Thinkstock/Photo by Ali Kerem Yücel
悪意を持ってコンピューターの情報を不正に取得したり、害のあるWebページにアクセスさせるソフトウェアを「マルウェア」といいます。マルウェアはコンピューターウイルスと同等に扱われ、家庭用PC向けセキュリティソフトでは、駆除や隔離の対象となっています。
これはインターネット環境の一般化によるパソコンの普及によって広がった、インターネット業界の暗部でもあります。この悪意の対象が昨今、パソコンからスマートフォンに移行されつつあるのです。
日本のスマートフォンは、2009年7月10日にNTTドコモより日本初のAndroid携帯「HT-03A」がより発売されたことをきっかけに爆発的に普及しました。このわずか10年の間で、それまで普及していたいわゆる「ガラケー」に取って代わり普及率は75%にまで達し、2017年にはパソコンの保有率を上回る数字となっています。
インターネットへのアクセス手段もパソコンからスマートフォンに移行が進み、悪意のターゲットも、同様にスマートフォンへと変化しています。
しかしパソコンでは、トレンドマイクロ、ESET、カスペルスキー社等の提供するセキュリティソフトウェアを利用することによって、ある程度対策をすることも可能ですが、スマートフォンについてはまだセキュリティ対策をしているユーザーが少なく、脆弱な環境が多いといえます。
横行する「アカウントハッキング」
TwitterやFacebook、mixiのようなSNSで、知人友人が突然レイバンやオークリーのサングラスの広告などを投稿してるのを見た経験はないでしょうか。これは、そのアカウントの持ち主が意図して投稿したものではまずありません。もしこのような、投稿者が意図していないと思われる投稿を発見しても、その投稿にあるURLにアクセスしてはいけません。これは、悪意ある業者が、不正に入手したIDとパスワードでアカウントを乗っ取って投稿しているものであることがほとんどだからです。たいていの場合このような広告は、高級ブランドの偽物を扱う違法業者の仕業であり、仮に購入手続きをしても、商品が届かなかったり、届いたとしても偽物である可能性が極めて高いのです。
ではこの違法業者は、ユーザのアカウント情報をどのように入手しているのでしょうか。冒頭で述べたようなマルウェアをインストールさせたり、SNSのアカウント連携の悪用が多く見られます。また、フィッシングサイトといわれる、銀行やクレジットカードの管理画面へのログイン画面を模したページを用意し、ユーザーにIDとパスワードを入力させるというものがあります。
トレンドマイクロ社によれば、2018年に入ってからこうしたフィッシングサイトへの誘導数は290万件に上り、前年に比べ約3倍にも増加していることが報告されているのです。
アカウントハッキングを防ぐには
スマートフォンを対象とした不正な情報取得の手口は、年々巧妙化しています。アカウントハッキングによる被害は、自分だけでなく周りの知人友人にも迷惑をかけてしまうため、アカウント情報は自分で守らなくてはなりません。では、どのように守ればよいのでしょうか。ここでは、情報を守るために気をつけるべき点について挙げていきましょう。
1. 同じIDとパスワードを他サイトで使用しない
アカウント情報の流出は、自分のスマートフォンから流出するだけではありません。自分が登録しているサービスが不正アクセスを受け、ログイン情報が流出してしまうというケースもよくあります。実際、そうした大きな流出事件は定期的にニュースとして報道されていますが、そのなかでも2013年、米Yahoo!から30億件もの大量の個人情報が流出した事件は世界中を驚かせました。
もしあなたが複数のサイトで、そうした個人情報が流出したサイトと同じIDとパスワードを使っていた場合、他サービスでもその情報を用いていとも簡単に不正にログインされてしまいます。もちろん、パスワードをサイトごとに変更するのは、かなり面倒に感じるでしょう。しかしこの方法は、不正ログインを防ぐ方法としてもっとも効果的なのです。
もし、サイトごとにいちいちパスワードが覚えるなど無理だ……などといった場合は、自分なりの“ルール”に従って、サイトごとにパスワードを生成する法則を決めるとよいでしょう。たとえば、登録しているサイト名と誕生日を組み合わせる方法です。登録しているサイトを「Yahoo!」、誕生日が3月15日として例を挙げると、パスフレーズは「y0a3h1o5o」のようになります。これでも推測されやすいので、この法則に文字列を追加する等、独自の法則を組み合わせてみるとよいでしょう。
2.メーカー不詳のアプリはインストールしない
Android携帯の場合、アプリは主にGoogle Play ストアからインストールされますが、ストアに登録されているアプリだからといって安心してはいけません。アプリ制作者が、Google Playに自分が作成したアプリを登録する際、Apple Storeと違い、アプリの審査がないのです。つまり、不正な動きをするアプリを登録することが可能だということです。もちろん、不正が発覚しユーザーがGoogle社に通報することで、不正なアプリは削除されますが、被害が出てから対策されるため、最悪の場合、被害に遭った後に対応されることになります。
これを防ぐには、アプリの「提供元」を、インストールの際にきちんと確認する必要があります。また、提供元として登録されているメーカーが、本当にそのアプリを提供しているのかを確認することも重要でしょう。なぜなら、ユーザが提供メーカーを見間違うよう偽ってGoogle Playに登録し、実際には不正なソフトウェアを配布しているようなケースがよくあるからです。
3.ログイン画面のドメインを確認する
通常のWebサービスのページと、それに似せて作られたフィッシングサイトは、ページの見た目だけで見分けることは非常に困難です。下に挙げる例は、実際にショッピングサイト「Amazon」のアカウント情報を不正に取得するフィッシングサイトとして、Amazonをかたる悪意ある差出人のメールから誘導されたAmazonのログイン画面と、通常のログイン画面です。どちらがフィッシングサイトか、見分けはつくでしょうか。
上の例は、左がフィッシングサイト、右が通常のログイン画面です。これを見分けるには、アドレスバーに表示されているURLのドメイン部分で判別するのがよいでしょう。
左のフィッシングサイトは、「amazon-co-jp.pw」 という、通常のサイトのドメインに似せたドメイン名が使われています。また、SSLによる暗号化通信もされていません。それに比べて右の通常のサイトは、ドメイン名が正しい「www.amazon.co.jp」であり、SSLの暗号化通信がされている「https:」の表示も確認できます。
特にメールやSNSの投稿から直接ログイン画面に飛ばされた場合は、必ず飛ばされた先のドメインを確認しましょう。
4.セキュリティソフトの導入
自分自身の確認だけでは、ちょっとした油断からチェックが漏れてしまったり、新しい手口に対応できないような場合もあります。自分自身で確認することはもちろん重要ではありますが、パソコン同様、セキュリティソフトウェアを導入すると確実性が増します。セキュリティソフトウェアには有料アプリと無料アプリがあります。ソフトウェアによってマルウェア検出の精度や機能が異なりますが、スマートフォンの用途や環境によって選択するのがよいでしょう。
【主なセキュリティソフトウェア】
・Avira Antivirus Security
・avast Mobile Security
・AVL
・Yahoo!スマホセキュリティ
・スマートフォンセキュリティ
・ノートン モバイルセキュリティ
・ウイルスバスターモバイル
1 2
