Icon search



こんにちは。エンジニアの岡田です。


エンジニアという仕事柄、情報セキュリティに関する記事
をよく読むようにしているのですが、


先日、セキュリティソフト大手トレンドマイクロのブログで
興味深い記事がありましたので、ご紹介させていただきます。


▼トレンドマイクロ 「TrendLabs SECURITY BLOG」
『「Google Play」上で複数のAndroid向けワンクリック詐欺アプリ(ワンクリウェア)の公開を確
認』
http://goo.gl/tXQYe



ワンクリウェアと呼ばれるワンクリック詐欺プログラムが
Google Play内に複数公開されていたそうです。


支払いを迫る手口も巧妙で、最初99,500円だった請求が、
3日を過ぎると180,000円に増額。


利用者の不安を煽り、判断を鈍らせるというものです。



同社サイト「インターネット・セキュリティ・ナレッジ」にワンクリック詐欺
の手口と対策を纏めた特集記事がありましたので、
併せてご紹介させていただきます。


▼トレンドマイクロ 「インターネット・セキュリティ・ナレッジ」
「スマートフォンでも注意が必要! あなたを狙うワンクリック詐欺にご用心」
http://goo.gl/APsmC



スマートフォンの普及に伴い、ワンクリック詐欺の手口が巧妙化。
下記のようなケースが挙げられています。


1) 警戒心を解かせるよう仕向けるケース
2) 利用者の不安を煽るケース
3) 問い合わせ先に電話させるよう仕向けるケース

記事によると、あえて請求までに3クリック、4クリックと手順を踏ませて
利用者の警戒心を解かせようとする手口や、


請求ページにIPアドレスや契約プロバイダ名を表示させ、
利用者の不安を煽る手口、


問い合わせ先に電話をさせて、個人情報を聞きだす手口などがあり、
その対策として、


1)安易にクリックしない
2)利用規約など情報をしっかり確認する
3)問い合わせ先に電話をしない
4) 慌てて請求に応じない

が挙げられています。




今回のGoogle Playの件もそうですが、ワンクリック詐欺については
今後より一層の注意が必要です。

Androidユーザの方は特にご注意ください。




このように、流行りはじめのころと比べて手口が巧妙化している
といわれているワンクリック詐欺ですが、


「人間の隙につけこむ」というのが、今回ご紹介した手口全てに
当てはまることだと思います。




コンピュータ用語で、「ソーシャルエンジニアリング」という言葉を
ご存じでしょうか。


システムの技術的な脆弱性を突くのではなく、

不安を煽る、身分を詐称する、無防備な状態を狙う、
など、人間自身の脆弱性を突いて情報を盗み出す行為のことをいいます。



具体的には、


1)PCの画面やキーボードを盗み見してパスワードを暗記する「ショルダーサーフィン」
2)ゴミ箱を漁り情報を盗む「トラッシング」
3)顧客を装い、巧みな話術で顧客情報を不正に聞きだす

など、手口は様々ですがどれも人間の隙につけこむものです。



では、ソーシャルエンジニアリングで攻撃された場合、
被害に遭わないためにはどうしたらよいか?


自社が攻撃を受けることを想定し、考えてみたいと思います。





まず挙げられるのが、社内のセキュリティルールを
共有しておくことです。


自社(自分)がどんな情報を扱っていて、どのように注意・対応
しなければならないかを社内で共有しておくことで、


1)出入り口をオートロックにする
2)シュレッダーを四方から裁断する「クロスカット」に替える
3)パーティションを設置する

など、より具体的な対策を考えることができると思います。



次に、身分を詐称して不正に情報を聞き出されることの対策
を考えてみると、


電話対応マニュアルの見直しが効果的だと思います。


例えば、「パスワードを忘れた!」と顧客から電話がかかってきた時の対応で、


1)電話口でパスワードを直に伝えない
2)本人確認フローを整備し、フローに沿って会話を進める
3)パスワードの伝達手段を登録済みのメールアドレスに限定する

などと事前にマニュアル化しておけば、いざ攻撃を受けたとき
攻撃の成功率が下がり、被害に遭いにくくなります。




情報セキュリティ対策は、日々の業務に追われてついつい軽視しがちで、
社内的にも評価されにくいことかと思いますが、


情報漏えいをはじめとする最悪の事態に備えることは
日々の業務以上に重要だと思います。



私も今このメルマガを書きながら、社内のセキュリティルールを再確認し、
認識を新たにしているところです。


皆様も、この機会に社内のセキュリティルールや電話対応マニュアル
を見直してみてはいかがでしょうか。


このメルマガが皆様のお役にたちましたら、非常に嬉しく思います。




それでは、本日もよろしくお願いいたします。


メルマガ関連情報

直近のメールマガジン情報

過去のメールマガジン情報

プレスリリース詳細検索

キーワード

配信日(期間)

年  月  日 〜 年  月 

カテゴリ

業界(ジャンル)

地域

ページトップに戻る