仮想通貨やオンラインアカウントを保護–金融資産を狙うサイバー攻撃への対策

今回は「仮想通貨やオンラインアカウントを保護–金融資産を狙うサイバー攻撃への対策」についてご紹介します。

関連ワード （テクノロジーが変えるお金の未来、特集・解説等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　誰もがインターネットとオンラインサービスにかつてないほど依存するようになっている。これには良い面があるが（たとえば買い物はウェブサイトからする方が実店舗に足を運ぶより簡単で便利だ）、考慮すべきリスクが増加したという面もある。

　残念なことに、オンラインショッピングやオンラインバンキングの普及で生活の利便性が向上した一方で、詐欺を働くのが以前よりはるかに簡単になってしまった。最悪の場合、サイバー犯罪者にユーザー名とパスワードを盗まれただけで、自分の金融資産にアクセスされてしまうおそれがある。

　サイバー犯罪者が銀行口座のユーザー名とパスワードの窃取に用いる最も一般的な手口の1つが、フィッシング攻撃だ。この手口では、銀行や小売業者を送信元に見せかた電子メール（またはSMSメッセージ）が送られてくる。

　攻撃の目的は被害者をだましてフィッシングリンクをクリックさせることであり、被害者をそのように誘導する手段として、恐怖心や疑念が利用される。たとえば、メッセージには、取引や購入が実行されたのでリンクをクリックして詳細を確認してほしい、と書かれていることがある。

　多くの場合、攻撃者は銀行のウェブサイトの偽バージョンを作成する。不運にも偽のメッセージを受信し、だまされてユーザー名とパスワードを入力すると、それらの情報が攻撃者の手に渡ってしまう。この手口でなりすますことができる組織は、銀行だけではない。小売業者や政府機関など、ほぼどんな組織もなりすましの対象になり得る。攻撃者の狙いは、どんな手段を使ってでもユーザーの情報を手に入れることだ。

　「新型コロナウイルス感染症のパンデミック下では、偽の宅配便の不在通知から、偽のワクチン予約の案内まで、時勢を反映したさまざまな詐欺活動が確認されている。サイバー犯罪者は、こうした話題で人々の興味を引くだけでなく、ソーシャルメディアから情報を取得して、詐欺の手口をそれぞれの被害者に合わせてカスタマイズすることで説得力を高め、個人を標的にすることがある」。英国家サイバーセキュリティセンター（National Cyber Security Centre：NCSC）の経済および社会担当次長であるSarah Lyons氏はこのように語る。

　この脅威に加えて、被害者のデバイスをバンキング型トロイの木馬マルウェアに感染させようとするハッカーもいる。このタイプのマルウェアは、ユーザーのコンピューターやスマートフォンで、金融取引に関する活動を監視し、関連するすべての情報を攻撃者に送信する。攻撃者は被害者をだましてマルウェアをダウンロードさせることが多い。この手法でも、フィッシングリンクや、人気ソフトウェアの感染した偽バージョンが用いられるほか、人気モバイルアプリストアに隠された悪意あるアプリが使われることもある。

　金融情報を狙うサイバー攻撃の被害に遭うのを避けるために、オンラインアカウント全体にわたって良好なサイバー衛生を維持して、アカウントを可能な限り安全に保つ必要がある、とNCSCはアドバイスしている。

　このアプローチには、オンラインアカウントごとに強力なパスワードを使い分けることと、多要素認証を有効にすることが含まれる。どちらも、攻撃者によるアカウント侵害が格段に困難になる対策だろう。

　また、クリックするものに注意を払い、公開のソーシャルメディアアカウントに投稿する個人情報を限定する必要もある。そうした情報は、アカウントの特定やソーシャルエンジニアリング攻撃に利用される可能性があるからだ。

　「ソーシャルメディアの利用時に細心の注意を払うことで、説得力のあるフィッシング電子メールの標的になる可能性を低減することができる。ソーシャルメディアで共有する個人情報の量を最小限に抑えて、プライバシー設定を有効にすれば、安全な状態を維持できる」とLyons氏は述べた。

　銀行やその他のサービスは、アカウント上での不審な活動についてのアラートをよく送信する。これらのアラートに注意を払うことで、アカウントの安全を守れる可能性があるが、サイバー犯罪者がアラートの偽バージョンを作成して情報を不正に入手していることにも留意する必要がある。

　このようなアラートに不審な点があった場合は、銀行の公式ウェブサイトの連絡先情報を使って、銀行に直接問い合わせて報告した方がいいだろう。

　フィッシング電子メールの被害に遭ったことが判明した場合は、すぐにパスワードを変更するとともに、同じパスワードを使用している可能性のあるすべてのアカウントでパスワードを変更すべきだ。サイバー犯罪が原因で金銭を失った場合は、銀行だけでなく警察にも被害を報告する必要がある。

　悪意あるアプリは、巧妙な手口を使って、不正アプリの排除を目的としたアプリストアのセキュリティ審査をすり抜ける。一般的に使用されているアプリや著名なアプリに偽装していることが多い。アプリストアに何カ月もとどっていることがあり、最終的に発見されて削除されたとしても、その前にダウンロードされており、場合によってはダウンロード件数が何十万件にものぼるケースもある。

　アプリをダウンロードする際は注意が必要だ。レビューをチェックすれば、おかしな点がある場合にヒントを得られるかもしれない。多くの場合、アプリをダウンロードしてサイバー犯罪者の被害に遭った人は、そのことに言及するが、アプリが宣伝どおりに機能しない場合に、そのアプリが偽物だとレビューで指摘されていることもある。

　セキュリティに関するこれらの基本的な推奨事項は、多くのオンラインサービスに適用できるが、犯罪者が関心を抱いている新しい分野は仮想通貨（暗号資産）だ。

　仮想通貨、特に「ビットコイン」のような高価値の仮想通貨が勢いを増したことで、サイバー犯罪者はこの新たな分野に注目し、関心を強めている。