コロナ禍の困難な状況のなかで、人々のアカウントや情報を狙う攻撃が激化している。
Shutterstock
「1日に1800万件」
これは、グーグルが過去2週間の間に検出した、新型コロナウィルス感染症(COVID-19)に関連するマルウェア・フィッシング詐欺の数だ。迷惑(スパム)メールに至っては、1日に2億4000万件を超える。
多くの人がコロナ禍の中で厳しい生活を強いられている状況でも、いや、このように困難な状況だからこそ、人々のアカウントや情報を狙う攻撃も激化している。
グーグル・アカウントセキュリティチーム シニアディレクターのマーク・ライシャー氏。インタビューはオンラインで行われた。
提供:Google
我々は、どう対処すればいいのだろうか?
4月27日、グーグルはセキュリティ対策を啓蒙するための情報を公開し、人々に注意を促した。グーグル・アカウントセキュリティチーム シニアディレクターのマーク・ライシャー氏に、現状を聞いた。
「3カ月、我々のシステムはCOVID-19という言葉さえ知りませんでした」
「3カ月、我々のシステムはCOVID-19という言葉さえ知りませんでした」
ライシャー氏はそう明かす。世の中で警戒されていなかったのだから当然だ。
グーグルのシステムは機械学習をベースにしており、日々寄せられる情報から、COVID-19関連をターゲットとした攻撃の増加を把握し、最適化を進めてきた。「現在はCOVID-19関連の詐欺を特別に探すように調整されている」(ライシャー氏)という。
ユーザーを狙う攻撃の多くにはパターンがある。
「最初のカテゴリは、医療機関を詐称したものです。これらのグループは、WHO(世界保健機関)や地域の保健省、政府機関を装います。多くの人々はこれらの組織からの正しい情報を欲しているので、非常にやっかいです。
次が『詐欺的な製品を販売しているウェブサイト』。特に日本では、いくつかのグループがマスクなどに関する詐欺サイトを立ち上げています。それらは高価であることが多いだけでなく、実際には販売していないことも多いです。募金詐欺も増えています」(ライシャー氏)
そして、各国政府での国民に対する経済支援が本格化している今だから、気をつけなければいけない種類のものもある。
「政府を装うものも増えてきました。日本でも新しい景気刺激策として、10万円の支給が始まるのですよね? これらの詐欺は全て、個人を狙っています。政府機関を装って連絡してきて、銀行口座の詳細を尋ねるフィッシングページがあります。そうしたページにおびき寄せて、マルウェア(=悪意のあるソフトウエア)などに感染させようとしているかもしれません」(ライシャー氏)
「メッセンジャー」が狙われている
Shutterstock
重要なのは、こうした攻撃が「メールだけで行われるわけではなくなっている」点だ。
「個人的には、メール以上にSMSなどのメッセンジャーに注意を払うべきだと考えます。
メールについては、迷惑メールフィルターなどの存在がかなり効いていますし、人々も警戒するようになっています。ですが、メッセンジャーは、メールよりパーソナルなもので、警戒心も薄い。メールは画面も広いので色々警告が出ますが、メッセンジャーはそうではない。でも、フィッシング用のウェブサイトのリンクなどは、同じようにやってきてしまいます」(ライシャー氏)
そうした状況に対応するため、グーグルが進めているのが「セーフブラウジング」の導入だ。グーグルだけでなくアップルやFirefoxが協力し、フィッシングサイトなどの情報を収集した上で、危険と思われるサイトにアクセスしようとすると警告を発する仕組みが導入されている。
この機能があれば100%大丈夫、とは言わない。しかし、何もしないよりはずっと安心できる。標準でオンになっている場合が多いが、iPhone・Android(ブラウザーのChrome)での設定方法を記載しておくので、オンになっているか確認しておきたい。
iPhoneのブラウザー「Safari」での設定方法
「設定」の「Safari」の中の「プライバシーとセキュリティ」の項目に注目。この中の「詐欺Webサイトの警告」をオンにしておこう。
出典:筆者からの提供素材をもとに編集部作成
Androidの設定方法
ブラウザー「Chrome」を立ち上げ、右上のメニューボタンから「設定」を選択。「プライバシー」を開き、一番下にある「同期とGoogleサービス」をタップ。その先の「セーフブラウジング」がオンになっていることを確認しておこう。
出典:筆者からの提供素材をもとに編集部作成
各国の「感染拡大防止アプリ」に警戒。政府告知から直接入手を
Shutterstock
マルウェアで危惧されるのは、政府が導入を検討している「感染拡大防止アプリ」などの偽物が紛れ込むことだ。
現在各国では、Bluetoothなどを使って個人が長時間「濃厚接触」している状況を記録するアプリの導入を進めている。仮に感染が発覚した場合、濃厚接触の疑いがある人に警告を発したり、感染の疑いがある行動がどう広がったかを確認する、といった目的がある。
日本でも4月中の実証開始が検討されており、また別途グーグルとアップルも共同で開発を進めている。その性質上、プライバシー保護の観点もあり、非常に慎重な導入が求められている。
万が一にも、そうしたアプリの偽物が現れ、インストールされてしまうと、個人のプライバシーデータなどが盗まれる危険性がある。
「(偽アプリの)危険性は、我々も危惧しています。ただし現状、Google Playなどでそうした偽アプリの存在は確認されていません。安全性を高めるため、私たちは、各国の保健機関や政府から直接来た情報を検証し、掲載しています。
私たちとしても、そうした(濃厚接触拡大防止)アプリのプロモーションは、実際に公式の政府機関や医療機関を介して直接行われるべきであり、直接告知からダウンロードへ飛ぶべきである、と考えています」(ライシャー氏)
在宅の子どもも狙われる。親の注意が必要
Shutterstock
もうひとつの危険性は、子どもたちに関するものだ。自宅から出られない日々が続き、子どもたちは学習や遊びのために、親からIT機器を「借りて」使うようになっている。
「しかし、そうした機器はあくまで大人のために設定されていて、子どもたちの安全性を考えていない場合があります。ですから『YouTube Kids』のような子ども向けアプリの利用を推奨しますし、『Googleファミリーリンク』の導入も推奨します。これは、アプリの利用時間や利用種別などを、親がまとめて管理できるものです。
子どもにデバイスを渡す時には、これらのアプリを導入し、子どもが想定しないトラブルに巻き込まれることを防止するようにしましょう」(ライシャー氏)
(文・西田宗千佳)