ビジネスWi-Fiで会社改造(第44回)
ビジネスWi-Fiで"学び"が進化する
ユーザーが簡単に見分けられないほど巧妙に作られた「偽サイト」が、社会問題になっている。オンラインショップや銀行の偽サイトにアクセスしてしまい、不正送金や詐欺の被害に遭うケースも急増中だ。インターネットの利便性を逆手に取った犯罪からいかにして身を守るか、対策の抜本的な見直しが求められている。
銀行、通販、保険。偽サイトの最新手口
2017年7月、ウイルス対策ソフト大手のトレンドマイクロから、警察庁のサイトを偽装したサイトを確認したという発表があった。その偽サイトには「違法なコンテンツを閲覧したことを確認したのでパソコンをロックした。違反金として50000円支払え」などと記載されていた。
支払い方法が電子マネーのみであることや「違反金」という表現など、冷静に考えれば疑わしい部分は多いのだが、Webブラウザーの全画面表示機能を悪用してURLも偽装し、一見すると正規サイトかと勘違いしてしまう。また、慌ててブラウザーの「閉じる」ボタンをクリックしても、偽装されたボタンなので反応はなく、画面は表示されたまま。ユーザーの心理を突いた巧妙な詐欺サイトだ。
このような偽サイトを使った犯罪は「フィッシング(Phishing)」と呼ばれる。この名前は英語の「釣り(Fishing)」と「洗練(Sophisticated)」を合わせた造語だ。インターネットの利用が本格化した2000年代に急増し、現在もその勢いは止まらない。
フィッシング詐欺の手口は、文字通り釣りと似ている。犯人はまずメールという「まき餌」を大量に送信。魚(被害者)はまき餌を食べて(メール記載のURLをクリックして)仕掛け(偽サイト)に近づき、釣り上げられる。手法自体は広く知られているにもかかわらず、いまだに被害が後を絶たないのはなぜか。そこには仕掛けとなる偽サイトの進化が関係する。
ユーザーを誘い込む方法も巧妙化している。「アカウントの有効期限が切れています。更新してください」といったメールを送り、本文に記載されたURLをクリックさせる事例では、メールの発信元に実在する企業、組織名を明記し、画面も実在のサイトに酷似したものが多い。実際に、ある大手銀行の偽サイトは本物とほとんど見分けがつかず、銀行側の発表でも「入力欄が2つのサイトは本物で、3つ以上のものは偽物」というありさまだった。
さらに最近は、スマートフォンのSMS(ショートメッセージサービス)を使って偽サイトへ誘導する「スニッシング」と呼ばれる手口も現れた。2017年7月には日本でもGoogleを装ったSMSを送り、ウイルス対策費と称し金銭をだまし取ったとして容疑者が逮捕された。
お金も顧客情報も失う
これまで、フィッシングによる詐欺は通信販売など、主に個人のユーザーを狙ったものが中心だった。ところが最近は、企業を対象にするケースも増えつつある。狙われるのはズバリ「中小企業」だ。セキュリティ専任担当者がいないことが多い中小企業は、サイバー攻撃のメーンターゲットになりやすい。さらなる大規模攻撃の「踏み台」としても好都合と捉えられている。
わが国で確認されている偽サイトの多くは金銭を目的としたものだが、犯人の狙いは他にもある。それは「情報」だ。例えば、日ごろから付き合いのある取引先を装った偽サイトへ誘導されたのに気付かなければ、社員は抵抗なく顧客情報や口座番号を入力する。その偽サイトにマルウエアが仕込まれていた場合は、不正アクセスや情報漏えいといった問題を引き起こす。
また、自社のサイトが偽装されたケースでは、まるで加害者のように扱われる恐れがある。偽サイトの存在を知った時点で注意喚起しなかったり、顧客からの問い合わせ対応に問題があったりすると、被害者の怒りは正規サイトを運営する企業に向けられる。「われ関せず」では通用しない。
増え続ける偽サイトの問題を解決するため、さまざまな取り組みが進められている。警察庁と日本サイバー犯罪対策センター(JC3)は2017年12月、この半年間で20000件余りの偽サイトが確認され、記載された不審な口座に約2億4000万円が振り込まれたとして注意喚起を行った。
ここで気になるのは、従来「偽サイトの見分け方」として挙げられていた項目が通用しない点だ。ブラウザーに表示された「.com」「.co.jp」などのドメインを確認する方法は、メールに添付したマルウエアに感染させることで、正規のURLから自動的に偽サイトへ接続されてしまう。また、安全な通信を行う目的で使われる暗号化(鍵マーク・https)を使った偽サイトも確認されるなど、もはや対応し切れないのではと思わせるほどだ。
偽サイト以外にもインターネット上にはさまざまな悪質サイトがある。アクセスと同時に高額請求を行うワンクリック詐欺サイトや、マルウエアを自動ダウンロードさせるサイト、偽ブランド品や違法薬物を販売するサイトなど、数え上げると切りがない。
便利さの裏にある危険
このような悪質サイトから身を守る方法として、ICT関連企業は各種のソリューションを提供している。その代表格といえるのが「Webフィルタリング」だ。
Webフィルタリングは悪質サイトのURLをデータベース化し、そのサイトへのアクセスを遮断する。この機能は主に青少年を暴力、ポルノといった不適切なコンテンツから遠ざける目的で利用されてきたが、偽サイトへのアクセス防止も可能なことから、ビジネスシーンでも活用できるものとして導入が進んでいる。
マルウエアを使ったサイバー攻撃と並び、深刻な脅威になりつつある偽サイト問題。多くの企業が利用するインターネットバンキングは便利なものだが、金融機関の偽サイトが非常に多いのも事実だ。「すべてを疑ったら仕事にならない」などと考えず、便利さの裏にある危険をあらためて認識するべきだろう。
執筆=林 達哉
【MT】