先日、クローズアップ現代+を見ていたところ、「追跡!サイバー犯罪組織 コロナ禍の日本を狙う闇」というクレジットカード情報の悪用の実例とランサムウェア(身代金要求型ウイルス)の実例について、その犯罪組織に迫る内容が放送されていました。とても素晴らしい放送内容でした。ぜひご一読ください。
追跡!サイバー犯罪組織 コロナ禍の日本を狙う闇 – NHK クローズアップ現代+普段、個人・仕事でインターネットを利用していると、思ってもいなかったところからメールが届いて驚くことがしばしばあることと思います。一見、本物に見えるメールや、何だか少しおかしな日本語のメール、実在する人から送られてくるメールなど、一言で「怪しい(不審な)メール」といっても、さまざまなものが存在します。フィッシング詐欺メールや、標的型攻撃メールなど、さまざまです。
クローズアップ現代+で紹介されていたのは、メールによるフィッシング詐欺の事例でした。本物のように見える偽Webサイトに、決済情報を入力してしまったことが原因で、身に覚えのない決済に結びついていたのでした。
今回は、そうした怪しいメールが届いた時の対処を考えます。
コンテンツ
怪しい(不審な)メールの例
先日、別々のところでお勤めの二人から相談された怪しい(不審な)メールは、以下のような文章のものでした。
それが起こったのです。ゼロクリックの脆弱性と特別なコードを使用して、Webサイトを介してあなたのデバイスをハッキングしました。
私の正確なスキルを必要とする複雑なソフトウェア。このエクスプロイトは、特別に作成された一意のコードを使用してチェーンで機能し、このようなタイプの攻撃は検出されません。
Webサイトにアクセスしただけで感染してしまいましたが、残念なことに、私にとっては非常に容易いことです。
あなたは標的にされたのではなく、そのWebページを介してハッキングされた多くの不運な人々の一人になったのです。
これはすべて8月に起こりました。そのため、情報収集には十分な時間がありました。次に何が起こるかはもうご存知だと思います。
数ヶ月間、私のソフトウェアは、あなたの習慣、あなたが訪問するウェブサイト、ウェブ検索、あなたが送るテキストなどの情報を静かに収集していました。
他にもまだまだありますが、これがどれほど深刻であるかを理解していただくために、いくつかの理由を挙げました。
明確に言うと、私のソフトウェアはあなたのカメラとマイクも制御しました。(中略)
私の適切なコンサルティング料金は、ビットコインで送金される1750ドルです。 振込時の為替レート。
この金額をウォレットに送る必要があります BTC 154NAJRNKKg7s8fSQ95VeJUSw5WYv2Y2SM定められた料金は変更できません。2営業日以内に支払うものとされます。 支払いを受け取る事だけが重要です。
言うまでもなく、プライバシーを侵害されたく無ければ、誰かに助けを求めようとするのはやめてください。
支払いを受け取るまであなたの動きを全て監視しています。 契約の期限を守れば、二度と私から連絡が来ることはありません。どうぞ良い一日をお過ごしください。
受信した怪しいメールの本文より
これは金銭をとろうとするメールですが、金銭を支払う必要は無いと考えてよいでしょう。
メールが届いてしまったことは不幸なことですが、メール本文中のいう「私のソフトウェア」によって、あなたの情報が公開される実害には結びついていないと思います。また、このメールには URL リンクが無いので、どこか別の場所へのアクセスをせずに済みました。
こうしたメールを受け取ったら焦ると思うのですが、落ち着いて対処しましょう。
怪しい(不審な)メールを受け取ったら
気を付けてほしいこと
こうした怪しいメールを受け取ったら、まず気を付けてほしいことは、以下の通りです。クローズアップ現代+で、専門家のかたが話していた内容が含まれていて、その部分はほとんど同じことを書いています。
- メールを開封しない
開封せずに済むものであれば、開封しないでください。メールソフトで自動的にメールを開く機能(プレビュー機能)が設定されている場合は、この機能をオフにすることをお勧めします。
(セキュリティ漫画「エブリデイゼロデイ」では、ウイルス対策をしていない人(PCの擬人化)が、あまりやり取りしない人からのダイレクトメールを開くところから、マルウェアに感染する描写があります) - URL リンクを押さない
メールに記載されている URL リンクを押して、アクセスしないでください。公式サイトへのアクセスのように見えているリンクであっても、普段のブックマークから 又は 自ら検索してアクセスすることを強く勧めます。 - ログインを求めてくるもの・金銭を求めているもの・サポートを提供するものには応じない
何らかのウイルスにかかったことを理由に、ログインしてほしい・サポートするので連絡がほしい・お金が欲しいといった内容が書かれているものには、基本的に応じないでください。 - 添付ファイルを開かない
添付されているファイルをむやみに開かないでください。一見、ただの画像ファイル・テキストファイルのように見えているだけの可能性もあります。少しでも不審な点が感じられたら、送信元となっている人に送信した事実を確認を取った上で開きましょう。 - 「日本語がおかしい」は判断基準になりません
数年前であれば「何か日本語が変・おかしい」は暗黙の判断基準の一つになっていたので、海外からやってきた怪しいメールと判断できました。しかし、今は DeepL 翻訳などの翻訳ツールを使うと、完全とは言い切れなくてもそれなりに違和感がない翻訳文が書けます。「ちゃんとしてそうな日本語だから大丈夫」と判断するのは、危険です。
このほか情報処理推進機構 (IPA) では、「メールの見かけ上の送信者情報を安易に信じないで!」と説明しています。確かに、今回紹介した例のメールでは、送信元と宛先が同じアドレスになっている、不自然な状態でしたので、一つの判断の基準になります。
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構それでも気になったら
不安がぬぐえないようでしたら、警察、迷惑メール相談センターや各携帯電話会社の相談窓口、情報処理推進機構 (IPA) の 情報セキュリティ安心相談窓口 に相談してみましょう。
アカウントデータ漏えいが起きている?
さて、受け取った怪しいメールですが、攻撃者はメールアドレスをどのようにして知ったのでしょうか。
これまでいくつもの会社で発生している情報漏えい事故の際に、あなたのメールアドレスや電話番号などのアカウントデータ漏えいが起きている可能性があります。それを確認できる信頼のおける Web サイトをご紹介します。
Have I Been Pwned(HIBP)
一つ目は、「Have I Been Pwned(HIBP)」(私[私のアカウント情報 ] は、[第三者に]所有されてますか?」です。メールアドレス・電話番号を入力すると、それに紐づいたアカウント情報がネット上で流出していないかをチェックできます。オーストラリアの Webセキュリティコンサルタント・ Troy Hunt さんが作成したサイトです。
入力欄にメールアドレスか電話番号(国際番号フォーマットで)を入力して、pwned ? を押してみましょう。データ漏えいが無い(安全な)場合は緑色の表示が出ますが、漏えいがある場合は、赤く表示されます。私の会社のメールアドレスと、個人のメールアドレスで試したところ、個人のメールアドレスが赤く表示されました。
赤く表示された場合は、パスワード変更、二要素認証によるサインイン、メールアドレス変更などで、情報の変更を行いましょう(※二要素認証については、また改めて記事を書こうと思います)。
赤く表示された場合、データ漏えいを被った事故・事件の説明が表示されます。
私の個人メールアドレスは、Adobe、Dropbox、Peatix での事故・事件でデータ漏えいがあったことがわかります。それがいつ起きたもので、漏えいした情報が何なのかも書かれています。
Firefox Monitor
もう一つは、 Firefox Monitor です。Webブラウザ Firefox や メールソフト Thunderbird を開発している Mozilla によって開発されているサービスです。
Have I Been Pwned と同様に、メールアドレスを入力して「データ侵害を確認する」を押してみましょう。こちらは日本語で、その結果を表示します。
※チェックボックスにチェックを入れずに利用できます。書かれている内容は、「(ここで入力したメールアドレスの)個人情報が流出した際にメールで通知します」への同意です。
Firefox Monitor でも会社のメールアドレスではデータ侵害なし、個人のメールアドレスでは侵害ありと表示されました。侵害のサービス 3 つも、Have I Been Pwned と同様です。
個人情報漏えい事件・被害事例の確認
主に日本で起きた個人情報漏えい事件・被害事例を、一覧で確認できるサイトがあります。自分が登録した憶えのあるサービスを提供している企業などで、情報漏えい事件が起きた時に、確認をしてみましょう。
個人情報漏洩事件・被害事例一覧怪しい(不審な)メールを見極める練習はできる?
こうした怪しい(不審な)メールを見極める練習を、定期的に実施している企業があります。そうした訓練に懐疑的な意見も一部あるようですが、防災訓練として捉えて実施いただくとよいのではないかと思います。
訓練やっても意味がない!? ~標的型攻撃メール訓練をする理由 【第1回】目的編 | セキュリティ対策のラック個人で利用される方は、いろんなところで紹介している注意に目を向けてみましょう。
若い方の場合は、メールでのやり取りはほとんどされないと思いますが、その分、SMS での怪しいメッセージが多数来ていることと思います。基本的に気を付けることは同じですので、そちらの注意喚起もご覧ください。
フィッシング詐欺メールに焦点を当てて、更に詳しく技術的に学びたいという方には、TryHackMe の Phishing Email ルームでの学習をお勧めします。ルームは、2022 年 1 月 22 日現在で 5つあります。Phishing Email 1 から順に学ばれてはいかがでしょうか。
TryHackMe | Phishing Emails 1普段触れるものだからこそ
インターネットのサービスには普段皆さんが触れるものです。だからこそ、怪しいものの被害に遭わないように気を付けて、楽しく利用したいですね。