詐欺を防ぐには自分の”弱点”を知らなければいけない

驚くべき事に2020年、米国では220万件以上の詐欺事件が報告され、33億ドル近くの損失が出た様です。詐欺師やハッカーの攻撃を個人レベルで防ぐには、まずは自分の弱点（攻撃ポイント）を知る事が重要です。

www.foxnews.com

キタきつねの所感

Fox Newsが面白い記事を出していました。ハッカーが個人（関連する組織）攻撃する際に用いる”弱点”＝ソーシャルエンジニアリング手法に関する記事です。

７つの「セキュリティの秘密」（=警戒すべきポイント）が挙げられており、日本人も参考になる点が多いかと思いますので、ご紹介します。

1.私たちはあなたがあなたに対して投稿したものを使用します

あなたはあなたのとりとめのないものがスヌープやハッカーにどれだけ与えることができるかを理解していないかもしれません。これは、私たちの多くが、子供やペットなど、私たちにとって重要なものの名前を使用して、パスワードを作成したり、セキュリティの質問に答えたりするためです。

（Fox News記事より引用）※機械翻訳

まずは、SNSと言い切っても良いかも知れません。プロフィールにファンのスポーツクラブやアーティストを入れている方、愛犬の写真を名前付きで投稿している方、友達が「誕生日おめでとう」とメッセージを入れているのを公開している方・・・必要以上に情報を公開しすぎている方は留意すべきです。

その情報はパスワードに使われていませんか？

2.私たちは今信じられる詐欺メールを書くのが得意です

最も成功した詐欺のいくつかは、電子メールを介して行われます。それはあなたがすでに見つける方法を知っているすべてのナイジェリアの王子と他のトリックではありません。今日のハッカーはそれよりもはるかに賢いです。

大概の攻撃は、電子メール（SMS）を経由して発信されてきますが、既に自分の趣味や関心ごとがSNS等で”漏えいしている”場合、その成功率は格段に高まります。この手の攻撃を避けるには、添付ファイルやURLリンクをまずは「信じない」事が重要かと思います。

3.詳細については写真を精査しています

自撮り写真を撮ったり、犬のかわいい写真を撮ったりすることに集中していると、背景に何があるのかわからないことがあります。ホームオフィスで写真を撮ると、コンピューターの画面が表示される可能性があります。十分にズームインする人にはどのような秘密がありますか？

モザイクアプローチ的な手法が取れる事は、一般個人ではそうは無いかと思いますが、機微な情報を取り扱うポジションにある方や、魅力的な（加工）写真を全世界に公開している様な女性、芸能人の方々等は、写真に個人を特定される情報が映りこんでないかまで気にする必要がある時代です。

一番”危ない”のが位置情報（Exif情報）かと思います。最近は多くのSNSやブログ等で位置情報があっても自動的に削除するオプションがあるかと思いますが、そうした機能がONになっているかどうか確認する事は非常に重要です。

併せて、マンホールや電柱の看板、自動販売機などの住所表記、あるいは映り込んだ駅前などの街並みとGoogle ストリートビュー等を組み合わせて撮影位置を推測する手法がありますが、こうした手法に対して、スナップ写真などの投稿時に、敢えて「画質」（画素数＝サイズ）を落とす事も有効かと思います。

※以前、機微情報を読み取れるかを実験した事がありますが、”私には”判別はできませんでした。

foxsecurity.hatenablog.com

4.私たちはあなたをだますふりをする人を知っています

見知らぬ人からお金を要求するメールを受け取ったら、それをゴミ箱に捨てますよね？ただし、上司や人事部門からのものである場合は、真剣に受け止める可能性が高くなります。BEC、またはビジネス電子メールの侵害、攻撃はまさにその理由で広まっています。

BEC系の注意喚起ですね。日本だとBEC（ビジネスメール詐欺）は、あまり流行ってませんが、SMS詐欺でサービス料金が支払われていません、とかアカウントが侵害されました、といったばらまき型のフィッシングメールが来るのと対策は同じです。

メール本文の問い合わせ先を信じずに、「正規のソース（問い合わせ窓口や公式HP）」に問い合わせる事で、正規ルート確認をする事で、こうした”騙し”はかなり防げるかと思います。

5.私たちはあなたのネットワークの弱点を知っています

すべてのアカウントにとって安全なパスワードがいかに重要であるかをすでに思い出しましたが、ルーターについてはどうでしょうか。ルーターのセットアップ時にこれを変更したことがない場合は、今すぐ変更する必要があります。タップまたはクリックすると、ルーターのデフォルトのパスワードをすばやく簡単に見つけることができます。

テレワーク重視で、家からの仕事が続いている方は、要注意なポイントです。様々なサイトのID/パスワード管理をしっかりしていたとしても、経由しているWi-Fi等のネットワーク機器の「パスワード管理」が不十分だと、データ侵害を受けるリスクが上がってきます。

特に古いWi-Fiルータをご利用の方、例えば4月末にバッファロー社の古いルータ機器でパッチが出ない脆弱性が発表されています。

古いWi-Fi機器では初期パスワード固定になっているケースも多いかと思いますので、管理パスワードのチェック、あるいは・・・新しい機器への交換を検討されるべき頃かも知れません。

www.buffalo.jp

6.私たちはあなたを待つのに十分な忍耐力を持っています

ハッカーは、ゲームのプレイ方法を知っていて、あなたを彼らのトリックに陥らせるので、ハリウッド俳優でなければなりません。彼らは信じられないほどの強さを持っています。テクニカルサポート詐欺はこのように機能します。

テクニカルサポート詐欺は、日本ではそんなには聞きません。しかし、Web広告で「ウィルスを検知しました！」といったものが表示される様な事も含め、自作自演のウィルス検知や駆除ツール販売、あるいはライセンス未払いといった人の焦りを突く攻撃によって、偽のテクニカルサポートに連絡を迫られるリスクは誰にでも潜んでいると言っても過言ではないかと思います。

”コールセンター”に電話をかけると、相手も騙すプロですので、つい騙されてしまう方もいるかも知れませんので、電話をかけずに一度冷静になって、正規の連絡先（例えばマイクロソフトから”連絡”が来ているのであれば、マイクロソフトの正規のサポート口）に相談する、あるいは周りにいる”PCに詳しい方”に相談する習慣が大切かと思います。

7.私たちはあなたの古いアカウントに忍び込んでいます

未使用のアカウントはいくつありますか？これらは、もうプレイしないゲーム、ずっと前にキャンセルしたサービス、アクセスしたことがないメールアカウント用です。悪いニュース：彼らは賢いハッカーのための別の方法として役立ちます。

最後が個人的には一番”怖さ”を感じます。私も、正直ネット上で登録したアカウントがいくつあるか分かりません。こうした所で「パスワードの使い回し」をしている事は十分に考えられます。こうした古いアカウント情報が漏えいすると、重要なアカウントが侵害されてしまう”ヒント”になってしまう事は、十分にあり得ます。

Hava i Been Pwned等のサイトから”漏えい”サイトを見つける事も有効かと思いますが、既に利用してないサイトを定期的に棚卸して、アカウントを削除する事も良い習慣だと思います。

使わなくなったサイトを「知る」上で、私がよくやっているのが、販促メール（読んでないメルマガ）です。普段は迷惑メールフォルダに入っている事が多いメールの下の方には、大体において「アカウント停止」のリンクが出ているかと思います。どこに登録したか分からない場合は、こうした手法も”棚卸”手法の１つとして有効ではないでしょうか。

余談です。日曜日はキリスト教などの休息日という事もあり、海外セキュリティニュースもお休みな事が多いのですが、気が付くと今日もランサムの記事を取り上げようとしている自分に気づきました。

今週の記事を振り返ってみると、カード情報漏えい事件と週のまとめ記事はともかくとして、ほぼランサムの記事しか書いていません。

米国のコロニカル・パイプライン社のランサム被害があまりにインパクトがあったので、日本のマスコミも、”今まであまり取り上げてこられなかった”国内のランサム被害まで一気に報じた印象があります。

コロニカル・パイプライン社を襲ったDarkSideはどうやらサイトを閉鎖（逃走）した様ですので、一部の関連するランサムオペレータは活動を抑えてくるかと思いますが、現在活動的なランサムオペレータは常に30以上あると言われていますので、日本企業（海外拠点）が影響を受ける”リーク”は、今後も出てくるのかと思います。