“狙われる消費者”年末年始のネットショッピングはサイバー犯罪者にとって格好のターゲット

EMCジャパン株式会社は、ブラックフライデー、サイバーマンデー、クリスマスや新年といったショッピングイベントが連なる11月から年末年始の時期に、サーバーセキュリティの面で特に一般ユーザーが気を付けるべき点につきとりまとめ、その内容を公表した。

ECとスマホを狙うサイバー犯罪者

EMCジャパンによれば、全米小売業協会のデータを引用し、2018年のホリデーシーズンの買い物は、一年の中でも特に消費者の財布の紐が緩む時期だと指摘している。なかでも2桁成長が予想されるのはEコマース、特にMコマース（モバイルコマース）だ。

モバイルショッピングは32％増と予想されており、Eコマース全体の売上の半分近くを占めるとみられている。2018年第3四半期の詐欺行為の73％がモバイルチャネルで行われていたことを考えると、モバイルベースのショッピングへの転換は、サイバー犯罪者にとってむしろ好ましい要素だという。

同社はRSA（RSA® Anti-Fraud Command Center、200名以上のフロード・アナリストが24時間365日体制で数カ国語を駆使し、マルウェア解析、犯罪手口の解明に従事している不正対策指令センター）が出している内容を引用し、ダークウェブと一般のサイトで調査したサイバー犯罪行為に関する実態から、サイバー犯罪者がよく利用する手口と理由を挙げ、これに対して消費者向けのアドバイスを紹介した。RSAは、ここに挙げた5つの手口は2019年にも引き続き、活用されると予測している。

サイバー犯罪者の攻撃から身を守るための方法

◆1.パスワードの使いまわしを止める

データ漏洩の発覚後にパスワードを更新する消費者は、たった28％だ。この少なさゆえ、詐欺師にとってアカウントの乗っ取りが極めて容易になる。

セキュリティとプライバシーの急所とは、パスワードの脆弱さ、推測しやすさ、そしてオンラインショップからeメールのアカウント、さらにはソーシャルメディアのアカウントまで、デジタル世界全体で同じ認証情報を使いまわしている人が多いという点だ。

大規模な情報漏洩の発生後、サイバー犯罪者が盗んだ認証情報をPastebin（テキストデータを保存、公開できるサービス）やダークウェブのフォーラム、ソーシャルメディア等に投稿することは珍しくない。こうして認証情報は次の犯罪者の手に渡るのだ。

同社は、そうならないためにも、生体認証を取り入れたデバイスやサービスが普及し始めており、可能ならば利用すべきだと指摘している。もしパスワードしか選択肢がない場合は、たやすくサイバー犯罪の被害者にならないために、どんなに不便だとしても同一のユーザー名とパスワードの組み合わせを使いまわすことは避けるべきだろう。

全てのパスワードを記憶するのが難しいようであれば、パスワードマネージャー（IDやパスワードの管理ツール）の利用も検討に値する。犯罪者にとってデータの価値がより高いサイト（例えば、銀行の口座情報や健康記録など）では、パスワード情報を解析されないように、強固で複雑、そしてユニークなものにした方がより良いだろう。

◆2.個人情報の公開に注意する

1分間で21人が詐欺に遭っている。原因は、ソーシャルメディア上での過度な情報公開だ。家族や友人、同僚があなたに連絡を取るための手段として、自身の個人情報を公開することは良い方法のように思える。

しかしながら、個人情報（生年月日、出身地、母校、勤務先）を過度に公開してしまうと、それがなりすましを行うサイバー犯罪者にとって、恰好の標的になり得る。特に昨今は、他人の名前を使って新規に口座開設する、新規口座詐欺が横行している。

また多くの組織が、個人の本人確認の際に依然としてこれまでと同じような経歴情報に依存しているため、サイバー犯罪者はSNSで得た情報を利用して口座のパスワードを変更してしまうのだ。

それを避けるためにも、ソーシャルメディアではプロフィールの公開は最低限にし、面識のある友人や家族に限定するのが良いだろう。個人を容易に特定できるような情報を過度に公開したり、拡散したりしないよう、十分に注意する必要がある。

◆3.アカウントを乗っ取りから守る

フィッシング詐欺は、2018年の第3四半期には全詐欺攻撃中の50％を占め、フィッシングの総件数は70％も増加した。詐欺師がサイバーマンデーやホリデーショッピングシーズン中に詐欺を行うために新たな認証情報を収集しようとしていることから、フィッシングは依然としてデジタルチャネルにおける主要な攻撃となっている。

貧弱なサイバー防御態勢では、数百万人が影響を受ける。出所が不明、あるいは知らないソース（メールの添付ファイルやネット広告など）を不用意にクリックすると、マルウェアがデバイス、さらにはネットワークに拡散される可能性がある。そこから、サイバー犯罪者は極めて重要な情報を得ることができ、被害者が知らないうちに、その情報をもとにしてアカウントの乗っ取りや個人情報の盗難を実行するのだ。

そのため、メールでは知っている人や信頼できる送付元からの添付ファイルのみ開くことが重要となる。オンラインでは、華やかな広告や非常に魅力的な宣伝にとびつく前に、それが信頼できるものかよく考えるべきだろう。疑わしいときは、ページを開いたりクリックしたりしないのが一番だ。

◆4.不正なモバイルアプリをダウンロードしない

RSAは、2018年の上半期で17,000以上の不正なモバイルアプリを検出しており、詐欺攻撃全体の28％を占めている。この種の攻撃が増加しているということは、サイバー犯罪者がモバイルのデバイスにマルウェアをインストールする方法として、この方法をより広く採用していることを示している。

アプリをダウンロードする前に、そのアプリが提示するパーミッションを毎回読んでいる消費者は、たったの35％にすぎない。アプリには合法的なアプリの偽造版として公開されているものもあるのだ。パーミッションを読むことを怠ると、犯罪者が決済情報やユーザー名、パスワードを盗むためにスパイウェアやウイルス、トロイの木馬などをデバイスにインストールしてしまう可能性がある。

デバイスにはアンチウィルス・ソフトウェアをインストールしてあるからと安易に考えず、アプリプロファイルのパーミッションを読むことが重要だ。そしてアクセス先がそのサービスにとって妥当であることを必ず確認すべきだろう。

◆5.クレジットカード情報を不用意に保管しない

サイバー犯罪者は、不正・不法な方法で金銭的な利得を狙うことも多い。米国では、eコマースの不正取引の平均価格（$403）は、合法的な取引（$221）のほぼ2倍だ。連邦準備制度理事会によると、不正な非対面取引は2015年～2016年の間に31％増加した。

詐欺による損失は、2015年の34億ドルから2016年には46億ドル近くにまで増加している。カード提示式取引のEMV基準の実装により、POSでの詐欺は減少したが、代わりにオンラインチャネルでの詐欺が増加した。eコマースの取引による詐欺リスクを管理するためには、カード発行会社、決済処理業者、小売業者による3D Secure 2.0プロトコルの採用が不可欠だとしている。

決済情報をeコマース取引サイトに残すことは、非常に便利だが、たとえそれが安全で信頼できるサイトだとしても、ユーザー自身がリスクにさらされることになる。小売業者がデータ漏洩の被害に遭った場合、個人の決済情報が不正にアクセスされ、窃取されて犯罪市場で販売される可能性がある。さらに、複数のサイトでパスワードを使いまわすという消費者の傾向を悪用して、サイバー犯罪者は他のサイトにもアクセスできることを期待し、盗んだ認証情報を複数のサイトで試すことが頻繁にあるのだ。

予防策としては、利便性より安全性を優先させることに尽きる。次回オンラインで購入するときは「ゲスト」としてチェックアウトするか、少なくとも、「今後のショッピングのためにアカウントに決済カード情報を保存する」というオプションを選択しない方がいいだろう。ゲストアカウントを使用すると、個人情報データの大部分は業者のサーバーに保存されないことが通常だからだ。

年末年始こそセキュリティ面での注意を

同社が指摘するように、EC市場で展開される11月から年末年始の各ショッピングイベントは、毎年活況の度合いを増しているが、一方でサイバー犯罪者が暗躍する時期でもある。

消費者にとっては、1年の中でも特にネットショッピングを楽しめる季節でもあるが、その「お祭り」の雰囲気の中で、ついついセキュリティの面でも気が緩みがちになるという面もあるだろう。

しかし重要なポイントを押さえることで、安全性はより高められる。年末年始は、楽しい買い物体験をする上でも、今一度、自身のネットセキュリティの状況について点検するには良い時期なのではないだろうか。