-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
サイバー・グリッド・ジャパン次世代セキュリティ技術研究所、サイバー犯罪調査グループの影山です。
2023年12月と少し前のことになりますが、12日に北海道警察サイバーセキュリティ対策本部長、22日に埼玉県警察本部生活安全部サイバー局サイバー対策課長、それぞれから感謝状をいただきました。
いずれも、インターネット閲覧中に偽のセキュリティ警告等を表示して金銭を騙し取ろうとする、「サポート詐欺」の被害防止に貢献したことが評価されました。
私は日ごろ、サポート詐欺サイトを観測・情報収集・分析し、資料にまとめて情報提供する活動をしています。その一環で、各所で講演をすることがあります。一般財団法人日本サイバー犯罪対策センター(Japan Cybercrime Control Center:JC3)の活動を通じて知己となった方々に情報提供を続けていたところ、サポート詐欺の被害が増えているので、対策の一環として講演してくれないかと依頼をいただきました。
有難いことに講演が好評で感謝状をいただくこととなりました。自分の活動が役に立って嬉しく思うと共に、身の引き締まる思いでいます。
サポート詐欺の仕組みと攻撃者の優位性
ここで、私が普段調査しているサポート詐欺について、簡単に説明していきます。
サポート詐欺の仕組み
まず、サポート詐欺の被害者の立場では以下のような流れになります。
この流れを、できるだけ早い段階で止めることが望ましいと考えています。
- なるべく遭遇しないようにする(そもそも危ないところに近づかない)
- 遭遇しても電話をかけず、サイトから離れる(危険がせまったら逃げる)
- 電話をかけても途中で詐欺と気付く(残念ながら世の中には悪意のある人もいる)
- 安易にリモートアクセスを許さない(自宅に見知らぬ人は入れないように、パソコンにも入れてはいけません)
- ギフトカードを購入しない、購入しても番号を伝えない(ギフトカードは現金とほとんど同じように使われる)
- オンラインバンキングのアカウント情報を入力したり伝えたりしない(銀行から見て、契約した本人かどうかの区別ができなくなってしまう)
どこかの段階で気が付けば止められるものの、残念ながら全ての段階を通過して被害に遭う人が後を絶ちません。これは被害者が悪いのではなく、それだけ攻撃手法として強力で、サポート詐欺の仕組みがよくできているということです。
攻撃者の優位性
ここで理解を深めるために、なぜ攻撃者がサポート詐欺を行うかを攻撃者目線で考えてみると、次のような優位性があります。
- オレオレ詐欺における「かけ子」が不要で、電話をかけてカモを探さなくても電話がかかってくるのを待っているだけで効率が良い。
- 電話をかけてきた人はサポート詐欺やパソコンの仕組みについて明るくないことが期待できるので、詳しい人よりも相対的に騙しやすい。
- 金銭的な利益が得られなくても、入手した被害者の情報を別の犯罪に利用できる。例えば、リモートアクセスできるパソコンを踏み台として悪用する、パソコン内の情報の入手など、副次的にできることが多数ある。
誰もがサポート詐欺に遭う可能性がある
さらに、サポート詐欺のニュース記事を見ると高齢者の被害が多い傾向があるものの、若い世代も被害に遭っています。
またオンラインの詐欺なので住んでいる場所は関係なく、日本全国まんべんなく被害が報告されています。つまり、誰もが攻撃に晒されていて、対処方法を知らないと誰もが被害に遭う可能性があるのです。
ところが、この「誰もが被害に遭うかもしれない」ということが、なかなか理解されません。昔からインターネットを使っていて、ブラウザクラッシャーなどの悪戯サイトに遭遇した経験のある人は、サポート詐欺に引っかかりにくい傾向があります。
しかし、すべての人が悪戯サイトに遭遇した経験があるわけではありませんし、インターネットの仕組みや技術に詳しくもありません。幸いなことに、サポート詐欺被害に遭う人を減らすことが期待できる素晴らしいページをIPA(独立行政法人 情報処理推進機構)が公開しています。
サポート詐欺被害を減らすための知識
IPAが公開するページでは、サポート詐欺サイトに遭遇したときの対応を学ぶことができます。サポート詐欺がどのようなものか、どのように対応すればいいか、デモで体験しておけば実際のサイトに遭遇した時に慌てずにすむかもしれません。
また、周囲の人がサポート詐欺に遭遇し、困っているときにも適切なアドバイスを届けられます。ぜひ、身近な方にも教えてあげてください。
※ 注意事項や操作方法をよくご覧いただきお試しください。
なお、サポート詐欺についてはラックのサイバー・グリッド・ジャパンが発行する研究成果の報告書、「CYBER GRID JOURNAL Vol.15」で記事を執筆しています。おおよそ1年前の発行物のため、被害金額などは少々古い数字ですが、詐欺自体の大きな枠組みには変更はありませんので、ぜひご一読ください。
最後に
ラックは、「たしかなテクノロジーで『信じられる社会』を築く。」を存在意義(パーパス)として掲げ、デジタル社会を生き抜く指針となることを目指しています。
サポート詐欺は信じられる社会を脅かす悪しき存在です。その巧妙さゆえ、残念ながら現状ではテクノロジーだけでは解決は難しいと考えています。ただし、現時点でテクノロジーだけでは対応しきれない領域を人の力で補うことができれば、被害軽減は可能であると考えています。
引き続き、日本を守るという使命を果たすための取り組みを根気よく続けて参ります。
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR