※注釈:上記内に記載の「利用部会が選ぶ5大脅威」は、「スマートフォン利用シーンに潜む脅威 Top10 2023」というタイトルで発表することになりました。ご了承ください。
1月16日(月)、JSSEC(一般社団法人日本スマートフォンセキュリティ協会)の利用部会において会員企業様を対象としたワークショップの第2回を開催しました。これは、本部会の本年度の方針のひとつ「オンライン/オフラインを融合させた活動~ハイブリッドなワーキンググループ活動と外部への情報発信~」に基づくものです。
今回のワークショップは、「利用部会が選ぶ5大脅威を選出しよう」をテーマとした全2回の2回目となるものです。第1回目に候補として選出された16のキーワードに対する説明と、4つのチームに分かれてディスカッションを行いました。参加者はワークショップの終了後に投票を行い、その集計によって5大脅威を決定します。
ワークショップでは、まず利用部会 部会長の松下綾子からJSSECの活動紹介を行いました。続いて、利用部会 副部会長の本間輝彰から、第1回のワークショップで5大脅威の候補として選出された16のキーワードについて説明がありました。16のキーワードは次の通りです。
1:アカウント乗っ取り
2:検索エンジンの汚染
3:不正物販サイト
4:スミッシング詐欺
5:アプリストアのマルウェア問題
6:スマホカメラの悪用
7:高度化したフィッシングメール
8:短縮URL
9:SNSフェイクニュース、ディープフェイク
10:利用者のリテラシー問題
11:ビジネス基盤を狙った攻撃
12:狙われるCloudメール
13:SIMスワップ(なりすまし契約)、オンライン、店頭での契約を含む
14:アプリの実装問題
15:アプリの緩和、Google、Apple以外にも認める政府の意向
16:紛失
全体を見ると、被害の入口となるもの、実際の攻撃、ユーザー側ではどうしようもないものなど、いくつかのカテゴリーに分類できます。悪用されると深刻な被害に遭ってしまうものが多く、またスマートフォンだけでなくパソコンでも被害に遭う可能性の高いものもあります。ここでは、詳しい手口や具体的な被害、背景なども合わせて紹介されました。
その後、休憩をはさんでチームディスカッションが行われ、各チームで出た意見が発表されました。発表のポイントをまとめます。
■「なりすまし契約」については、免許証などの偽造が増えており、被害も拡大している印象がある。また、そもそも電話番号が認証キーになっていることが気になる。復旧が難しい。オンラインのSIM交換も可能になっているので、なりすまし契約の啓発も必要。
■対策として、技術的にはマイナンバーを使う方法もあるという提案があったが、課題も多いだろう。携帯キャリアからの参加者が2人いたが、キャリアは違っても同じ課題認識を持っていて、協調できれば将来がもっと良くなると思った。
■「フィッシング・スミッシング」については、やはり重大な問題であることが共通の認識だった。家族などに注意喚起をしておくと、怪しいメールを受け取った際に確認の連絡をもらえたりするので、啓発して危機感を持ってもらうことは重要。
■なりすまし契約や不正アプリと同様に、一人で生活していると「フィッシングかどうかの判断」が難しいという指摘があった。周りに人がいれば聞くこともできるが、そもそも、信じられるかどうかの明確な指針がなく、インターネットの信頼性も揺らいでいる。
■「短縮URL」は悪いことではないが、そもそもURLが表示されないスマホも増えている。果たしてそのサイトから新規ID登録をしていいのか、正しいサイトかどうかの見極めが難しいという意見があった。スミッシングと合わせて考えると非常に大きな問題。
■「パスワード管理の課題」も話題になった。パスワードが必要なサービスは増える一方で、ユーザーはそのすべてを覚えることは不可能。最近ではパスワードレス認証も広がりつつあり、パスワードマネージャーの利用も推奨されている。
■パスワードマネージャーを利用するとしても、今度はそのサービスが狙われ、実際にサービスが保存しているパスワード情報が漏えいした事件もあった。これはサービスに期待して信用するしかないが、ユーザーとしてはサービス利用のキーとなるスマートフォンの紛失そのものに、まずは気をつける必要がある。
■「検索エンジンの汚染」については、人に言えないキーワードで引っかかるケースが多いので相談しにくいという意見がある一方で、正しいキーワードでも起きるという話もあった。これに関連して、マルウェアサイトなどに誘導する怪しい広告も話題に上った。怪しい広告は、検索エンジンだけでなくInstagram、Facebook、YouTube、Twitterでも表示されるので、根深い問題である。
■「ディープフェイク」については、フェイクニュースにもつながるものであり、特に戦争や災害の動画などは信じてしまいやすい。実際に大手メディアが信じてしまい、ニュースで紹介するケースもあった。著名な人物が話すディープフェイク動画は特に信じやすいので、注意が必要。一方で、偽物かどうかを判断するポイントがわからないという指摘もあった。
■「スマホカメラの悪用」という話題もあった。最近ではQRコード決済に対応したセルフレジも増えているが、レジを待つ間にQRコードを表示したまま並んでいる人もいる。それを盗撮して先にレジに行けば、撮影したQRコードで決済できてしまう。生成されたQRコードは5分間有効であり、その間に決済してしまえば可能となる。まだ顕在化していないが、こうしたリスクもある。
以上、チームディスカッションでの主な話題を紹介しました。ディスカッションの中では、脅威を紹介することはもちろん大事なことだが、脅威の被害を受けた時にどうすればいいのか、事後対応の方法も伝えるべきという意見も複数出ていました。まさにその通りだと考えています。今回は5大脅威の選出がテーマでしたが、今後は脅威に対する予防策や事後対応についても情報発信をしていきたいと思います。
ワークショップ第2回はこれで終了しましたが、参加者の方々には16のキーワードから3つを選んで投票していただきました。その集計により、5大脅威が決定します。結果は大々的に発表する予定ですので、ぜひ皆さんもチェックしてみてください。また、脅威の手法が先鋭化していく中で、リアルな情報交換の場は有意義という声もいただいています。こうしたワークショップは今後も開催していきたいと思います。
※注釈:上記内に記載の「利用部会が選ぶ5大脅威」は、「スマートフォン利用シーンに潜む脅威 Top10 2023」というタイトルで発表することになりました。ご了承ください。
【参考】第一回目のコラムはこちら↓
JSSECワークショップレポート、「利用部会が選ぶ5大脅威」作成に向けて
~異業種の方と意見交換する楽しみと気づきが満載~
https://www.jssec.org/column/20221222.html