詐欺
Kaspersky Dailyでは、オンライン上に存在するさまざまな脅威を紹介し、オンライン詐欺の被害に遭わないための方法を多数提案してきました。今回は、オンラインで何らかの脅威に気付いたときにとるべき最善の対応策を簡単に紹介したいと思います。多くの組織が、インターネットをより安全な場所にするためのサービスを提供していますが、こうした組織が一番求めているのは皆さんからの情報という場合もあるのです。
フィッシング
フィッシングはソーシャルエンジニアリング詐欺の1つです。攻撃者は標的を騙して、価値のありそうな情報を引き出そうとします。フィッシング攻撃で特に多い手口は、メールを介した攻撃です。メールを巧妙に細工して、信頼できるところから送信されたように見せかけます。たとえば、大手銀行からのメールを装い、セキュリティの問題が発生した可能性があると警告し、リンク先のページでパスワードの再設定を促す、などです。
リンク先を開くと、そこには送信元とされる銀行の公式Webサイトのようなページがあり、ユーザー名とパスワードを入力してアカウントにアクセスし、新しいパスワードを作成するよう指示されます。もちろん、実際は攻撃者がオンラインバンクのログイン情報を騙し取ろうとしているのです(銀行はこうした理由から、頼んでいないのに送られてきたメールのリンクはクリックせず、オンラインバンクのWebサイトへ直接アクセスしてからログインするよう注意喚起しています)。
では、決済情報やソーシャルネットワークのログイン情報など、何らかの情報を狙ったフィッシング攻撃に気付いたときは、何をすればよいのでしょうか?実は選択肢は結構たくさんあるのですが、大まかに言うと、次の5つのステップが挙げられます。
- 不審なリンクは絶対にクリックしない
- 詐称された企業に、フィッシングメールとリンクを必ず転送する
- 場合によっては警察に通報する
- 消費者庁や関連するIT企業に連絡するのも良い方策になる
- 以上が完了したら、その迷惑メールは必ず削除する
仮に、PayPalを装ったフィッシング攻撃に遭遇したとしましょう。その場合は、PayPalの詐欺対策チームに連絡します。詐欺対策チームの連絡先は、普段使っている検索エンジンで「PayPal フィッシング 報告」や「PayPal 詐欺」と入力すれば見つかります。
連絡した後は、対策チームの指示に従います。フィッシングメールであれば、PayPalに転送してから削除しましょう。その後、PayPalから取引履歴をチェックして問題ないか確認するよう勧められるはずです。このような対策は、他のサービスで同様の問題が発生したときも有効です。Gmailにはフィッシングを報告する機能がインターフェイスに組み込まれていますし、多くの銀行や販売業者もフィッシング攻撃の報告機能を用意しています。
状況の深刻度によっては警察に通報する必要がありますが、これについては次のセクションで解説します。
また、フィッシング対策協議会は、フィッシングに関する問い合わせ窓口を設けています。また、JPCERTコーディネーションセンターでは、フィッシングに関するFAQ(よくある質問)を公開しています。また、警察庁では、サイバー犯罪相談窓口「フィッシング110番」を設けています。これ以外にも、GoogleやMicrosoftといったIT企業がフィッシングや詐欺に関する情報をわかりやすく解説したページを公開しています。こうしたページで、フィッシングサイトのリンクを報告することもできます。
不正請求
私はオンラインで買い物をするとき、もしも注文した商品が届かなかったらどうなるのか、過剰請求されたときにきちんと払い戻しをしてもらう手段はあるのか、といったことをつい考えてしまいます。もちろん、こうした事態への対処方法は、商品を買ったお店や支払い方法などによって異なります。とはいえ、問題のある取引や詐欺に対処する最初の一歩として、一般的には次の3つのステップが挙げられます。
- 請求元の企業に連絡する
- 問題が解決しない場合、銀行に連絡する
- 場合によっては警察に通報する
購入した商品の代金を過剰請求された場合、商品やサービスを購入していないのに代金を請求された場合、またはお金を払ったのに商品が届かない場合、まずは問題のお店に問い合わせましょう。正規の販売業者が関わっていない状況で不正請求が発生したと思われる場合は、すぐに銀行かクレジットカード会社に連絡し、その取引について説明しましょう。
請求元の販売業者がeBayやAmazonのような有名企業であれば、請求についての苦情を受け付けるページや問題解決のための問合せ先など、何らかの窓口が用意されているはず。信頼できるオンラインショップには、顧客からの苦情を受け付ける窓口が用意されているものですが、場合によっては調べるのに時間がかかり、その企業に直接電話することになるかもしれません。誠実に、そして根気よく問い合わせれば、責任ある販売業者であればこうした問題も解決するでしょう。このようなケースでは、銀行やクレジットカード会社に連絡する必要もないかもしれません。
しかし、注文した商品が送られてくる可能性が明らかにない場合や、異常に長く待たされていると感じる場合、紛れもなく詐欺行為が発生している場合は、銀行に連絡しなければなりません。どんな銀行やクレジットカード会社にも、不正請求を報告するシステムがあります。インターネットで検索するか、利用している銀行やクレジットカード会社のWebサイト内を探してみてください。カスタマーサービス部門に電話するのもいいでしょう。
また、eBayやAmazonのように、個人が商品を直接取引できるサイトの場合、大手オンラインモールに直接雇用されていない不正な販売者の被害に遭う可能性もあります。このようなケースでは、AmazonやeBayが不正業者対策を確実に用意しているはずなので、それに従って対処してください。
自分の口座に明らかな不正請求があったと思われる場合(何者かにクレジットカード番号やeBayのログイン情報を特定されて、支払い請求された場合など)は、警察に通報する必要があります。こちらのページに、地方警察機関の問い合わせ先が掲載されています。また、最寄りの消費者センターに相談するのもよいでしょう。
マルウェア感染
何はともあれ、セキュリティ製品は常時稼働させていなければなりません。強力な製品を利用することで、コンピューターがマルウェアに感染する可能性を大きく引き下げることができます。
しかし、もしも情報を盗み出すマルウェアに感染してしまったら、どうすればよいのでしょうか。こちらも大まかな手順ですが、次のとおりです。
- マルウェアを駆除する
- どれだけの情報が漏えいしたかを確認する
- パスワードを変更し、新しいクレジットカードを発行してもらう
セキュリティ製品を使用していない場合は、機能のしっかりした製品を購入して、インストール、アップデート、スキャンを実行しましょう。優秀な製品は、インストール前に潜んでいた悪質ソフトウェアも含めて検知し、排除してくれます。
次に、いつ感染したかをできる限り正確に思い出してみてください。時期がわかれば感染源も特定できるかもしれません。Webサイトで感染したのであれば、GoogleやJPCERT、Microsoft、警察、またはインターネット検索で見つけたその他機関に報告しましょう。
その後は、漏えいした可能性のある情報について考えます。マルウェア感染時に、メールサービスやオンラインの銀行口座、その他オンラインアカウントにログインしていないでしょうか?ログインした場合は、そのアカウントに侵入されていると考え、パスワードを変更しましょう。また、アカウントでのアクティビティにも注意する必要があります。オンラインバンキングサイトから重要な情報にアクセスできてしまう場合は、銀行に連絡してさらなる対処が必要になるかもしれません。メールなどのアカウントが侵害された場合、復旧用メールアドレスや転送ルールなどの重要な設定が追加されていないか、または変更されていないか、設定を確認してください。
–
オンラインで遭遇する脅威は、もちろん今回紹介した3つに限定されるわけではありません。ですが、ここで説明した推奨事項は、他の種類の脅威にも適用できると思います。これ以外にも取り上げてほしいケースがあれば、ぜひコメント欄でご提案ください。
ヒント