2020年の年末セール時期を安全に乗り切るUnit 42からのサイバーセキュリティアドバイス

This post is also available in: English (英語)

2020年は、これまで誰も経験したことのないような年になりました。新型コロナウイルスCOVID-19の感染拡大で私たちの日常生活、とくに休暇の楽しみかたは一変してしまいました。パロアルトネットワークス脅威インテリジェンスリサーチチームUnit 42のリサーチャーのひとりとしては、「この年末セールの時期、どうすれば消費者のみなさんにオンラインでのショッピングを安全に楽しんでもらえるだろう?」というところがやはり気がかりです。 

年を追うごとに年末商戦の前倒しが進んでいる気がする昨今ですが、どうもオンラインショッピングの急増もそれにならっているようです。この前倒しの傾向は今年はさらに顕著になっており、感染拡大で出荷が遅延する可能性があることから、これまで以上に早めに買い物をすませるようアドバイスする小売業者さんも増えています。Amazonプライムデーは10月13日と14日が年末セールの非公式スタート日となっていますし、その後もブラックフライデーや(もちろん)サイバーマンデーが控えていて、これがこの調子でずっとクリスマス、ユダヤ教徒のお祭りハヌカ、そして年末休暇までつづきます。

かように年末セール時期が長期化しているうえ、COVID-19のせいで買い物もオンラインが中心になっていますので、サイバー犯罪者があの手この手で消費者を狙い、攻撃を仕掛ける機会もそれだけ増えてくることになります。 

そこで私たちUnit42は、「消費者として知っておきたい4大脅威」に皆さんがうまく対策をして、この年末セール時期を安全に乗り切れるよう、2020年版のサイバーセキュリティアドバイスをおおくりしたいと思います。 

1. ランサムウェア対策: 仕事用デバイスと私用デバイスを分ける

2020年はランサムウェアの年でした。攻撃者は新型コロナウイルスの感染拡大のさなか、恥知らずにも医療機関教育機関、自治体を主な標的としてきました。

今年の攻撃者は主に企業や公共部門を標的にしていましたが、自宅勤務をしていて仕事用デバイスでオンラインショッピングをしている消費者も、彼らの攻撃対象になりえます。消費者が仕事で使うデバイスを侵害することで、企業ネットワークに侵入し、その企業をランサムウェアに感染させるのが狙いです。

ですから消費者の皆さんは、仕事のデバイスは仕事に使い、私用は私用デバイスで済ませる、という公私のけじめを忘れないようにしてください。そうしておけば、攻撃者に自身の雇用企業を狙うチャンスを与えずにすみます。

2. フィッシング詐欺対策: メールの内容を注意深く調べる

攻撃者がもっともよく使う脅威手段はフィッシングメールです。なにしろ簡単だし効果も高いので、新型コロナウイルスの感染拡大フェーズでも悪用拡大が観測されています。

つまりこの年末セール時期、消費者は、ニセの出荷通知、ニセの注文確認、ニセの慈善活動など、さまざまなフィッシング詐欺に注意しなくてはいけません。 

クリックの前に疑ってみることを忘れないでください。知らない発信元からのリンクをクリックしてはいけません。舞い込んだ話がうますぎると思ったら、それにはきっとウラがあるはずです。

3. ドメインスクワッティング対策: 入力したドメイン名をダブルチェックする

Unit 42が今年観測した最大の脅威の1つがサイバースクワッティングです。サイバースクワッティングというのは、既存のドメインやブランドとの関連を連想させるドメイン名をあらかじめ登録しておくことで、消費者の入力ミスから利益を得ようとする攻撃者のテクニックを指します。このようにドメインを不法占拠(スクワッティング)する目的は、攻撃者の登録したニセのドメイン名を正当なドメインやブランドが所有しているものと消費者に勘違いさせることにあります。たとえば、walrmart44[.]comというドメインが、Walmartの所有するドメインであると勘違いさせようとするわけです。

今年は消費者がオンラインを中心に年末セールショッピングを行うと予想されることから、攻撃者も人気ECサイトに似せたスクワッティング用ドメインを積極的に登録しています。たとえばUnit 42では、Amazonが2020年に最も悪用されたドメインの1つであることを確認しています。

ですから消費者も、サイトにアクセスする前にドメイン名に入力ミスがないか、ドメインの所有者は信頼すべき所有者かをダブルチェックする必要があるでしょう。ブラウザにhttps通信の鍵アイコンが表示されていることも確認しましょう。 

4. フォームジャッキング攻撃など疑わしい活動への対策: クレジットカード明細に注意する

Unit 42が今年度観測したもう1つの大きな脅威がフォームジャッキングです。これは、悪意のあるJavaScriptコードを挿入してWebサイトをハッキングし、サイトのフォームページの機能を乗っ取る攻撃をさします。フォームジャッキングは、ECサイトの「チェックアウト(会計)」ページでキャプチャされた支払いフォームからクレジットカードの詳細やその他の個人情報を盗むように設計されています。

オンラインで年末セールショッピングを楽しむ消費者にとってこれが問題なのは、フォームジャッキングの検出がむずかしいからです。フォームジャッキングされていても取引じたいは完了しますが、裏ではクレジットカード情報が攻撃者に盗まれ、ダークウェブで販売されてしまうかもしれません。 

ですから消費者は、クレジットカードの明細をダブルチェックして、疑わしい支出がないかどうかを確認する必要があります。 

フォームジャッキングの有無にかかわらず、オンラインショッピングではふつうクレジットカードやプリペイドギフトカードを利用する必要があります。これらの決済手段では、サイバー犯罪者がカード情報を手にして何かを購入したり、あるいは何かを購入しようとしたときでも、すばやく解決できることが保証されています。とくにプリペイドギフトカードの場合は、サイバー犯罪者が窃取可能な金額も制限されています。

自宅を安全に保つUnit42からのサイバーセキュリティアドバイスについては「Cybersecurity Tips for the Household CIO of 2020 (2020年版ご家庭CIO向けサイバーセキュリティアドバイス)」と「How to Protect Against Cyberattacks When Working from Home During COVID-19 (コロナ禍での在宅勤務でサイバー攻撃から身を守る方法)」もあわせて参考にしてください。

testtest12