他人を見たら泥棒と思え!サイバーセキュリティ月間なので改めて実例から注意ポイントをご紹介

他人を見たら泥棒と思え!サイバーセキュリティ月間なので改めて実例から注意ポイントをご紹介

システム屋なのでセキュリティも勉強させられている みかん(@tangerine_buddy)です。世知辛い世の中なので、情報システムやインターネット、メールなどでは「性悪説」が基本です。他人を見たら泥棒だと思え!で臨むべし、です。悪人の仕業で人生壊しますから。

わたしが実際に経験した事柄や取り組んでいることなどを紹介します。ちなみに2月1日から3月18日までは内閣府が主導で「サイバーセキュリティ月間」として啓もう活動をしております。

みんなでしっかりサイバーセキュリティ

 

怪しいメールのリンクはクリックしない!

イロハのイですが、怪しいメールのリンク(URL)は絶対にクリックしてはいけません。最近は、怪しいかどうか分からない、一見、公式メールっぽいのもあるのでご注意を。リンク先のサイトでログインIDやパスワード、クレジットカード番号などを入力するように仕込まれて情報を引っこ抜かれます。フィッシング詐欺というやつです。

・東京三菱UFJニコス銀行

わたしのところに架空の銀行からメール来ましたよ。こんな銀行無いっての。もちろんすぐに削除。好奇心からクリックしてみようかなって思ったけど、やっぱりやめときました。でも、これはまだ良心的な犯罪者ですね。

・Apple公式サイトからっぽいメール

これは巧妙でした。Appleから、Apple IDの確認ですみたいなメールが来まして。そういえば、Apple IDのパスワードをずいぶんと変えてなかったーって思って送信元のアドレスを見たら明らかにランダムなメアド。これも削除。これも良心的な犯罪者ですね。

・FinTech推進検討事務局からのメール

これは添付ファイル付きでした。メールのシグネチャ(文末の署名)は東京都千代田区の住所で担当者名と電話番号まで記載あり。わたしだけが宛先だったので明らかに怪しい。発信メアドは「yafoo.co.jp」でした。金融がらみの組織がフリーメール使わないでしょ。「yafoo」って…。削除です。

これらはまだまだ序の口で、アドレスを実際の企業のものに偽装して送信してくるメールもあるようです。有名な事件では、JALはまんまと引っかかって約4億円を犯罪者に振り込んでしまったようです。

【大企業ほど隠したがる? JAL「振り込め詐欺」の後日談、警察関係者は……(鷲尾香一)】
https://www.j-cast.com/kaisha/2018/01/14318272.html?p=all

この手法が巧妙なのは「本物の担当者メールアドレス」を偽装して、「文体や締日」を観察して、いかにも本物っぽく見せている点です。おそらく締日ギリギリかなにかで担当者は焦ったのでしょう。これが結構多いらしいのです。担当者に電話で確認は原始的ですが一番効果的な対策です。(そういえば、電話する人間はクソって煽っている著名人とかいましたな)金融機関を名乗って個人アドレスに送られてきたメールも、コールセンターに確認しましょう。

公的な登録、認証を取得していない企業は使わない

お堅い企業では、新しい取引先と契約を交わすには何重もの関門があります。登記の確認、公的登録番号や公的認証番号の確認、反社会的組織では無いかの確認、本社所在地の自治体に違法歴が無いかの照会、契約書のリーガルチェック、財務諸表などなど。これがとっても手間なのですが、身を守るためには仕方ありません。

われわれ個人で注意したいのは、公的機関に登録されているか、公的認証を取得して更新しているかを確認して、優良な企業のサービスを使いましょう。自衛のためと、登録や更新を怠っている企業には淘汰されてもらうためです。企業の公式サイトで確認しましょう。

・Pマークhttps://privacymark.jp/wakaru/about.html
・ISMShttps://www.jqa.jp/service_list/management/service/iso27001/
・ISOhttps://www.jqa.jp/service_list/management/service/iso20000/

これらが有名で今のところ優良な認証です。もちろん、前提として金融機関や不動産屋、旅行会社などは公的機関の登録を受けて事業を行っているかも確認しましょう。堂々と違法行為や脱法行為をしている法人があるんですよ…。このような企業は、もちろんセキュリティ意識が低いので、ハッキングされて情報が引っこ抜かれる可能性が高いです。

仮想通貨を約500億円流出させた「コインチェック社」などは金融庁に登録されていない「みなし業者」でしたので、そりゃセキュリティ意識低いなって思います。

どうも事件前から公式情報と実態とはかなり乖離していたようですね…。これはもう偽証罪なのでは…。

【コインチェックは安全?仮想通貨取引所が採用するセキュリティを調査!】
https://warucoin.com/exchange/japan/coincheck/security-coincheck/

あとは、契約書や約款は必ず目を通して、不正被害時の損害賠償や補償内容を確認しておきましょう。特約で補償対象外です、なんていうアコギな業者もいますので要注意。

セキュリティが保証されていないWEBサイトは閲覧しない

最近の大きな動きとして、WEBサイトのセキュリティ強化です。通信は暗号化されているWEBサイトが信頼できます。Googleは、セキュリティが保証されていないサイトは検索順位を下げるとともに、セキュリティ保証されてません!って明示するようです。

・SSL認証https://www.cybertrust.ne.jp/sureserver/basics/ssl1.html

通信過程やWEBサイトでの入力した情報が引っこ抜かれないような仕組みです。見分け方は簡単。URLが「http://」が今までのもので、セキュリティが保証されたURLは「https://」になっています。各ブラウザでもURL表示欄に「鍵マーク」などを付けて明示するようになっています。「http://」なURLのままの企業はセキュリティ意識が低いか、スキルがない企業なので避けるのをおススメします。

なにせ、個人情報を取り扱わないし、入力もしない零細ブログのわたしのブログでさえSSL証明で「https://」化しましたからね…。

ネットワークに繋ぐ必要無ければスタンドアロンで

ここ数年の隆盛として、P2Pという端末やデバイス間で直接データリンクしたり、IoTと言って身近な家電などもN/W経由で直接接続するのがトレンドです。家庭内無線LANで防犯カメラとか、テレビを無線LAN経由で観るとか。

・P2Phttps://www.gixo.jp/blog/6478/
・IoThttp://toyokeizai.net/articles/-/113807

難しいことは置いておいて、本当に必要なければ常時ネットワークに接続ってのは避けた方が良いです。無線LANやwi-fiなどへの常時ネットワーク接続は便利なのですけど、リスクもあります。一番安全なのは懐古しちゃいますがスタンドアロンなんですよね。

具体的には防犯カメラや監視カメラの動画を盗まれたり、勝手に無線ルーターにアクセスされたりしちゃいます。ペットロボットやソフトバンクのペッパー君なんか、簡単にハッキングされてしまうようですよ。

【ソフトバンクPepperが危険な理由】
https://the01.jp/p0006028

ちなみに、うちは共働きなので、家を出るときは無線ルータを電源オフにしてます。パスワードで防御してるとはいえ、やろうと思えばすぐに繋げられてしまいますし。

とのことで、サラッとまとめてみました。偉そうなコトを述べてきましたが、今日、妻に「あんた、インスタにムスメの写真アップしてるでしょ?!やめなさい」ってメッチャ怒られました…。位置情報は消してるし顔も出してないよって言い訳したんですが…。身から出た錆。自戒です。

それでは、また!