メインコンテンツへスキップ
main content, press tab to continue
特集、論稿、出版物 | 企業リスク&リスクマネジメント ニュースレター

サイバーリスク:そのリンクをクリックする前に

執筆者 足立 照嘉 | 2021年12月21日

コロナ禍に伴う働き方の変化によって、より多くのサイバー犯罪被害が発生した。LINEなどのメッセージングアプリで情報を守るためにはどうしたら良いのか?怪しいメールに騙されないためには? 再三語られていることではあるが、いま一度紹介していきたい。
Risk and Analytics|Corporate Risk Tools and Technology|
N/A

暗号化されていれば

LINEやiMessage、WeChatなど日本でも人気のメッセージングアプリでやり取りされている会話の内容を、FBIがどのような法的手続きを取って入手しているのかといったトレーニング資料*1が公開された。米国政府の透明性と情報公開に関する活動を行なっている非営利団体によって出された開示請求に基づき、同団体が11月に入手したものだ。

例えばLINEであれば、容疑者または被疑者のプロフィール画像、表示名、メールアドレス、電話番号、LINE ID、登録日などに加え、エンド-to-エンドでの暗号化(E2EE)が適用されておらず、尚且つ有効な令状がある場合には最大7日分のテキストチャットを入手できるといったことが、必要な手順と共にトレーニングアドバイスとして記載されている。
つまり有効な令状を持ってしても、エンド-to-エンドでの暗号化が適用されている場合には、FBIとはいえすんなりとその会話内容にアクセスできるわけではないということでもある。

2分に1件のペースで被害報告

では、悪意ある者が情報を窃取する時には、どのようにするのだろうか?

さすがに、FBIのように令状(しかも、この場合は偽物)を持ってメッセージングアプリの運営会社に問い合わせるわけにもいかない。そこで多くの場合用いられるのが、フィッシング詐欺などによる方法だ。同僚や取引先からのメールを装ってメール内の悪意あるリンクをクリックさせるように仕向けてくる手口である。

FBIの年次報告書によると、2020年の被害報告件数はなんと241,342件*2。単純計算で2分に1件のペースで被害報告が行われている。そして被害総額は5,400万ドル(およそ60億円)にもおよぶ。この報告書では、詐欺師から身を守るために心がける3つのポイントが記されているので、ここで紹介しておきたい。

  • オンライン・コミュニケーションには細心の注意を払う。電子メールの送信者を確認する。犯罪者はメールアドレスの一文字を変えるだけで、あなたが知っている人に見せかけることがある。また、添付ファイルやリンクにも十分注意し、リンクをクリックする前にマウスをリンクの上に置いて、送信先を確認する。
  • 「うまい話」「秘密の投資機会」「医学的なアドバイス」などが持ちかけられたら、疑ってかかる。
  • 医療情報については、かかりつけの医師、米国疾病対策センター、地元の保健所などの信頼できる情報源に頼る。また、金融や税金に関する情報は、連邦取引委員会や内国歳入庁など監督機関からの情報を利用する。

再三、各所でアドバイスされているような内容なので目新しさは無い。しかし、2分に1件のペースで被害報告が行われているという現実を顧みれば、侮ることなかれである。

企業の存続にさえも影響する

オンラインでの詐欺行為を阻止した成功事例としては、インターポール(国際刑事警察機構)が主導して今年6月から9月までの期間で実施したコードネーム HAECHI-Ⅱ作戦*3がある。日本を含む20カ国の警察機関が連携し、1,660件の事件に関与した1,003人を逮捕、2,700万ドル(およそ30億円)の回収に成功した。

詐取された金銭が回収されたことで、800万ドルを詐取されたコロンビアの繊維会社は倒産の危機を免れている。 11月に米国の大手家電量販店で、店舗での商品が盗まれるといった窃盗事件(これはオンラインでの詐欺行為ではなく、店舗での窃盗という物理的な行為)が頻発したことを懸念し被害企業の株価が一時17%安となることも発生したが*4、このコロンビアの繊維会社での例のように、オンラインでの詐欺行為の被害が企業の存続に直接的な影響を与えるまでに発展することもままある。

いま一度立ち止まる

狙われるのは企業だけでなく、企業への投資を行っている投資家も狙われている。
11月に米国証券取引委員会(SEC)が投資家に向けて発行した注意喚起*5では、米国証券取引委員会を装った偽のメールや電話、ボイスメール、手紙などに気を付けるよう述べている。 その手口とは、標的とされた投資家の口座が不正取引に悪用されているので確認したいということで、保有株式、口座番号、暗証番号、パスワードなどを聞き出そうとするものである。 こうして冷静な時に聞けば怪しいことにも気付くことができるかもしれないが、その時の状況や信頼に足るような情報が提供された時には、その判断も難しいものとなるかもしれない。

これらの手口を見ていくと、どことなく類似性があるようにも思えてくる。11月には中国の研究者らが、ディープラーニング(深層学習)アルゴリズムを用いてフィッシング詐欺のウェブサイトを検出する方法を学会誌で発表した*6。13,000件ものフィッシング詐欺のウェブサイトを用いた実証実験で、99%の精度での検出が実証されたとのことである。
コロナ禍によって働き方が変わり、怪しいメールや電話が来ても隣の席の同僚に気軽に確認することが困難になった。そのような隙をも突く形で、「人」の脆弱性を狙った手口が大幅に増えている。
人工知能に学習させるためのコストも、専門家によっては年率50~70%低下しているとも言われており、コストの低下と被害事例の増加によって同僚の代わりに怪しいメールを教えてくれるような技術が登場するのも、そう遠い話ではないだろう。

とはいえ、今日明日でどうにかなる話というわけでもない。 この後開くメールのリンクをクリックする前に、いま一度立ち止まって確認されたい。


出典

*1 https://therecord.media/fbi-document-shows-what-data-can-be-obtained-from-encrypted-messaging-apps/

*2 https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf

*3 https://www.interpol.int/News-and-Events/News/2021/More-than-1-000-arrests-and-USD-27-million-intercepted-in-massive-financial-crime-crackdown

*4 https://www.bloomberg.co.jp/news/articles/2021-11-23/R3139MT0G1KW01

*5 https://www.investor.gov/introduction-investing/general-resources/news-alerts/alerts-bulletins/investor-alerts/beware-0

*6 http://www.inderscience.com/offer.php?id=119167

お問い合わせ

サイバーセキュリティアドバイザー
Corporate Risk and Broking

英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。


Contact us