SMSを使ったフィッシング詐欺が大流行しているようですね。三井住友銀行とかいろんなところから注意喚起のメールが飛んできてませんか?
三井住友銀行にネットでログインしようとしたら、下記のようなお話が表示されました。
2019年9月のお話ですが、1ヶ月だけで5億近い被害があったそうです。2019年8月以前と比較して跳ね上がってますね。詐欺のドル箱状態です。
輸入ビジネスプレイヤーはなにかとネットバンクを使う機会も多いのではないかと思います。なので、今一度セキュリティの話…本格的な『情報セキュリティ』について書いてみようかと思います。
最低でも「これだけはやっておけ」っていうセキュリティ対策
いきなり最初に結論から書いておきます。ここだけ読めば大丈夫っていうような内容です。
とにかく、
という人は、下記だけは実施してください。
- パスワードは常に設定できる最長
- パスワードは常にランダム生成(英数記号全部混ぜ)
- パスワードは使い回さない
- パスワードはブラウザに保存する
- パスワード管理アプリを使う
- パスワードは定期的に変更する
- ワンタイムパスワードが使えるなら必ず使う
- パスワード設定の秘密の質問には正直に答えない
- OSは常に最新にアップデート
- ウィルスソフトは必ず入れる
- メールのURLは開かない、Googleで検索するかブックマークから。
賛否両論もあるでしょう。特にパスワードをブラウザに記憶させるあたり。これはわたしなりに、現代ではこちらのほうがリスクが少ないと判断しました。
きっとこの記事を読み進めていけば、なるほど!と思えるはず。
セキュリティに関する基礎的な考え方
セキュリティに関して絶対に覚えておいてほしいのは、
ということです。なので、セキュリティとは言い換えると破られるまでの時間稼ぎに過ぎない、ということ。
ハッカー・クラッカーがセキュリティを破るのに時間をかけている間に、お仕事をリセットさせるためにパスワードの更新などが有効というわけです。
っていうことはありえないです。ただ2段階認証のおいてはこの限りではない、と思います。
父との会話でわかった『わかってない人』のセキュリティの認識
そもそもなぜこのようなことを気にかけたかと言うと、先日実家にて父とネットバンクについて会話していたんです。
お金は窓口で預けなさい。そうすれば通帳、印鑑がなければお金をおろされることはないんだからな?
どうでしょう?
セキュリティの認識が甘い人というのは『よくわからないものは使わないでおこう』という考えなんですよね。
使わなければ絶対安心なのでしょうか?いいえ、そんなことはありません。なぜなら、これはネットバンクでもリアルバンクでも同じことが言えるからです。
ネットバンクの不正利用はリアルでなんらかの手段によって通帳、印鑑を盗まれたのと同じ意味です。たとえば空き巣・泥棒。
要は、『お金を盗まれるやつはネットだろうがリアルだろうが盗まれる』ってことです。
この手のタイプが一番危ういと思ってます。自分が騙されるという考えが欠けている、ゆえに対策を怠る典型。詐欺師は1,000人に1人が騙される手法を何百、何千パターンも編み出している。いつか自分がやられる確率はゼロじゃないはず。
つまりわたしが言いたいことは、
ということが大切だということです。このブログでわたしは常々言っていることなのですが、『わからないからやらない、リスクがあるからやらない』ではなく、『何をする必要があるのか?どんなリスクがあるのか?どのように対策するのか?許容するのか?』ということを考えるようにしましょう。
攻撃方法を知ることが一番のセキュリティ対策になる
ITの世界には『情報セキュリティ』の国家資格があります。取得に向けて勉強中なわたしですが、その内容はほとんどがハッキング、クラッキング手法に関する内容だったりします。
と思えるような内容。
ハッカー、クラッカーの攻撃方法とは?
では、さっそくハッカー、クラッカーの攻撃手段を説明していきます。できるだけ簡単に。
パスワードクラック(パスワード破り)
以前も似たような記事を書いています。
まとめますと、
- ブルートフォースアタック(文字をすべての組み合わせで打ち込む『総当り攻撃』)
- ディクショナリーアタック(人は意味ある単語をパスワードにする傾向があるため、辞書の組み合わせを打ち込む『辞書攻撃』)
- レインボーテーブル(自分のPCに打ち込んだパスワードは暗号化されてネットの海を漂う。暗号化されたパスを盗聴して複合する攻撃手法)
つまり、パスワードはどんなに複雑にしても時間さえかければいつかは破られる、ということ。
パスワードを破りにくくする、破るまでの時間稼ぎをするために、『長い文字列、ランダムな組み合わせ、定期的な更新』が必要です。
なんてお知らせを無視していませんか?自分は大丈夫、ではなく、更新しておきましょう。
という方がほとんどなはず。もうパスワード管理アプリを使っちゃいましょう。パスワードを自分のPCやネットに保存することになりますが、はっきり言ってこれなしのほうがパスワードを使いまわしとかしだしたりして、リスク高くなります。(ちなみにわたしはKeePass使ってます。これが最良とは思ってはいないのですが。)
パスワードを使い回すと、1個パスワードが破られるとすべてパスワードが破られるのと同じ意味があります。というわけでパスワード使いまわしはダメ。
あと、ワンタイムパスワードが使えるところは必ず使いましょう。パスワードってやつは時間さえかければ必ず破られるもの。でもワンタイムパスワードは『消費期限付きパスワード』になります。つまり、パスワードを破るだけの時間を与えないので堅牢ということ。
フィッシング詐欺、偽サイト
現代のハッキング、クラッキング手法の王道と言えるでしょう。なんやかんや言って現代のセキュリティは強固です。そう簡単に破れないです。
なので、人間の弱い心理につけこんだ攻撃手法が主流です。特にフィッシング詐欺、偽サイト。
と思うかもしれませんが、見た目が全く同じでも騙されない自信があるでしょうか?わたしはかれこれ10年以上エンジニアをやってますが、見抜けない自信があります。
わたしのところにはよくrnicrosoftからメールが届きます。このrnicrosoftからのメールは100%偽物です。
なぜだかわかります?よく見てください。microsofの『m』が『m』ではなく『r』『n』なんですよ。ドメインをパッと見ただけではよくわからないんです。
って思うレベルじゃないですか?つまり詐欺師はそれぐらい巧妙に攻撃してくるってことなんです。
というわけで、わたしなりの対策としては『ブラウザにパスワードを保存させておく』ことにしています。たぶんこれは賛否両論あるでしょう…。昔はよくパスワードを保存するなと言われていましたからね。
ですが、本物サイトにはパスワードが自動入力されて、偽サイトにはパスワードが自動入力されない、この差で偽サイトだと気づくのではないでしょうか。
あと、届くメールはすべて偽メール、なりすましメールかもしれないと思っておいたほうが良いです。
開いたサイトでパスワードが自動入力されていなかったりすれば偽サイトかもしれません。できればGoogleでwebサイトを検索してそっちから入ったり、ブックマークから入るようにしたほうが良いです。
記事の最初のほうに書いてあるSMS詐欺も同じですよね。メールに書かれたURLは開かない、これがおすすめ。
ゼロディアタック
クラッキングの常套手段としてゼロデイアタックなるものがあります。
Windowsって定期的に更新していますよね。で、『XXを修正しました』なんてものがありますよね。
つまり、更新がまだの人はXXをまだ修正できていないんです。このWindowsが更新されるまであいている穴を攻撃するのがゼロデイアタック。
PCは必ず1日に1回は再起動、更新があれば更新してください。
まとめ
輸入ビジネスプレイヤーが扱うお金って数百万単位であることがざらかと思います。実際にわたしもそうでしたし。
複数のネットバンク作って資金を移動させたり。今はわたしは株のほうでもお金をいただいているのですが、数百万の資金移動はざらですね。
なんてことが起こらないようにセキュリティ対策は怠らないようにしましょう。セキュリティ対策はわからないから使わない、ではなく、攻撃方法を知ることが最大の防御であるということを覚えておいてください。