特集

2018.11.12

2021.10.04

スマホのサイバー攻撃の被害と対策をセキュリティのプロに聞いてみた

スマホの乗っ取りや架空請求など、サイバー攻撃を目にする機会は多くなりましたが、どこかで「自分は大丈夫」と思っていないでしょうか？

かくいう私もそのひとり。世の中にはセキュリティソフトが出回っているけれど、個人で対策はできるし、パソコンならまだしもスマホなら大丈夫そうだし、わざわざお金を払って利用するもの？とはいえ、被害に遭うのは避けたいので対策を講じておきたいところです。

そこで今回はスマホのセキュリティに詳しいマカフィー株式会社のコンシューマセキュリティエヴァンジェリスト、青木大知さんにお話を伺いました。

同社はセキュリティソフトの老舗で、サイバー攻撃の手法やスマホのセキュリティ事情について詳しいはずです。被害状況や対策の方法など、根掘り葉堀り聞いちゃいましょう！

＜お話を伺った人＞

青木大知さん

マカフィー株式会社　コンシューマセキュリティエヴァンジェリスト兼コンシューママーケティング本部　執行役員本部長

サイバー攻撃は交通事故のようなもの、約16%のユーザーが被害に遭った経験がある

− まずは核心からお聞きしたいのですが、セキュリティソフトって本当に必要なのでしょうか？

青木大知さん（以下、青木）：当然です！サイバー攻撃は交通事故のようなもの。ある日、突然やってくるものです。いつかは被害に遭うかもしれないと考えていたほうがいいでしょう。

− 裏付けとなるデータがあれば教えていただきたいのですが......。

青木：まずはこのデータをご覧ください。

引用：マカフィー株式会社　MMD研究所「スマートフォンのトラブルに関する調査（2015年6月）」より

これは、2015年に弊社とMMD研究所が共同でワンクリック詐欺について調査したデータです。648名に聞いたところ「被害に遭ったことがある」と答えた人は16.7%でした。

これはワンクリック詐欺だけの数字なので、アカウントの乗っ取りやパスワードクラッキングなど、他の被害を合わせると被害者の数はもっと多くなります。とある統計データではサイバー攻撃は年々3割ずつ増加していると報告されていることから被害者の数はこれからも増えていくでしょう。

個人が被害にあうようなサイバー攻撃の手段は4種類、被害額は10万円以上になることも

−私たちがサイバー攻撃を回避するにはどうすれば良いのでしょうか？

青木：まず覚えていただきたいのが、個人の方が被害対象となるようなサイバー攻撃の種類です。そのようなサイバー攻撃の方法は大きく4種類に分けられます。

パスワードクラッキング：不正にパスワードを暴く行為
ワンクリック詐欺（フィッシング詐欺）：電子メールを送りつけ、不正なURLにアクセスさせることで、IDやパスワードなどを盗み出す行為
アカウント乗っ取り（なりすまし）：パスワードなどを不正に盗み出し、SNSなどのアカウントを乗っ取る行為
ランサムウェア：スマホやパソコンにウィルスを感染させて使用不可能にした後、元に戻すことと引き換えに身代金を要求するウイルスの種類

問題なのは、加害者側は4つの攻撃手段を、複数かつ同時に使っていることです。

−と言いますと？

青木：つまり、どれかひとつを防ぐだけでは意味がないということです。例えば、「ワンクリック詐欺」や「パスワードクラッキング」で盗んだ個人情報やパスワードを使ってアカウントの「乗っ取り」を行ったり、「ランサムウェア」を感染させたりして身代金を要求する。といったことができてしまうのです。

− なるほど、防衛ラインにひとつ穴があくと、そこから様々な方法で攻撃されてしまうわけですね。

青木：そうです。ですから、セキュリティソフトでウィルスを防いだり、危険なサイトをブロックしたりしなければいけません。これら4種類の防衛ラインを守ることができれば、被害に遭う確率を低くすることができます。

−セキュリティソフトの必要性について理解しました。ちなみにサイバー攻撃に遭ってしまうと、どのような被害がでるのでしょうか？

青木：金銭的な被害がほとんどですね。ランサムウェアのように身代金を要求するものや、金融機関やクレジットカードのアカウントの乗っ取りによる不正利用、架空請求や少し前に流行ったLINEアカウントの乗っ取りなど、さまざまな手法が考えだされ、実行されています。

先ほどお見せした調査では被害額のアンケートも行いました。1万円以内の被害が60％でしたが、10万円を超える被害を受けた方も11.1%と決して少なくはありません。

引用：マカフィー株式会社　MMD研究所「スマートフォンのトラブルに関する調査（2015年6月）」より

自分のスマホを守るためにできること

− 他人事だと思っていましたが、いざ被害にあった金額を知ると恐ろしいですね。これらの被害を防ぐために、どのように気をつけたら良いのでしょうか？

青木：それでは攻撃方法に合わせた対処法を紹介していきましょう。

パスワードクラッキング

青木：この攻撃は、複雑なパスワードを複数作成することで防ぐことができます。「10桁以上」、「英語の大文字小文字を使用する」などに気をつけて、すぐには思いつかないものを用意すると良いでしょう。また、パスワードはひとつ漏れてしまうと他のアカウントも攻撃対象になってしまうので、同じパスワードを他のサービスでも使用するような重複は避けたいところです。（※1）

− 自分は忘れっぽく、パスワードを複数管理できる自信がありません......。

青木：そういうときは、スマホやパソコン用のパスワード管理ツールを利用するといいですよ。ソフトウェアが複数のパスワードを一元管理してくれるので、忘れやすい人でも安心だと思います。私もソフトを使って、60くらいのパスワードを管理しています。しかもこれ、顔認識でロックを解除することもできるんです。

− （ロックまで数秒）本当だ！こんなに簡単なんですね。

青木：こうした管理ソフトやセキュリティソフトを利用する際は「公式ストア」（Google Play、App storeなど）で提供されているものを利用しましょう。ストアの審査が入っていますから、サイバー犯罪者の息がかかった不正アプリを避けやすくなります。

ワンクリック詐欺（フィッシング詐欺）

青木：最近は、誰もが知っている通販会社やWebブラウザの会社など、有名な企業を装ってメールを送ってくるパターンが増えていますね。アドレスやロゴなどもその会社に似せたものが使われているので、一目では見分けづらいかもしれません。

こうしたメールは、文面の一部がおかしなことが多いんです。例えば、「請求で払われていません」や「近日中を振込お願いします」など。

料金の未払いや大事なお知らせならば、近日中に再びメールがくるはずです。もしこのような怪しいメールを受け取って違和感を感じたら、そのメールは無視しましょう。

とにかくフィッシングメールはクリックしないことが大事です。メールに記載されたURLに触れるだけでデータが抜き取られる場合もあるので注意しましょう。私は仕事柄、不正メールが届いたらスクリーンショットを保管したり、そのままメールを取っておいたりするんです。実際に送られてきたメールをお見せしますね。

− 有名通販サイトのロゴや画面までそっくりですね！これは騙されてしまうかも......。

アカウント乗っ取り（なりすまし）

青木：「パスワードクラッキング」と対策は似ていますが、まずは複雑なパスワードを用意しましょう。アカウントへの不正ログインを防ぐことで、乗っ取りを回避できます。

また、乗っ取りの対象となるSNSやWebサービスは、2段階認証（IDとパスワードのほかに、スマホでの認証を必要とするログイン方法）を備えていることが多いので、必ず利用しましょう。パスワード単体のログインと比べると、乗っ取られる可能性が低くなります。

十分に対策しても乗っ取られることがあるので、定期的にログイン状態はチェックしてください。例えば、Facebookではログインで二段階認証を設定できます。こちらを利用すれば、認識していない端末からアクセスがあった場合、ログインコードやログインの承認を求められます。二段階認証を上手く利用して、セキュリティを強化するのがおすすめです。