意外と知らないネットセキリティの常識 アカウント乗っ取り対策で効果的なのは?

ニュースなどで時折目にする、企業の情報漏えいや不正アクセスなどのサイバー攻撃にまつわる事案。今年初めには、仮想通貨取引所「Coincheck」で約580億円相当の仮想通貨がハッカーにより盗まれるなどの被害が発生し、大きな話題となりました。

 しかし、報道されるものはあくまでも氷山の一角で、細かな事案まで含めると無数に存在します。誰がいつ被害に遭うかは分かりません。では、私たちはどんな対策をすればよいのか。サイバーセキュリティの専門家で、株式会社FFRIの代表取締役社長・鵜飼裕司さんに、昨今の事情や身を守るための術を聞きました。

企業が狙われる「標的型攻撃」とは?
 相次ぐサイバー攻撃を受け、政府もサイバーセキュリティに関するさまざまな政策を次々と打ち出すなど、社会的にもサイバーセキュリティ対策の重要性は高まっています。

 企業等で発生しているサイバーセキュリティ関連の事案としては、個人情報の流出や機密情報の漏えいなどが思い浮かびますが、鵜飼さんは「一般的にはハリウッド映画のようにハッカーと防御側の壮大な対決といった派手なものは少ない」と話します。

「実際には、非常に静かに始まり、静かに被害が発生することが多いんです。被害発生後に、たまたま気付いたケースにおいては一部大々的に報道され、大規模な調査が行われたりしますが、日本の企業や個人におけるサイバー攻撃の現状については、比較的軽微なものから深刻なものまで多岐にわたるため一概に言えないという状況です」

 報道でよくみかける企業の情報漏えい事件は、メールに添付されたファイルや本文に記載されたURLを社員が踏んでしまうという単純な行動で引き起こされるケースも少なくないとか。

「いわゆる『標的型』と呼ばれる攻撃です。取引先や関係者、会社内の人間を装ったメールの添付ファイルを開いたり、あるいはURLのリンクをクリックしてしまうことでウイルスに感染し、外部のサーバを経由して端末を乗っ取られます。更に、その端末を経由して社内外の別の端末やサーバが乗っ取られ、最終的に機密情報が漏洩したりすることもあります」

 企業によっては、従業員や役員のサイバーセキュリティに関するリテラシー向上のため、標的型攻撃を模したメールを送りその結果を確認する「標的型メール訓練」を実施している事例もありますが、やはり、「訓練の回数を重ねて開封率を下げることはできても開封率をゼロにすることは難しい」そうです。

 また、非常に手の込んだ標的型攻撃は専門家でも見破ることは難しく、実際のところは開封確率をゼロにすることはほぼ不可能とのこと。

ウイルス自動生成ツールがネット配布!?
 一方、個人ではTwitterやFacebookといったSNSのアカウント乗っ取り、さらに、ここ数年の傾向としては「ランサムウェアの被害も目立つ」と、鵜飼さんは言います。

「ランサムウェアは標的型攻撃と同じくメールを経由して感染する事例が目立ちます。ファイルを暗号化し、復号のために仮想通貨などで金銭を要求します。

 実は、攻撃側の事情も従来とは変化しています。映画で見るように、攻撃者がウイルスのコードをゼロからプログラミングして開発するというケースは相対的に少なくなっており、現在は、ウイルス作成に特化したツールやWebサービスなどで自動生成されたものが使われるケースが大半です。

 攻撃者にはプログラミングやハッキングなどの深い知識や特別な技術は不要であり、少しパソコンを使える程度の知識があればランサムウェアや標的型攻撃で使われるウイルスを作成することができます。このような環境の変化が、被害拡大のひとつの要因になっているものと思われます」

 スマートフォンの利用者も増えてきていますが、鵜飼さんは「スマートフォンユーザーも被害に遭うケースはあるものの、サイバー攻撃の対象はパソコン(Windows PC)のほうが多い」と話します。パソコンはビジネスでも広く使われていることが理由に挙げられます。

アカウント乗っ取り対策、効果的なのは?
 サイバー攻撃の種類は多岐にわたりますが、私たちの身近で目立つ事例に何か効果的な対策はあるのでしょうか。はじめに、よく耳にするTwitterのアカウント乗っ取りについて聞いてみました。

「一般的にTwitterの『アカウント乗っ取り』と呼ばれる現象は、原因の大半がTwitterのアプリ連携機能によるものです。例えばタイムラインでよく見かける『〇〇診断』のようなもののなかに、アプリ連携によりアカウント乗っ取りを引き起こすものが稀に出現します。

 連携させられたアプリが、広告や、この連携アプリに誘導させるためのリンクなどを勝手にツイートします。普段付き合いのあるフォロワーがつぶやいているように見えても、実は連携アプリが勝手にツイートしている場合があるため、何かしらアプリ連携を促す場面に遭遇した場合は、安易に連携させないよう注意してください。

 対策としては、TwitterのアプリもしくはWebページの『設定とプライバシー』にある『アプリと端末』の項目から、Twitterアカウントと連携されているアプリを確認すること。不要なものや怪しいものは連携を解除するのがいちばん分かりやすい方法です」

有名企業からのメッセージにも要注意!
 続いて気になるのは、ランサムウェアなどのウイルスやアカウント情報を盗むといった攻撃。宅配業者や皆さんの馴染みの深い企業などを装ったメールにはウイルスが添付されていることがあり、「詳細は添付ファイルを確認してください」といったメッセージに騙されて添付ファイルを開いてしまい、被害にあうケースが増えています。

「何よりも文面に十分警戒することが、まずは予防策となります。従来は、日本語が怪しかったりと明らかな違和感がありましたが、最近は巧妙になってきており、サイバーセキュリテイの専門家でも判別できないものもあります」

 また、アカウント情報を盗む攻撃も、多くはメールが起点となっています。通販サイトなどを装って無作為にメールが送信され、文面は「セキュリティ上の問題が確認されたので、こちらからパスワードを変更してください」といった内容となっているものが大半です。本文中に記述されているURLは正規のものではなく、攻撃者が用意した偽のWebサイトとなっており、パスワード変更のために入力したIDや旧パスワードが攻撃者に盗まれる、といった手口です。

 一般的なサービス企業がメールのみで『パスワードを変更してください』などと促すケースはほぼありません。そのため、何らかの認証情報を入力させようとするメールがきたら、まずは疑ってください」

効果的なパスワード「パスフレーズ」とは?
 また、これに関連して考えておきたいのが、効果的なパスワードの作り方です。万が一に備えて「パスフレーズを作る」というのが一つの対策だといいます。

「手間を省くためにユーザー名とパスワードを一緒にしたり、覚えやすいようにと『名前+数字』などで作成されている方も多いと思いますが、単純なパスワードは破られる可能性があります。また、複数のサービスで共通のユーザー名とパスワードを使っている場合、どこかひとつのサービスでアカウント情報が漏洩してしまうと、そのアカウント情報が使われて他のサービスにログインされる可能性があります」

 そこで試してみてほしいのが「パスフレーズ」なのだとか。

「文字数の制限にもよりますが、例えば『私は牛丼を食べました』『私のペットの名前はタマです』などの長文を使い、それをサービスごとに変えるということですね。自分の個人的なことを含めて、覚えやすい文章を使ってみるのは有効な対策です。

 また、二段階認証(ユーザー名やパスワードに加え、例えばスマートフォンなどを利用)を設定することで、安全性は飛躍的に向上します。パスワードもサービスごとに設定すると覚えられなくなったりしますので、パスワード管理ツールなどで管理すると良いでしょう」

 サイバー攻撃から身を守るために、上記の方法を今すぐにでも実践してみてほしいところです。

ウイルス対策ソフトは何を選ぶべき?
 万が一のサイバー攻撃に備えて、パソコンにウイルス対策ソフトを入れている人も多いでしょう。「NGAVまたはNGEPPと呼ばれる最新のセキュリティ技術が用いられているウイルス対策ソフトを選んでほしい」と鵜飼さんは話します。

「ウイルス対策ソフトにはいくつかの種類があります。従来からあるもは『パターンマッチング技術』をベースにしたものでした。各メーカーが世界中で発生するウイルスを日々収集し、それらウイルスの「指名手配写真集」にあたるパターンデータベースを更新し、それをユーザーへ配布することで対策を打っていました。

 しかし、近年はウイルスは自動生成されているため、一日に数十万ものウイルスが新たに発生しているという報告もあり、指名手配写真の作成が追い付かず、結果、検出できないものが非常に増えているといいます。

「そこで登場したのが、『NGAV(Next Generation Anti-Virus)やNGEPP(Next Generation Endpoint Protection)』と呼ばれる次世代のセキュリティ対策技術です。例えるなら、警備員が泥棒の顔写真を確認して捕獲するのではなく、動きを見て捕獲する、といったものです。

 泥棒も最終的には金銭等を盗んで逃走するというゴールがある訳ですが、その前には、家の窓を割ろうとする、家の周りをウロウロするなど、何かしら怪しい兆候があります。ウイルスも同様で、ウイルスが届いてから実際に被害発生に至るまでに、さまざまな構造的、あるいは振る舞いとしての特徴を確認する事ができます。

 こういった振る舞いなどの特徴を見て検知・防御するため、パターンマッチング技術では対策が難しい新種や亜種にも優れた検出能力を発揮します。ただし、ウイルスも種類や特徴によっては『パターンマッチング』のほうが有効であるケースもあるため、『パターンマッチング』と『NGA、NGEPP』の併用をおすすめします」

この記事へのコメント

この記事へのトラックバック