BOOK

【要約】すぐそこにあるサイバーセキュリティーの罠。本のまとめ。


次の方を対象にしています!



スマホやパソコンが生活の一部になっています。便利だと思って使っているメールやWEBサイトには危険な罠がたくさんあります


どのような詐欺や攻撃があるのか、知っておくだけでも予防になります。


書籍「すぐそこにあるサイバーセキュリティーの罠」から一部内容の要約を伝えます。


参考:すぐそこにあるサイバーセキュリティーの罠



ブログや本を読むのが面倒な方は、聞き流せるAudibleがオススメ!無料で体験できます!
>> 詳細はこちら


\ 聞き流せる本!Audilbe無料体験期間中 /

好きな本を1冊無料でもらえる!アマゾン Audible 30日間 無料体験を試す

>> 詳しく知りたい方へ!Audibleで1冊無料でもらう方法を徹底解説


サイバーセキュリティーの罠 要約:誰もが狙われている。まとめ。


いまやメールアドレスやパスワードの流出は日常茶飯事です。


https://haveibeenpwned.com/ では過去に流出したメールアドレスや電話番号が検索できます。その数なんと106億件


しかも、このサイトでもすべての流出情報を扱えていないと言います。つまり、さらに多くの流出があることを意味します。


自分のメールアドレスを入力して「Oh no - pwned!」と表示されたら流出しています。


その場合、パスワードの変更を検討してください。サイト毎にパスワードを変えているのであれば影響は少ないと言えます。


流出した情報のうち有効な情報は0.4%ほどと言われています。


また最悪のパスワードとして知られるのは「123456」です。


このようなよく使われるパスワードの場合、「他人のパスワード」と「自分のメールアドレス」がマッチしてログインされてしまう、こともあります。


つまり、自分のパスワードは流出していないのに「よく使われるパスワード」だったためにログインされてしまうのです。

フィッシング詐欺

フィッシング詐欺は、企業などに成りすましたメールをして、偽のサイトへ誘導する詐欺です。


偽サイトは本物と見分けがつかないデザインになっており、そのサイトでIDとパスワードを入力することで入力情報を盗まれてしまうものです。


ID・パスワードが盗まれると勝手にログインされ、そこからさらに住所などの情報を盗まれたり、その人に成りすまして別に人にメッセージを送ったりします。


送られてきたメールのURLを見て本物かを確かめましょう。


https://www.yahoo.co.jp」が偽サイトの場合「https://www.yohoo.co.jp」のように異なります。(yahooの「a」が「o」になっている等)


注意して見ないと分かりません。そのためメールやLINE、DMなどに書かれたURLには注意しましょう。


さらに最近では、ID・パスワードを入力しなくてもOffice365を乗っ取られてしまう事件が発生しました。


これはOffice365にアプリをインストールするリンクを踏ませて、知らぬ間にアプリがインストールされます。


アプリを開いたときに「Accept(許可)」を選んでしまうと、アプリ経由でファイルやメールの情報が盗られてしまうものです。


この恐ろしいところは乗っ取られたことに気づいてパスワード変更をしても、アプリに権限を与えてしまっているためアクセスできてしまう点です。


許可していいか迷ったら「キャンセル」を選ぶようにしましょう。


\ 聞き流せる本!Audilbe無料体験期間中 /

好きな本を1冊無料でもらえる!アマゾン Audible 30日間 無料体験を試す

>> 詳しく知りたい方へ!Audibleで1冊無料でもらう方法を徹底解説


サイバーセキュリティーの罠 要約:コロナ禍の罠。まとめ。

コロナ禍につけ込むネット詐欺やサイバー攻撃が増えています。


たとえば、

  • マスク販売の偽サイト
    • 実在する企業に似せたURL(ドメイン)を使うことが多い
  • 偽ビデオ会議
    • ZOOMなどのビデオ会議の招待メールに見せかけて攻撃メールを送る手口
    • 「CHECK IN」や「参加する」などのボタンを押すと攻撃者が用意したWEBサイトに誘導される
  • 感染マップを利用した手口
    • 本物のウィルス感染マップにウィルスを仕込むパターン
    • オリジナル(本家)の感染マップを確認し、オリジナル以外は見ないようにする
  • WHOをかたるウィルス
    • WHOからのメールと見せかけてウィルスが添付されている
  • ビジネスメール詐欺
    • 何からの方法でメールを盗聴し、A社とB社の間でやりとりを行う。「A社⇔攻撃者⇔B社」の関係にする。
      「A社」に「B社のふりをした攻撃者」が「今年度から担当者が変わり、振込先も変わりました」などといいお金を振り込ませようとする。



上記以外にも、コロナに関連するサイトが1日あたり5000以上も登録される時期がありました。しかも、そのほとんどが危険性の高いサイト(詐欺や攻撃の可能性があるサイト)です。


その他、医療機関を狙うランサムウェアも相次いでいます。ランサムウェアは、企業のデータを見れない状態にして身代金を要求し、支払ったら元の状態に戻す手口です。


特に医療ではカルテなど患者データが見れないことは、患者の命にも関わるため、支払ってしまうケースも見られます。


\ 聞き流せる本!Audilbe無料体験期間中 /

好きな本を1冊無料でもらえる!アマゾン Audible 30日間 無料体験を試す

>> 詳しく知りたい方へ!Audibleで1冊無料でもらう方法を徹底解説


サイバーセキュリティーの罠 要約:テレワークの罠。まとめ。

テレワークが普及したことで企業はVPNを取り入れました。自宅と会社のサーバーを接続する場合、通信を盗聴されてしまう恐れがあります。そこでVPNを導入し、自宅と会社間で暗号化されたセキュアな通信を行います。


VPNは、バーチャルプライベートネットワークの略です。VPN接続していれば第三者が通信を見れません。しかし、最近ではVPNを使うときに利用するVPNサーバーが狙われるケースがあります。


VPNを利用する場合は、VPNサーバーを経由して会社のネットワークへ接続します。


VPNサーバーをハッキングされてしまうと、社内ネットワークまで入られてしまいます。特に狙われやすいのは脆弱性を修正するプログラム(パッチ)を適応していないサーバーです。


大事なことは脆弱性の修正プログラムをすぐに適応すること、侵入されていないか監視することです。


ビッシング

ビッシングとは電話を使ったフィッシング詐欺です。以前は偽のネットバンキングに誘導して暗証番号を入力させる手口でした。


現在はテレワークが普及したことで、偽のVPNサーバーを用意しパスワードを入力させようとします。


新入社員は狙われやすく携帯電話に「IT部門の◯◯です。VPNが新しくなり現在のが使えなくなるため、こちらのサイトに登録しなおしてください」のように誘導され、ID・パスワードが盗まれます。


知らない人からの電話やメールは「信用しないこと」が大切です。


SLUB

SLUB(スラブ)はWEBサイトを経由して感染するウィルスです。


攻撃者は多くのユーザがアクセスする一般のWEBサイトに攻撃コードを埋め込んでおきます。


アクセスしただけで脆弱性のあるコンピュータはSLUB(ウィルス)がダウンロードされ実行されます。


SLUBは、Github(ソフトウェア開発のプラットフォーム)から命令を取得し、実行します。


たとえば、「パソコン内のファイルをどこかのサイトへアップロード」や「どこかへ爆破予告」など。


さらに、実行命令を出すときにTwitterなど一般に使われているサービスが発動条件になることもあります。


SLUB(ウィルス)がTwitterのツイートを定期的に監視し、Twitterに◯◯と書き込まれたら実行するプログラムを仕込むことが可能です。


この場合、通信を監視していてもTwitterの通信であれば正常と思いウィルス感染を疑わない可能性があります。


\ 聞き流せる本!Audilbe無料体験期間中 /

好きな本を1冊無料でもらえる!アマゾン Audible 30日間 無料体験を試す

>> 詳しく知りたい方へ!Audibleで1冊無料でもらう方法を徹底解説


サイバーセキュリティーの罠 要約:ランサムウェアの罠。まとめ。

先程も説明したようにランサムウェアは、コンピュータに保存されたデータを暗号化して使用不可にした状態で、お金を要求し、支払ったら元の状態にする手口です。


ランサムとは英語で「身代金」の意味です。

  • コンピュータ(サーバー)に不正侵入した攻撃者によってランサムウェアを仕込む
  • コンピュータ内のデータを暗号化(誰も見れない状態にする)
  • 脅迫メッセージを表示(元に戻したければビットコインで100万払え。など)


ランサムウェアが相次いだことでデータのバックアップをとる企業が増えました。攻撃者は次の手として、データを外部へ公開すると脅すようになったのです。


たとえば医療機関のデータがランサムウェアに感染し、患者のカルテや個人情報を世界に公表するとなったら大変なことです。


この場合、お金を払って公表されなかったとしても攻撃者が手元にあるデータを消すとは限りません。


さらに2020年には盗んだデータをオークションにかける犯行もありました。


データを盗まれたら、交渉の余地はないと思っておいた方がよいでしょう。


\ 聞き流せる本!Audilbe無料体験期間中 /

好きな本を1冊無料でもらえる!アマゾン Audible 30日間 無料体験を試す

>> 詳しく知りたい方へ!Audibleで1冊無料でもらう方法を徹底解説


サイバーセキュリティーの罠 要約:メールにもスマホにもメッセージにもパソコンにも罠。まとめ。

クラウドメール

企業のメールはクラウド化が進んでいるOffice365やGmailを使っている企業は多いのではないだろうか。


そこで問題となるのは、どこからでもID・パスワードでログインできることです。


セキュリティを高めるため、ID・パスワードに加えてSMS認証するなど多要素認証を導入するのも手です。


その他にもAzure Active Directoryと呼ばれる企業のユーザ管理システムを使うのも良いでしょう。


ID・パスワードだけではセキュリティ的に不十分なため何かしら対策が必要です。


ビジネスメール詐欺

巧妙な手口が多数報告されており、その一つがビジネスメール詐欺です。


何からの方法で、A社とB社のやりとりを盗聴します。どちらにも気づかれないように「A社⇔攻撃者⇔B社」の関係にします。


「A社」に「B社のふりをした攻撃者」が「今年度から担当者が変わり、振込先も変わりました」などといいお金を振り込ませようとする詐欺です。


振込先の変更を要求されたら要注意です。


手口としては、「価格を変えましたので、先日の見積書は破棄してください」のような内容でメールしつつ、見積書の振込先も変更してしまう、などの巧妙なものもあります。


裁判所を偽ったメール

裁判所や法律事務所を偽って「あなたは訴えられています」とウィルスを添付したメールをしてくるケースがあります。


また、メールに書かれている番号に連絡しないと、訴訟や差し押さえなどを執行する、と書かれていることもあります。


このようなメールを受信しても添付ファイルを開いたり、連絡先に連絡したり振り込んだりしないようにしましょう。


脅迫メール

脅迫メールの内容は様々です。たとえば「あなたの恥ずかしい姿を盗撮した」「あなたの命を狙っている」など。


ユーチューバやブロガーを狙ったものもあります。


大量のボット(自動でサイトにアクセスするロボット)で対象サイトにアクセスし、そのサイトに張られた広告を表示したりクリックしたりする手口です。


「お金を支払えば攻撃しない」という脅迫です。


サイト運営者は、サイトに広告が表示されたり、クリックされることで広告主からお金をもらいます。しかし、不正に表示したり、不正にクリックされた場合、広告を停止させられる可能性があります。


広告が停止されるとサイト運営者は収入がなくなるため一大事です。


ユーチューバも同じです。動画の途中に広告が表示されることで1再生XX円となりますが、広告が表示できなければ収入はありません(メンバーシップやスパチャ等を除く)。


このような脅迫詐欺があります。


不在通知SMS

SMS(ショートメッセージ)で佐川急便や日本郵政、クロネコヤマト、Amazonなどを装った不在通知をする手口です。


再配達のURLをクリックすると、なぜかAppleIDを入力されたり、なにかしらの情報を抜きとろうとします。


不在通知を安易に信用してはいけません。

スマホに「ウィルス感染」の警告を表示

iPhoneのカレンダーに「ウィルスに感染している可能性があります」という予定を追加する手口があります。


対象者のカレンダーに予定を追加しておき、予定が近づくとユーザの画面に「ウィルス感染」と表示させることができます。


この時点ではウィルスには感染していません。しかし、慌てたユーザは冷静な判断ができず書いてあるURLにアクセスしてしまう可能性があります。


見覚えのない予定が登録されたらキャンセルしましょう。

海外から謎の電話

海外から個人の携帯電話でワン切りで電話をかけてきます。ワン切りとは1〜2回の呼び出しで相手が出る前に電話を切ることです。


相手に折り返し電話をかけさせる手口です。


攻撃者のメリットは海外の電話会社と協力して、日本→他国へ国際電話を大量にかけさせることで電話料金を得ることです。


知らない番号からの電話は無視しましょう。


\ 聞き流せる本!Audilbe無料体験期間中 /

好きな本を1冊無料でもらえる!アマゾン Audible 30日間 無料体験を試す

>> 詳しく知りたい方へ!Audibleで1冊無料でもらう方法を徹底解説


サイバーセキュリティーの罠 要約:パスワードの罠。まとめ。

パスワードの142個に1つは「123456」です。最も使ってはいけないパスワードです。


次の30個は、よく使われるパスワードです。この一覧にあるパスワードは設定しないようにしましょう。設定している場合はパスワードを変更してください。

  • 123456
  • 123456789
  • password
  • qwerty
  • 12345678
  • 12345
  • 123123
  • 111111
  • 1234
  • 1234567890
  • 1234567
  • abc123
  • 1q2w3e4r5t
  • q1w2e3r4t5y6
  • iloveyou
  • 123
  • 0
  • 123321
  • 1q2w3e4r
  • qwertyuiop
  • yuantuo2012
  • 654321
  • qwerty123
  • 1qaz2wsx3edc
  • password1
  • 1qaz2wsx
  • 66666
  • dragon
  • ashley
  • princess


PPAP

パスワード付きファイルをメールに添付して送り、パスワードを別のメールで送ることをPPAPといいます。

  • Password付きZIP暗号化ファイルを送る
  • Passwordを別メールで送る
  • Aん号化(暗号化)
  • Protocol


この頭文字をとってPPAP。このPPAPが問題視されています。


問題点は、ファイルは圧縮されているため中にウィするが含まれていても検知できません。また、PPAPが当たり前になっているため疑いなくファイルを開いてしまうことです。


さらに重要度が低いファイルでもパスワードをかけたり、受信したファイルはパスワードがないと開けなかったりと手間が多いのも事実です。


PPAPのメリットもあります。

  • 誤送信防止:宛先を間違えて送信しても内容を知られない。ただし、宛先を間違えた相手にパスワードも送ってしまった場合はアウト
  • 盗聴防止:暗号化されているため盗聴されても中身がわからない。ただし、パスワードも盗聴されたら中身がわかってしまう


メリット・デメリットがあるため、どうするかはユーザ次第です。


\ 聞き流せる本!Audilbe無料体験期間中 /

好きな本を1冊無料でもらえる!アマゾン Audible 30日間 無料体験を試す

>> 詳しく知りたい方へ!Audibleで1冊無料でもらう方法を徹底解説


サイバーセキュリティーの罠 要約:あなたの心に潜む罠。まとめ。

セクストーションと呼ばれる「セックスとエクストーション(脅迫)を合わせた造語」があります。


性的な話題に人は弱く、脅迫の材料としてはうってつけです。


「恥ずかしい姿を撮影したと脅す」「恥ずかしい会話を公開すると脅す」などです。


たとえば、不倫サイトで女性になりすまして男性に近づき、恥ずかしい何かをさせて画像や映像、音声を記録し、それを元に脅迫するものです。


やましいことをしないのが対策になります。


また10年前から「当選金を受け取る準備ができました」のような詐欺メールも相次いでいます。10年もの間続いているのは騙される人が後をたたないためです。


  • 「相談に乗るだけで報酬がもらえる」「自宅でかんたんに稼げる」などとうたうサイトに注意
  • メールやメッセージで「◯◯円が当選した」など簡単にお金をもらえる話をされても返信しない
  • やりとりをしている相手を容易に信用しない
  • トラブルに遭ったと感じた場合は、消費生活センターに相談する(電話番号は188)



\ 聞き流せる本!Audilbe無料体験期間中 /

好きな本を1冊無料でもらえる!アマゾン Audible 30日間 無料体験を試す

>> 詳しく知りたい方へ!Audibleで1冊無料でもらう方法を徹底解説


サイバーセキュリティーの罠 要約:未来のAIの罠。まとめ。



スマートスピーカー(アレクサ)に大手航空会社のサポートセンターの番号をしらべて電話をかけました。自分が搭乗する予定の飛行機の座席を変更するためです。


しかし、つながったのは詐欺師が容易していた偽のサポートセンターでした。詐欺師は特別なプロモーションがあるといいお金をだまし取ろうとしていました。


検索エンジン(Googleなど)で偽のサポートセンターの電話番号を検索上位あると騙される可能性があります。


ワンクリック詐欺

サイト上の画像や動画をクリックすると、ファイルに見せかけたウィルスがダウンロード・実行される、すると請求画面が表示される詐欺です。


ワンクリックだけで実行までされます。特にアダルトサイトで多いので気をつけてください。


その他

AIを活用するとことで、次のようなことでも情報が漏れてしまうこともあります。

  • ビデオ会議での視線や腕などの微妙な動きからキーボードの入力を予想できる
  • 部屋の電球のわずかな光の振動を観測することで盗聴できる
  • スマホのタップ音から暗証番号がわかる



まだ精度が低いのですが、今後の技術の発展で正確性が増していく可能性があります。


\ 聞き流せる本!Audilbe無料体験期間中 /

好きな本を1冊無料でもらえる!アマゾン Audible 30日間 無料体験を試す

>> 詳しく知りたい方へ!Audibleで1冊無料でもらう方法を徹底解説


サイバーセキュリティーの罠 要約:あなたを狙う悪いやつら。まとめ。



インターネットに存在するWEBサイトは、「サーフェスウェブ」「ディープウェブ」に分かれます。


私たちがアクセスできるのは基本的には「サーフェスウェブ」です。Googleなどの検索エンジンなどで探せるサイトです。


パスワードやURLを知っている人のみが入れるサイトが「ディープウェブ」になります。


さらに特殊なソフトを使わないとアクセスできない場所を「ダークウェブ」を呼びます。


ダークウェブは関係者以外アクセスできないため、犯罪の巣窟になっています。違法なものが多く取引させています。


このようなサイトにアクセスできる人たちが企業やあなたを狙っているかもしれません。


以上になります。


セキュリティ意識を高めるキッカケになればと思います。

参考:すぐそこにあるサイバーセキュリティーの罠



ブログや本を読むのが面倒な方は、聞き流せるAudibleがオススメ!無料で体験できます!
>> 詳細はこちら


\ 聞き流せる本!Audilbe無料体験期間中 /

好きな本を1冊無料でもらえる!アマゾン Audible 30日間 無料体験を試す

>> 詳しく知りたい方へ!Audibleで1冊無料でもらう方法を徹底解説


  • この記事を書いた人

おやすみドリー

本の要約をする人 | 年間100冊は本を読む | Audible(オーディオブック)、kindle(電子書籍)など読書方法を紹介 | 良い本をたくさんの人に届けたい | ビジネス書・マーケティング・自己啓発・小説を幅広くインプット | ビジネス関連・忘れない読書方法・文章の書き方なども発信中

-BOOK