「常識を覆すサイバー犯罪」が増加、トレンドマイクロが2019年のサイバー犯罪動向を解説

　トレンドマイクロは、2019年に国内で発生したサイバー犯罪の動向、最新の手口やユーザーが取るべき行動などについて、報道関係者向けセミナーで解説した。

　同社セキュリティエバンジェリストの岡本勝之氏は、2019年は「常識を覆すサイバー犯罪」が増加した年だったと語る。個人情報や銀行口座、クレジットカードなどの決済情報をねらう個々の手法は新しいものではないが、ユーザーにとって「これなら大丈夫だろう」と考えられてきたことが覆される事例が散見され、それに伴って被害も増えたという。

覆された“常識”とは何か

　手口の巧妙化によって覆された常識、思い込みとは具体的に何を指しているのだろうか。岡本氏は「二要素認証があるサイトは安全」「送信元が正規企業なら安全」「正規サイトなら情報を入力しても安全」というこれまで信じられてきた3つの例を挙げた。

　これらがなぜ覆されたのかというと、まず「二要素認証があるサイトは安全」については、偽サイトを使ってIDやパスワードのみならずワンタイムパスワードなどを巧妙に聞き出し、二要素認証を突破する事例が出ている。

　たとえば、金融機関などになりすましたSMSで「セキュリティ強化のため再ログインしてほしい」などの理由を付けて偽サイトに誘導し、まずIDやパスワードのログインに必要な情報を入力させる。そして、ユーザーの入力を待ち受けていた攻撃者がその情報をすぐに正規のサイトに入力し、この間も巧妙に作り込まれた偽サイトにユーザーを留めておく。

　そして正規のサイトへのログインを完了した攻撃者が送金などの手続きを行うと、金融機関から本物のワンタイムパスワードがユーザーに送られるが、これも偽サイトで続けて入力させ、その情報をリアルタイムで確認した攻撃者が速やかに正規のサイトに入力してしまえば、SMSやメール、トークンなどワンタイムパスワードの発行・送付方法を問わず無力化されてしまうという手口だ。

　このような二要素認証の突破を狙う詐欺手口の急増によって、より慎重な見極めが必要となった。

　2つ目の例として挙げられた「送信元が正規企業なら安全」とは言えない理由は、特にSMSを利用した攻撃手法において、不正なメッセージの送信元を企業などの正規の配信元と同じ文字列に設定することで、アプリ上では本物のメッセージと不正なメッセージが同じスレッドに混在してしまう場合があるという既知の仕様を悪用した事例が増加したため。つまり、そもそも送信元が正規企業かどうかの判断が難しくなったということだ。

　3番目の「正規サイトなら情報を入力しても安全」とは限らない理由は、個人を狙った攻撃ではなく企業が運営するECサイトなどを狙ったサイバー犯罪によるもので、適切な保守が行われていないサイトの脆弱性を突いて決済情報の入力画面などをすり替えられている可能性があり、正規サイトでも油断はできない。

ユーザーが取るべき行動は？

　これらを踏まえて、サイバー犯罪から身を守るためにユーザーが取るべき行動として、岡本氏は「手口を知ること」「安易に本文内のURLにアクセスしない」の5点を挙げる。

　まず、「オレオレ詐欺」や「還付金詐欺」といった現実世界における特殊詐欺の手口が周知されているように、サイバー犯罪者の典型的な行動を知ることが身を守る第一歩になると解説する。

　先述のように送信元だけでは見極められない一歩進んだ手口も増えていることから、本文やURLなど全体をよく確認して安易にメッセージ内のURLにアクセスしないことを推奨。そして、普段使っているWebサービスなどで「いつもと違う」動作をしたとき、特に二要素認証や決済情報などの情報入力を通常と異なるタイミングで求められたときには「一度手を止めて再確認」してほしいと呼びかけた。