯罪の傾向
講演冒頭で奥地氏は、最近のサイバー犯罪の傾向について紹介した。まず急増しているのが証券口座への不正アクセスだ。証券会社では多要素認証を必須化するなど対策を進めているが、利用者側でもフィッシングメールや不正プログラムに注意し、場合によってはパスワードの変更も検討する必要がある。またSNSアカウントの乗っ取りも多発している。主な目的は投資詐欺への誘導で、SMSを返信させることで二段階認証の突破を狙うものもある。ソーシャルエンジニアリングの一種である「クリックフィックス」と呼ばれる手法も流行し始めている。フィッシングメールなどによって偽のエラー画面に誘導し、回復するための手順を装ってクリップボード経由でウイルスに感染させるものだ。
フィッシングメールも増加し続けていて、電子メールだけでなく電話番号宛てに届くSMSも使われる。偽造した本人確認書類を使って携帯電話番号を乗っ取る「SIMスワップ」と呼ばれる手口や、ユーザーがフィッシングサイトに入力した情報を犯人が即座に正規サイトに入力して不正ログインしようとする「リアルタイム型フィッシング」といった手法も出現している。
-
年々増加するフィッシングメールの件数
インターネットバンキングの不正送金の被害額も急増中だ。更新の必要性などを騙る電話をかけてメールアドレスを聞き出し、フィッシングメールを送信するという「ボイスフィッシング」のほか、SIMスワップやマルウェア感染、暗号資産への換金によるマネーロンダリングなど、多彩な手口が使われている。
インターネット閲覧中に、ウイルス感染したかのような画面でユーザーを脅し、そのサポートの名目で金銭を要求したり、遠隔操作ソフトをインストールさせたりという、いわゆるサポート詐欺にも引き続き注意が必要だ。2024年にはサポート詐欺の認知件数が1506件、被害額は11億9000万円にも上っている。
オンラインショッピングにおいては、日本の企業を装ったECサイトによる詐欺に注意が必要だ。代金の入金後に「在庫切れのため電子マネーで返金する」と偽って二重に搾取しようとするケースもある。こうした状況を受け、経済産業省はEC加盟店に対し、カード決済時にワンタイムパスワードのほかにリスクベース認証も必要とするEMV 3Dセキュアの導入を求めている。
ランサムウェアはとくに中小企業を狙う
一方、企業がもっとも注意すべきなのはランサムウェアだと奥地氏は話す。2024年の調査では、企業が受けた攻撃のうちもっとも多いのがランサムウェアとメールの不正送信であり、IPAが公開する情報セキュリティ10大脅威でもランサムウェアは3年連続で1位に挙げられている。注目すべきは、中小企業の被害件数が増えていることだ。攻撃に必要なツールをサービスとして提供する「ランサムウェア・アズ・ア・サービス」がビジネスモデルとして広まり、実行者のすそ野が広がったため、対策が手薄なことが多い中小企業が狙われていると考えられる。
-
企業・団体のランサムウェアによる被害状況
ランサムウェアの被害に遭った場合は、復旧に要する期間が長いほど多くの費用がかかる。そこで重要になるのが、サイバー攻撃を想定したBCPを策定しておくことだ。復旧に1000万円以上、かつ1か月以上を要した組織のうち、こうしたBCPを策定していたのは1割程度だが、1週間未満で復旧できた組織の2割以上はBCPを策定済みであったという調査結果もある。
「企業活動においてセキュリティ対策は金銭的な利益を生むものでないため、予算を注ぎ込むのが難しいと思います。しかし過去には2億円以上の特別損失を計上した事例もあります。経営に与えるインパクトも踏まえ、我がこととして捉えていただきたいのです」(奥地氏)
こうした攻撃に対しては、侵入経路としてもっとも狙われるVPN機器において対策を講じることが必要だ。具体的には、強いパスワードを使うこと、最新のセキュリティパッチを適用すること、そして接続できる端末を制限することである。また「脆弱性」には設定ミスや管理体制の不備も含まれる。したがって弱いパスワードの使用や使わないアカウントの放置なども脆弱性となるため注意が必要だ。
「VPN機器において、多要素認証の導入やIPアドレス等による接続制限の設定をしていないなら、それはセキュリティの甘い企業ということになります」(奥地氏)
DDoS攻撃やなりすましメールへの対策
サイバー攻撃には、DDoS攻撃、なりすましメールといった手段も使われる。DDoS攻撃については、被害を抑えるための対策、被害を想定した対策、攻撃への加担を防ぐ対策という3つの面からの対策が必要になる。被害を抑える対策としては、海外IPからの通信の遮断、WAFやIDS/IPSなど対策機器やサービスの導入が有効だ。また被害を想定した対策としては、自社サービスを選別し対応方針を検討するとともに、状況を通知するチャンネルを準備し、通報先、連絡先の一覧や対応マニュアルを作成することも必要である。さらに、他への攻撃の踏み台にされないよう、最新のセキュリティパッチの適用も必須だ。
なりすましメールの対策として有効なものにDMARCがある。DMARCではメール送信元のドメインが正当なものであるかを検証し、送信者の身元確認を行う。身元確認に失敗すればなりすましメールと判定され、破棄したり、迷惑メールフォルダに入れたりするという仕組みだ。すでにGoogleやYahoo!など大手メールプロバイダーがDMARCに対応している。奥地氏は、「ユーザー側が設定すればすぐに利用できる状況であるため、企業は積極的に導入を進めてほしい」と話した。
パスワードは、推測されにくいものを使う必要がある。IPAでは最低でも10桁以上で、大文字、小文字、特殊文字を使い、ランダムな文字列も含めることが必要だとしている。またパスワードの管理については、ノートにメモする、ブラウザに記録する、パスワード管理ソフトを使う、パスキーを使うといった方法がある。ただしノートは紛失の危険があり、ブラウザの記録はウイルス感染で盗まれる可能性もある。パスワード管理ソフトは過去に情報漏えいの事例もあった。したがっていずれの方法も完璧ではない。それぞれのデメリットを理解したうえで管理方法を選択したい。
サイバー犯罪の被害に遭ったら警察に通報を
最後に奥地氏は、サイバー犯罪対策の参考資料として警察庁のサイバー警察局のサイト、そしてIPAの中小企業セキュリティガイドラインを紹介した。サイバー警察局のサイトではサイバー犯罪ごとの個別対策が記載されている。またIPAのガイドラインには基礎的な対策を列挙した付録もある。「これらを参考に対策を講じてほしい」と同氏は話した。
「サイバー犯罪の被害に遭ったら、最寄りの警察署、または本部のサイバーセキュリティ対策課に通報してください。サイバー空間の事件は外から見えにくいため、当事者から発信していただかないと警察が認知するのは困難です。警察ではサイバー対処能力の強化を進めており、相応に力を付けておりますので、ぜひ警察を頼っていただければと思います」(奥地氏)
グループ全体のセキュリティ強化を目指す、三井不動産グループの取り組みとは
