地方向けに最新のセキュリティ動向や技術を伝える「セキュリティ・キャンプ地方大会」。本稿では2016年9月23日から25日にかけて広島県で開催された「セキュリティ・ミニキャンプ in 中国 2016」の模様をレポートする。
セキュリティ人材の早期発掘や育成を目的とした取り組み「セキュリティ・キャンプ」だが、例年8月に4泊5日で開催される全国大会には、さまざまな事情で参加できない学生や、年齢制限のため申し込みできない大学院生もいる。こうした学生を対象に、より地元に近い場所で最新のセキュリティ動向や技術について学べる機会を提供するのが、IPA(情報処理推進機構)が2012年度から全国各地で実施してきた「セキュリティ・ミニキャンプ」だ。
2016年9月23日から25日にかけて広島県で開催された「セキュリティ・ミニキャンプ in 中国 2016」では、一般参加者とした「一般講座」(23日)と、全国大会と同様の内容を一部抜粋し、手を動かしながら学習を進める「専門講座」(24、25日)が行われ、広島県内はもちろん、高知や徳島、滋賀など西日本を中心に25歳以下の若者たちが参加した。
サイバー犯罪の影響は地域を問わない。むしろ、ITやセキュリティの専門家が少ない地方の方が、状況はより深刻かもしれない。9月23日の一般講座では、そんな地方のサイバー脅威の現状と改善に向けたポイントが示された。
広島県警察本部 生活安全部 サイバー犯罪対策課 警部の渋下剛氏は「サイバー犯罪の最新動向(広島の現状)」と題し、デモンストレーションも交えながら、広島県下のサイバー犯罪の動向を説明した。サイバー犯罪と一口に言っても、なりすましによる不正アクセスに始まり、遠隔操作アプリの悪用や名誉毀損の書き込み、オンラインゲームでのチート行為、さらには殺人や爆破予告といった威力業務妨害に至るまでさまざまだ。しかしいずれにせよ、犯罪者にとってインターネットは欠かせないもの、犯行ツールとして欠かせないものになっている。
警察白書を見てもサイバー犯罪に関する検挙数の増加は明らかだが、「広島県でも、サイバー犯罪に関する相談件数はこの5年で倍増している。中でも、インターネットを用いた詐欺に関するものが半数以上を占めている」(渋下氏)そうだ。
その一例が、本物とそっくりに作られた偽ショッピングサイトや、不安をあおる文面や警告音を出してユーザーを驚かせる偽のセキュリティソフトだ。偽のセキュリティソフトの中には、「サポート用の電話」に連絡するよう促し、電話越しに「検査が必要です」などと言葉巧みに不正なソフトウェアをインストールするよう勧め、金銭をだまし取る手口も報告されているという。
もう1つ身近に迫る脅威として、ランサムウェアがある。渋下氏によれば広島県内でもランサムウェアによる被害事例が増加しているそうだ。海外との取引が多いある企業では、英文で「未払金があるので、添付の内容を確認してほしい」と記された「ばらまき型メール」がきっかけで、ランサムウェアに感染してしまった。その結果、見積もりや販売契約、人事査定に関するファイル約2万5000件が暗号化され、利用できなくなってしまったという。
「このウイルス付きメールを解析したところ、送信国はチリで、ウイルス対策ソフトでは検知されなかった。アメリカにある別のホストからウイルスをダウンロードする仕組みになっていたが、そこから先はTorを用いていて追跡が困難だった。ランサムウェアは身代金を支払っても復元される保証はない。いつ被害に遭うか分からないので、バックアップを取るといった対策をお勧めしたい」(渋下氏)
また渋下氏は、個人だけでなく法人を対象とした不正送金被害や標的型攻撃メールにも言及し、「不審なメールを開かないだけでなく、不審でないメールも慎重に扱うこと。OSやアプリケーションを更新して脆弱性をつぶすこと。ウイルス対策ソフトのパターンファイルを最新にして使うこと。そして、速やかに情報共有を行うことが大切だ。もし開いてしまったことに気が付いたら、すぐに管理者に連絡してほしい」と対策を挙げる。
さらに、マクロ機能を安易に扱わず、ファイルの形式や拡張子に注意したり、PCの操作に慣れているならばnetstatで接続先を確認したりすることなども有効だ。「標的型攻撃も巧妙化しており、100%の策はない。感染に備えた対策も考えておくべきだし、万一の際には生活安全課などに相談してほしい(渋下氏)。
全国各地を巡り、さまざまなセキュリティ脅威について解説を行っているIPA 技術本部セキュリティセンターの加賀谷伸一郎氏は、「個人の身近に迫る情報セキュリティ脅威」と題し、実機を用いたデモンストレーションを交えながら、スマートフォンにまつわる被害と対策のポイントを紹介した。
加賀谷氏は冒頭、「組織を狙う攻撃はどんどん高度化しており、さまざまなセキュリティ対策をすり抜けてくる。この結果、最終的にはセキュリティが個人の判断に左右されることも多い。すり抜けてくる手口に引っ掛からないようにするには、相手の手口を知ることが大切だ」と述べた。知ることが対策の始まり、というわけだ。
スマートフォンに関しても、先に渋下氏が紹介したPC向けの脅威と同様の脅威が見られるという。その1つが、「ユーザー自身が入れてしまう不正なアプリ」だ。こうしたアプリは、有用なツールを装って個人情報などを盗み出す。「怪しいサイトに行って自らインストールする人は少ない。そこで攻撃者はメールやSNS、広告を使って誘導を図り、Google Playに似せた不正なサイトにユーザーを誘導しようとする」(加賀谷氏)。
ただ、こうした不正を見抜くヒントはある。「Androidの場合はインストール時に、アプリにどのような権限を与えるかを確認してくる。例えば『時計アプリ』にもかかわらず『連絡先データの読み取り』を求めてくるのはおかしい。確認メッセージをよく読まずに先に進めると、インストール画面の背後で電話帳などのデータを外部に送信されてしまう」(加賀谷氏)。警告を読み流してしまった結果、位置情報や電話の会話内容、カメラの盗撮画像など、さまざまな情報を取られる恐れがある。
その応用例として、スマートフォンを狙ったランサムウェアも登場している。「Android版のランサムウェアはデータの暗号化まではしないが、画面をロックして一切操作できないようにし、身代金を要求してくる。これも勝手にインストールされるわけではなく、誘導にだまされて自分で入れてしまうことが多い」(同氏)。
また、フィッシングサイトや、偽のセキュリティ警告を表示する詐欺サイトも横行している。加賀谷氏は「PCなどで免疫のない若い人がだまされやすいかもしれない」とし、特に「いきなり『あなたの端末は危険です』と音声を流してビックリさせ、その衝撃のまま電話をかけさせ、PCならば遠隔操作ソフト、スマホならば不正アプリをインストールさせようとする手口が多い。Webサイトの閲覧時には注意が必要だ」と警鐘を鳴らした。
スマートフォンをめぐっては他にも、親切を装って第三者がインストールする遠隔操作アプリや、意図せず公開状態になっているクラウド上のデータなど、落とし穴は多い。特に「スマートフォンを買ったばかりで、操作がよく分からないという時に、『じゃ、僕が代わりにやってあげるよ』などと言ってくる第三者にIDやパスワードを教えてしまえば、Web上のサービスを介して写真やメモ帳、位置情報などさまざまな情報を窃取されてしまう。スマートフォンにひも付いたIDとパスワードを誰かに知られると、全て筒抜けになってしまう」と述べ、パスワードの管理に留意してほしいと呼び掛けた。
そして最後に加賀谷氏は、「アプリを入手する際は、日本の携帯キャリアが運営しているマーケットから入手する」「第三者には操作させない」「スマートフォンにひも付いたパスワードは、数字4桁ではなく6桁に増やしたり、機種が許せば英数字も用いたりするなど、なるべく強力なものにし、使い回さない」といった対策を紹介した。
Copyright © ITmedia, Inc. All Rights Reserved.