フリーランサーの皆さんへ:セキュリティに関する6つのアドバイス

2018年10月10日

サイバー犯罪者は人事部の人たちが大好きです。業務上、履歴書だったり応募書類だったり、出所が不明のファイルを日常的に開いていますから。そうしたファイルには、何らかの悪意あるものが隠れている場合があります。同じ理由で同じ危険に晒されている人は、ほかにもいます。フリーランスで働く人たち(フリーランサー)です。

フリーランサーも、個人的に知らない相手とコミュニケーションをとる必要のあることが多く、出所不明のファイル(翻訳対象のテキスト、コーディングプロジェクト用の技術文書、依頼されて描く絵の説明文など)を開かなければなりません。そのため、さまざまなタイプのサイバー犯罪者から狙われやすいのです。

悪意ある依頼

こんな例があります。あるセキュリティリサーチチームが、Fiverrやfreelancer.comのようなフリーランサー向けWebサイトの利用者を対象にした活動に気づきました(英語)。サイバー犯罪者のグループが、こうしたサービスに登録している人たちに連絡を取り、仕事を持ちかけたようです。詳細は添付ファイルを参照するように、とありました。

添付されていたのは.docファイルであって実行形式のファイルではなかったために、開いても大丈夫だろうと、少なくとも一部の人は考えたようです。Microsoft Officeの文書なら問題ない、と思ったのでしょう。

ところが、Office文書には特有の問題が潜んでいる場合があります。いわゆる、Microsoft Officeのファイルで使われるマクロに隠されたマルウェアです。そのようなファイルを開くとマクロを有効にするように要求され、その指示に従ってしまう人もいます。今回発見された事例では、マクロを有効にすると、コンピューターにキーロガーやリモートアクセス型のトロイの木馬(RAT)がインストールされます。

キーロガーやRATがコンピューターにインストールされていると、何を入力したかがすべてサイバー犯罪者に知られてしまいます。入力したログインIDやパスワードも分かってしまうので、アカウントを乗っ取られたり、お金を盗まれたりすることになりかねません。

LinkedIn(英語)とAlibabaでも、同様の悪意ある活動が見つかっているようです。

フリーランサーとして活動することにはいくつも利点がありますが、欠点も少なからずあります。ここに、サイバー犯罪者の標的になりやすいという問題が加わると、フリーランサーとしての負担はかなりのものです。そこで、さまざまな種類の脅威から自分を守るためにできることを考えてみましょう。

フリーランサーに送る情報セキュリティのアドバイス

  1. 現在の取引先、または今後取引先になりそうな相手からソフトウェアのインストールを要求された場合、応じないようにしましょう。ソフトウェアは公式Webサイトから自分でダウンロードし、なおかつ自分のコンピューターにクライアントアクセスを付与しないことを確認できるようにしてください。数年前のことですが、仕事に必要だからとフリーランサーに正規のリモートアクセス用アプリであるAirDroidをスマートフォンにインストールさせ、認証情報を盗み取る事例がありました。
  2. 実行形式のファイル(.exeなど)は開かないでください。悪意あるものが隠れている可能性があります。どうしても開かなければならない場合は、セキュリティ製品を使ってファイルをスキャンするか、Kaspersky VirusdeskVirustotal(英語サイト)などのオンラインサービスを使用してファイルをチェックしてからにしましょう。
  3. MicrosoftのWord文書、Excel文書、PowerPoint文書などでマクロを有効にしないでください。マクロというのは基本的に、ファイル内に隠された実行ファイルです。一見問題なさそうで実はマルウェアが仕込まれた文書を送り付けるのは、サイバー犯罪者の常套手段です。
  4. フィッシングに引っ掛からないようにしましょう。FreelancerやFiverrのようなWebサイトのアカウントを乗っ取ることができれば、このWebサービスを通じて取得した報酬を手にすることもできるので、サイバー犯罪者にアカウントが狙われる可能性があります。また、アカウントを乗っ取られてしまうと、これまでに築き上げてきた評判に傷が付く恐れがあります。何らかの理由を付けて再ログインや認証情報の送信を要求してくるWebサイトやメッセージには、十分に警戒しましょう。
  5. 報酬を直接受け取る場合、クレジットカードの写真を送ることはしないでください。また、カードの有効期限やCVC/CVVコード(カードの裏面にある3桁の数字。セキュリティコードともいう)などの情報も教えないようにしましょう。報酬の支払いにそうした情報は必要ありません。送金に必要な情報(カード番号など)を知らせる場合は、WhatsAppやTelegramのシークレットチャットのような、暗号化されている安全なチャネルを使用するといいでしょう。
  6. カスペルスキー セキュリティのような定評のあるセキュリティ製品をインストールしてください。マルウェア、フィッシング、スパムなどのサイバー脅威からあなたを守ってくれます。