騙されないためには

 今更こんな詐欺に引っかかる人がいるのかと首をかしげる人もいるかもしれないが、カスペルスキーが検知した脅迫メールの送信主のビットコイン口座を追跡調査すると、昨年9月以降、世界で1000件程度の払い込みがあり、総額で約4300万円に上るという。

 騙される最大の原因は、被害者がメールサービスなどに使用しているパスワードが脅迫メールに記載されているからだ。被害者はパスワードを悪用されてハッキングを受けたと思って、乗っ取り宣言を信じてしまう。メールを送りつけられたカスペルスキーの社員のケースでも、デバイスの乗っ取り被害はなかったが、記載されていたパスワードは以前社員が利用していたものだった。

 2018年9月10日号の特集記事『パスワード 16億件流出 ソニー、トヨタ、外務省も被害に』でも報じた通り、通常のウェブブラウザではアクセスできない「ダークウェブ」において、世界中のサイバー犯罪者がハッキングにより得た大量のパスワードを売り買いしている。脅迫メールの送信主は、こうして入手したパスワードを利用している可能性が高い。カスペルスキーのアナリスト、大沼千亜希氏は「流出パスワードが大量に出回っている状況を利用して、様々な手法で脅迫メールを送る詐欺が今後も増えていくだろう」と警鐘を鳴らす。

 セクストーションによる被害をどう防ぐか。大沼氏によると、簡易版のセクストーションの脅迫に応じなくても、ポルノがばらまかれた事例は報告されていない。「実際に乗っ取りが起きている可能性は低い」という。つまり、架空請求と同じく「無視する」ことが最もシンプルな防御法だ。

 しかし、先述した通り、過去には実際にハッキングを仕掛けるセクストーションもあった。普段からマルウェア対策を万全にしていなければ「無視する」決断はしにくいだろう。その迷いを見透かすかのように「脅迫者が要求するのは数万円が多い。『これぐらいならいいか』と思わせるような額にしている」(大沼氏)

 自信をもって「無視をする」には、普段自身が使っているウェブサービスにも注意を払う必要がある。近年大量のパスワードが流出するのは、セキュリティ対策が脆弱なウェブサービスが狙われているからだ。昨年には三菱地所グループのアウトレットやジャパンレンタカーのウェブサービスからの流出が確認された。こうしたサービスで使っているパスワードをメールサービスなどのパスワードとして使い回ししていれば、実際にハッキングするのも容易になる。

 セキュリティ意識の高い企業では、社員がビジネス用のアドレスで登録しても問題がないような防御レベルの高いウェブサービスを選定し、ホワイトリストを作成している。もしもこうした企業の社員ならば、私用アドレスを使う場合にもリストを参考にすれば、被害を受ける確率は減る。ホワイトリストがない場合でも、パスワードの使い回しを控え、自身が使うサービスへの攻撃が確認された場合は、即座にパスワードを変更するといった対策が有効になるだろう。

この記事はシリーズ「1分解説」に収容されています。WATCHすると、トップページやマイページで新たな記事の配信が確認できるほか、スマートフォン向けアプリでも記事更新の通知を受け取ることができます。

「キーエンスOBが明かす強さの根源」、全3回ウェビナー開催

■第1回:2022年5月19日(木)19時~(予定)
テーマ:顧客の心をつかむ、キーエンスの「営業しない」営業力
講師:FAプロダクツ 代表取締役会長 天野眞也氏

■第2回:6月2日(木)19:00~20:00(予定)
テーマ:潜在需要が宝の山 キーエンスの高収益生み出す商品開発
講師:コンセプト・シナジー 代表取締役 高杉康成氏

■第3回:6月16日(木)19:00~20:00(予定)
テーマ:「キーエンス流」は世界に通じる、海外事業開拓の極意
講師:インサイトアカデミー 顧問 藤田孝氏


会場:Zoomを使ったオンラインセミナー(原則ライブ配信)
受講料:日経ビジネス電子版の有料会員のみ無料となります(いずれも事前登録制、先着順)。

>>詳細・申し込みはこちらの記事をご覧ください。