サイバーセキュリティ講座

永遠の旅行者のためのサイバーセキュリティ講座 第1回

永遠の旅行者 サイバーセキュリティ講座

インターネットによってありとあらゆる情報が接続されている現在、物理的な窃盗や強盗に加えて、インターネット犯罪への対策を強化しなければなりません。

最も簡単に誰でもスグに実現できるサイバーセキュリティは、インターネットに接続している全てのデバイスを捨てることです。インターネットから自分自身を遮断すれば、あらゆるインターネット犯罪から身を守ることができます。

ただし、ベジタリアンやビーガンなどの菜食主義者が日常的な食事に困っているように、インターネットを遮断した生活を送ることは決して容易ではありません。決して世俗を離れて仙人のような暮らしをすることがサイバーセキュリティの目的ではありませんので、もう少し現実的な手段を探すことになります。

CAPLARITY.GEのサイバーセキュリティ講座では、インターネットを遮断することなく、日常的な不都合を最小限に抑えながら、個人が実践可能な方法だけを用いて、世界を移動し続ける”永遠の旅行者”が安全なインターネット利用を実現できる環境について解説していきます。

第1回のテーマは「個人がサイバー攻撃を受けて、何が盗まれるのか?」です。

個人がサイバー攻撃を受けて、何を盗まれるのか?

インターネットを経由した犯罪が増加しているものの、個人を標的としたサイバー攻撃について具体的なリスクを実感する機会は、それほど多くありません。だからこそ、サイバーセキュリティへの関心は高まることなく、個人は常にインターネット犯罪の危険にさらされています。

個人情報なんて盗まれたところで特に生活に支障はないという無防備な考えでインターネットを利用することは、世界で最も殺人件数の多いブラジルの街を深夜にひとりで歩き回るようなものです。

盗まれて困るものは、やはり”お金”

2019年7月にサービスの提供が開始されたセブンペイは、セキュリティ対策の不備によって僅か3日程度で休止状態となり、そのままサービス廃止に追い込まれました。キャッシュレス化が進むことによって、今後はサイバーセキュリティについて考える機会が増えるかもしれません。

個人に対するインターネット犯罪で盗まれるものと言えば、やはりお金です。インターネットに接続されている個人のお金に関するものとしては、以下のようなものが挙げられます。

  • 銀行口座のログイン情報
  • クレジットカード情報
  • キャッシュレスアプリのログイン情報
  • 仮想通貨のシークレットキー

これらの情報を盗まれないようにすることが、サイバーセキュリティの最大の目的のひとつということになります。

どうやってお金に関する情報が盗まれるのか

お金が盗まれたら困るというのは、誰しもが持っている共通認識だと思います。しかし、いったいどのようにお金に関する情報は盗まれてしまうのでしょうか。

自宅が強盗に入られないようにするには高い壁を設置するように、ハイジャックを防止するためには危険物を機内に持ち込ませないように、それぞれの犯罪の手口を理解した上での対策が必要になります。

そこで、まずはどのような手口によってお金に関する情報が盗まれるのかについて確認しておきましょう。銀行口座のログイン情報を例として犯罪の手口をご紹介します。

銀行口座のウェブサイトにログインするところを狙う

もっとも手っ取り早いのは、ターゲットが銀行口座のウェブサイトにログインしたところを狙う方法です。

具体的には、

  • ログインしているところを覗き見る
  • ログアウトしていないパソコンを狙う

ログインしているところを覗き見る方法としては、カフェなどで隣に座って操作を覗き見るだけではなく、キーロガーというパソコンに入力された文字列を記憶する装置などがあります。

ログアウトしていないパソコンを狙うのは、あまり現実的ではありませんが、インターネットカフェや学校などの共用のパソコンを利用している人は注意が必要です。

メールアドレスを盗んでログイン情報を変更する

銀行口座のログイン時には通常、メールアドレスが個人認証のための手段として用いられています。このため、銀行口座のログイン情報を直接盗むのではなく、メールアドレスを盗むことで2ステップで銀行口座に辿り着く手段がとられることがあります。

メールの受信トレイを覗き見られれば、そのメールアドレスの持ち主がどこの銀行を使っているのかが明らかになり、銀行に対してパスワード紛失の申請などをすることによって、銀行口座のログイン情報を取得することができます。

このため、メールのセキュリティについても銀行口座と同様のレベルの対策が必要であることに加えて、メールと銀行口座のログインパスワードを同じものにしないことが、最低限のセキュリティ対策になります。

携帯電話番号を盗んでメールアドレス経由で銀行口座へ

犯罪グループは、お金を盗むための努力は惜しみません。メールアドレスの入手が困難であれば、携帯電話番号を盗むことから始めて、メールアドレス、銀行口座へと3つのステップを辿ってでも、お金へのアクセスを試みます。

どうして携帯電話番号からメールアドレスへと侵入が可能なのかというと、日本でも多くのユーザーがいるGmailなどのメールサービスでは、パスワードの紛失時の再発行申請にSMSを利用しているからです。

携帯電話番号を盗むための手段としては、物理的に窃盗や強盗をしてスマホを奪い取るだけでなく、遠隔でスマホを覗き見たり操作したりすることができる監視アプリのようなシステムが使われます。

第1回サイバーセキュリティ講座まとめ

とてもシンプルな例ばかりですが、個人がサイバーセキュリティを高めなければならない理由について解説させていただきました。

これらのインターネットを通じたサイバー攻撃は、特定の個人を狙ったものよりも、不特定多数に対してトラップを仕掛けて、トラップに引っかかったターゲットを対象にして実際の攻撃が行われるものが大半です。

第2回以降では、トラップに引っかからないために行うべきことや、この記事で紹介した攻撃対象となるポイントについて防衛する方法についての解説を進めていきます。