サポート詐欺に引っ掛かるためにもIT知識が必要なのねこうしす! こちら京姫鉄道 広報部システム課 @IT支線(48)

情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第48列車は「偽セキュリティ警告」です。※このマンガはフィクションです。

» 2024年06月27日 05時00分 公開

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

こうしす!」とは

ここは姫路と京都を結ぶ中堅私鉄、京姫鉄道株式会社。

その情報システム(鉄道システムを除く)の管理を一手に引き受ける広報部システム課は、いつもセキュリティトラブルにてんてこ舞い。うわーん、アカネちゃーん。

こうしす!@IT支線」とは

「こうしす!」制作参加スタッフが、@IT読者にお届けするセキュリティ啓発4コマ漫画。


今回の登場人物

mei

英賀保芽依(AGAHO Mei)

広報部広報課係員。天才的トラブルメーカーで、システム課やシステム子会社からは「アルティメットバグトリガー」として知られる。アカネの同期




第48列車:サポート詐欺も困る















※Live2Dモデル:Live2D 高嶋るみあ、背景3D:OPAP-JP contributors


井二かけるの追い解説

 マンガのテーマは「偽セキュリティ警告」「サポート詐欺」です。

 先日、大阪府 熊取町の小学校で教師がサポート詐欺に遭い、児童の個人情報などが流出した事件が報道されました。また、2023年に長野県の県立高校2校で発生した事例も記憶に新しいところです。こちらの事例では個人情報保護委員会への報告が遅れ、2024年2月に行政指導を受ける結果となりました。

大阪府事例

個人情報の漏洩について(熊取町教育委員会)

長野県事例

公用パソコンからの個人情報流出の可能性について_2023年8月24日(長野県)

公用パソコンからの個人情報流出の可能性について_2023年9月13日(長野県)

長野県教育委員会に対する個人情報の保護に関する法律に基づく行政上の対応について_2024年年2月21日(個人情報保護委員会)


 「偽セキュリティ警告」という手法は、10年前のアニメ「こうしす!」第1話でも言及していたように昔からある手口です。

 デバイスが多様化しブラウザやOSのセキュリティ対策も進んだ現在、閲覧そのものでマルウェアを感染させたり、閲覧者をだましてブラウザからマルウェアをダウンロードさせたりする手口ではなく、より直接的に閲覧者を行動させる手口が見られるようになりました。

 例えば、サポートを装って閲覧者にプリペイドカードなどの金銭を要求する、閲覧者に遠隔操作ツールを起動させるなどです。熊取町の小学校の事例も同様の手口だったと考えられます。

サポート詐欺とは

 インターネット広告などの仕組みを悪用し、PCやスマホに「ウイルスに感染した。対処にはサポートへの連絡が必要」などの偽の表示を行い、自称サポート窓口への連絡を要求し、金銭を要求したり、遠隔操作などによって機密情報を盗み出したり、マルウェアをインストールさせたりするものです。

 画面全体に表示されたり、次々に警告表示を出したり、大きな音を出したりなど、大げさに表示することにより、対象者を慌てさせ、正常に判断できなくさせることを狙っています。

 サポート詐欺は、インターネット広告を使ったものだけではありません。

 過去にはセキュリティ企業から流出した個人情報を悪用し、セキュリティ企業になりすました電話を通じて実行したサポート詐欺の事例もあります。

Trend Micro Discloses Insider Threat(Trend Micro)

海外市場において個人向け製品をご利用いただいているお客さまの情報流出に関するお知らせとお詫び(トレンドマイクロ)


サポート詐欺になぜ引っ掛かってしまうのか

 サポート詐欺に引っ掛かってしまう理由は幾つか考えられます。

 1つは、「ウイルスに感染したらすぐ対応しなければならない」という意識はあるが、「どこに連絡すべきか覚えていない。あるいは組織内に連絡窓口が存在しない」という状況です。

 そこで、とにかく何とかしなければと目の前に表示された電話番号に連絡してしまいます。これは、個人というよりも組織の問題です。普段から「セキュリティインシデントに遭遇したときは、どこに連絡すべきか」という情報を共有しなければなりません。

 よくある標的型攻撃訓練メールのように「引っ掛かった人にだけ特別研修を受けさせ、開封率ゼロを目指す」という方法では、多くの人に教訓を残せません。「どこに連絡すべきか」という対処法が全ての人に伝わらないまま終わってしまえば、わざわざコストをかけて訓練した意味がありません。特別研修を受けた人も「特別研修で怒られた」という嫌な記憶として、対処法ごと記憶のかなたに葬り去ってしまうかもしれません。

 これはよくあるゴールの設定ミスです。開封してマルウェアに感染してしまったと認識したときに脊髄反射的にすべきこと、連絡すべき先を頭にたたき込むことも訓練の目標とすべきです。その意味では、全員が詐欺メールやサポート詐欺広告に引っ掛かる訓練をする方が、開封ゼロを目指すよりはるかに有意義といえるかもしれません。

 もう1つ考えられるのは、何かやましいことがあり、一人で対処しなければならないと慌てるケースです。職場のPCでいかがわしいWebサイトを閲覧している最中だったなど、何かやましい事情がある場合、個人で何とかしようとする意識が働きます。

 これは個人の問題であり、組織としての対策が難しいケースです。組織としては、個人がそもそもやましいことをしづらいように「ログを取得している」などでけん制することや、サポート詐欺の二次被害を防ぐためにさまざまな手口を社内教育に含めることなどが考えられますが、効果的な対策が難しいのが現状です。

 とはいえ、現在では一般の広告ネットワークを通じて、特にいかがわしくない一般のサイトでも、偽セキュリティ警告が表示されることがあります。例えば「ねとらぼの記事を閲覧しているときに偽セキュリティ警告が表示された」という声もSNSにあります。そのため、サポート詐欺に引っ掛かったからといって、いかがわしいサイトを見ていたと決めつけるのは良くありません。

偽セキュリティ警告が表示されたときは

 では、実際に自分のPCで偽セキュリティ警告画面が表示されたときは、どのように対処すればいいのでしょうか。Windows PCの場合、以下の方法があります。

  • [ESC]キーを長押しする
  • [Ctrl]+[Alt]+[Del]キーを同時押しして表示される画面からPCを再起動する

 IPA(情報処理推進機構)が「偽セキュリティ警告画面の閉じ方体験サイト」を公開していますので、閉じ方を練習するのもよいかも知れません。

サポート詐欺の「偽セキュリティ警告画面の閉じ方体験サイト」を公開(IPA)


 実際に被害に遭ってしまったときは、マニュアルに従って対処し、セキュリティ担当部署に報告し、指示を仰いでください。

 ちなみに、LANケーブルを抜線するべきか、電源ケーブルを抜くべきかは、一概にいえることではありません。いずれにしても、マルウェアが証拠隠滅をしようとしたり、電源断によりマルウェアの証拠が消えたりすることがあります。土壇場で迷っていては被害が拡大することになります。そのため、あらじめ組織としてのポリシーを定めておくことが重要といえるでしょう。

 また、個人情報保護委員会への報告義務が生じる場合もありますので、忘れないようにしましょう。

もう1つの問題点

 偽セキュリティ警告、サポート詐欺のインターネット広告は、一般の広告ネットワークで配信されていることが指摘されています。

GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法(ITmedia エンタープライズ)


 このように閲覧者の意図に反する広告は、インターネット広告全体に対する社会一般の信頼を害するものだといえるでしょう。しかし残念ながら、現在に至るまでこのような広告について対策される気配はありません。広告を掲載するWebサイトの運営者も、状況によっては広告を削除する、設定を変える、自前で広告を運用するなどの柔軟な自衛策を採らざるを得ないと言えるでしょう。

 「意図に反する」「社会一般の信頼を害する」といえば、何となくあの法律を思い出しますが、その該当性についてここでは論じません。

「『一回転』でググれ」と言ったら、逮捕されますか?(こうしす!)


 しかし倫理的な観点からは、こうした広告を配信することについては広告事業者に責任があります。広告事業者には、こうした広告を配信しないように対策を採ることが求められています。

Copyright 2012-2024 OPAP-JP contributors.
本作品は特に注記がない限りCC-BY 4.0の下にご利用いただけます


筆者プロフィール

原作:井二かける

アニメ「こうしす!」監督、脚本。情報処理安全確保支援士。プログラマーの本業の傍ら、セキュリティ普及啓発活動を行う。

著書:「こうしす!社内SE 祝園アカネの情報セキュリティ事件簿」(翔泳社)2020年2月発売

ハックしないで監査役!! 小説こうしす!EEシリーズ 元社内SE祝園アカネ 監査役編 [1]」(京姫鉄道出版) 2022年6月発売


解説:京姫鉄道

「物語の力でIT、セキュリティをもっと面白く」をモットーに、作品制作を行っています。


原作:OPAP-JP contributors

オープンソースなアニメを作ろうというプロジェクト。現在はアニメ「こうしす!」を制作中。


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。