あなたを狙うサイバー攻撃 ─リモートワークをする際に絶対にやってはいけないこと─

　情報化社会における新たな脅威として、巧妙化が進むサイバー攻撃。ターゲットは国家や企業のみならず、我々一般人もつねに危険に晒され続けているという。

　では、リモートワークが増えている今、個人がパソコンやスマホを利用する際はどのような点に気をつければいいのだろうか？　前回に引き続き、サイバーセキュリティに詳しい国際ジャーナリスト・山田敏弘氏に注意点をうかがった。

──個人に対するサイバー攻撃はどのような手口で行われるのでしょうか？

　最も多いのは「フィッシング系」です。業者などを騙ったメールやショートメッセージ（SMS）などを不特定多数に送り、リンクをクリックさせることでマルウェアを感染させたり、個人情報などを入力させたりする手口です。

　こうしたメールがサイバー攻撃だという意識は薄く、興味本位でクリックしてしまう人は意外と多い。たとえば、2018年に日本人46万人に対し、東京オリンピックに関連した内容を騙ったスピアフィッシングメールが送信されたことがありました。メールの本文が不自然な日本語で、一目で「アヤシイ」とわかる内容でした。ところが、46万人のうち3万人以上がメールに記載されたURLをクリックし、マルウェアに感染してしまったのです。

　また、私の知人はフィッシングメールによるランサムウェアに感染し、仕事中に突然パソコンが使えなくなったことがありました。運の悪いことに、使えなくなったのは仕事の納期を直前に控えたタイミングです。焦った彼が画面に表示された連作先に電話したところ、応対したのはカタコトの日本語を操る人物だったそうです。その後、彼は相手の指示に従って数万円を入金し、無事にパソコンのロックを解除してもらえたのですが、これは運の良いケースと言えるでしょう。入金させるだけさせて、パソコンを解除しない悪質な組織も多いですからね。

　国家系の敏腕ハッカーならば、相手がメールやSMSを受け取った時点で感染してしまうような恐ろしい攻撃ツールを使うこともあります。しかし、個人がターゲットになることは少ないので、注意すべきは心当たりのない相手からのメール。こうしたメールが届いても、不用意にリンクや添付ファイルをクリックしないことです。

──最近は実在の金融機関やショッピングサイトを騙った本物そっくりのメールが送られてくることもあります。見分け方や注意する点は？

　パスワードなど個人情報の再登録を促すようなメールは、すべて無視するのが賢明です。どうしても気になるのなら、メールのリンクを経由せずに該当するサイトにアクセスしましょう。WEBブラウザの検索サイトからサイト名を直接入力して訪問し、そのサイトにIDとパスワードを入力して確認するんです。

　面倒だと感じるかもしれません。しかし、ワンクリックでログインやアクセスできることに慣れすぎると、メール経由でも気軽にリンク先をクリックする習慣が身についてしまうので、気をつけなくてはいけません。

──個人はそのようにして盗まれる、ということでしょうか。

　そうです。前回、ダークウェブでは攻撃ツールなどが取引されていると説明しましたが、同じく盗まれた個人情報も大量に出回っています。セキュリティが強まっている近年、大手サイトから情報が漏れるケースは減っていますが、過去に何気なく登録したメルマガなどから情報が流出している可能性があります。

　そのことを考えた際、気をつけたいのはパスワードの管理です。とくに、異なるサイトで同じパスワードを使い回している人は本当に危険です。サイバー攻撃のひとつに「パスワードリスト攻撃」と呼ばれる手口があります。これは、不正入手したID・メールアドレス・パスワードなどをあらゆるオンラインサービスのログイン画面で入力していき、不正アクセスを試みる攻撃です。

　この攻撃でショッピングサイトや金融機関に不正アクセスされれば、クレジットカードを悪用されたり、口座預金が奪われたりする恐れがあります。Amazonと楽天、Yahoo!で同じIDとパスワードを使っているという人も多いのではないでしょうか。

　パスワードを使い回している人は、多少めんどうでもいますぐに登録サイトすべてのパスワードを異なるものに変更するべきです。

──現在はテレワークをしている人が増えていますが、個人へのサイバー攻撃が増えるなか、在宅勤務で注意することはなんでしょう？

　自宅のパソコンから会社のパソコンへとアクセスする場合、セキュリティ意識の高い企業なら、セキュリティは会社が採用しているリモートアクセスサービス次第なので、個人で注意できることは少ないかもしれません。私物のパソコンそのものがハッキングされないよう、すでに述べたフィッシングメールなどに騙されないことが重要です。

　ただし、外出先で仕事する際はフリーWi-Fiを絶対に使わないようにしましょう。フリーWi-Fiは誰でもアクセス可能で、ハッカーも提供側のサーバーに侵入しやすい。ハッカーが本物に似せたWi-Fiを仕掛けていることもあり得る。侵入されれば、フリーWi-Fi利用者のメール内容や個人情報などが盗まれる可能性があり、社外秘のやりとりも漏洩する可能性があります。現在、外出自粛が呼びかけられている状況下のため、利用者は少ないかもしれませんが、同様の理由でカフェなどで利用できるフリーWi-Fiも危険です。

　外出先から緊急のメールを送信するなど、どうしてもフリーWi-Fiを利用せざるを得ないときは「VPN（ヴァーチャル・プライベート・ネットワーク）」がお勧めです。VPNを使えば、自分のパソコンとアクセス先に暗号化されたプライベートネットワークを構築し、悪意ある第三者からの覗き見を防ぐことができます。

──テレワークによってビデオ会議ソフトの利用も増えているが、何に気をつければいい？

　ネットを介したビデオ会議室では、これまでリアルの会議室で行われていた社外秘の情報が、一定のオープンな状況下でやりとりされていると認識するべきです。

　重要な情報を持っている人物や企業はハッカーからも狙われやすいため、ビデオ会議が増えるなか、今後はより特定の人が狙われるケースが増えると予想されます。手口としてはメールを介した侵入が多いので、やはりフィッシングメールに気をつけることが重要です。メールが監視されてしまえば、ビデオ会議に利用するリンクなども盗み見ることができ、簡単にビデオ会議に侵入できてしまいますからね。

　ダーク（闇）ウェブでは、人気ビデオ会議アプリのIDやパスワードが大量に漏洩しているのが確認されています。機密性の高い情報を会議で扱う場合はさらなる注意が必要です。

　また、近年は上司や同僚を装ったメールも増えているので非常に危険です。手口はシンプルで、会社のドメインの綴り一字違いなど、酷似したドメインを取得して標的にメールを送るだけです。一見すると上司のメアドとも思える相手から「至急、この資料に目を通しておいて」といったメールが届けば、反射的に添付ファイルをクリックしてしまう人は多いでしょう。しかし、この添付ファイルが攻撃ツールとなっていて、クリックしたら最後。上司と標的のメールアドレスさえ知っていれば、簡単に実行できてしまうサイバー攻撃です。

　さきほどランサムウェアに感染した知人の例を紹介しましたが、総じて人は焦っているときほどセキュリティ意識が低下する傾向にあります。緊急性の高い業務を行う際は、偽メールに気づかないことが多いので要注意です。

──一部のビデオ会議ソフトでは脆弱性も指摘されています。ソフト自体のセキュリティは大丈夫なのでしょうか？

　たとえば、ビデオ会議ソフト「ZOOM」は、第三者が会議に侵入する事件が多数発生しました。脆弱性も見つかりましたが、当然ながら開発元も修正するので改善されます。ですが、ソフトを利用する上では、サーバーが置かれている国にも注意するべきです。

　実はZOOMの開発企業の創業者は中国人で、サーバーは中国にも置かれています。しばしば「インターネットは国境がない」と言われていますが、実はそうでもなくて、サーバーが置かれている国によっては、その国家がサーバーにアクセスすることができるのです。

　中国では国家情報法とインターネット法が制定されていて、中国国内にある企業は政府の要請があれば情報を提示する義務があります。つまり、中国にサーバーが置かれているZOOMも、中国政府が情報を見ようと思えば見られる環境にあるわけです。イギリスのジョンソン首相が新型コロナウイルスに感染して入院していたとき、ZOOMを利用して閣僚会議が行われていたそうです。私としては、閣僚会議にZOOMを使っていいのかと心配になりました。

　ZOOMについては、欧米のIT企業や自動車メーカーが使用を禁じていたり、台湾が政府として使用禁止にしています。インド政府も使用注意の勧告を出しています。

──サーバーが他国にあるとしたら、ビデオ会議ソフトに限らず、娯楽目的で個人が使うようなスマホアプリも危険？

　その通りです。現在、数え切れないほどのアプリがリリースされていますが、安易に出所不明の新アプリに飛びつかない方がいいでしょう。スマホの多機能化、高性能化が進み、私物のスマホでも一定の業務を行うことが可能です。私用でダウンロードしたアプリが原因で、個人情報はもちろん、社外に機密が流出してしまうリスクがあることを十分に理解しておく必要があるのです。