9月25日(月)、JSSEC利用部会において、会員企業様を対象とした3回目となるワークショップ「スマートフォン利用シーンに潜む脅威 Top10 2023~その時あなたならどうする!?」を開催しました。
これは、本部会の本年度の方針のひとつ「オンライン/オフラインを融合させた活動~ハイブリッドなワーキンググループ活動と外部への情報発信~」に基づくものです。
これまでのワークショップで、「JSSEC『スマートフォン利用シーンに潜む脅威 Top10 2023』」が決定されました。今回は、このTop10の中から共通のテーマを2つピックアップし、それぞれについてディスカッションを行うというものでした。なお、現地参加とオンライン参加のハイブリッド方式での開催となりました。
今回、選ばれたテーマは「フィッシング」と「SNSの悪用」です。具体的には、フィッシングでは「依然猛威を振るうスミッシング詐欺」(第1位)、「メールを狙った様々な攻撃」(第4位)、「短縮URL問題」(ランク外)。SNSの悪用では「ディープフェイク」(第3位)、「SNSフェイクニュース」(第7位)となっています。
【表1】スマートフォン利用シーンに潜む脅威 Top10 /2023
ワークショップでは、25名(現地参加10名、オンライン参加15名)を4つの班に分け、フィッシング2班、SNSの悪用2班という形でディスカッションを行いました。今回は、テーマに関する脅威を挙げていくだけでなく、その先の「もし被害に遭ってしまったらどうすればいいか」ということまで話し合いました。ディスカッションの後で、各班が発表を行いました。
●騙されてしまったときのケアが重要
ディスカッションに先立ち、まず利用部会 部会長の松下綾子、および三池聖史からJSSECの活動紹介を行いました。続いて、利用部会 副部会長の本間輝彰から、今回の2つのテーマについて説明がありました。
本間は最初に、人の脆弱性に関する資料を紹介しました。それは人が騙される4つの要因をまとめたもので、要因には「信頼のバイアス」「過信のバイアス」「割引効果のバイアス」「損失回避のバイアス」があるとしました。
「信頼のバイアス」はフィッシング詐欺でご存知のように、有名な会社を騙ることです。フィッシング詐欺では、Amazonやえきねっと、ETCサービス、三井住友カードなどが使われます。
「過信のバイアス」は、騙された人のネットの記事を見ると、その多くが「私は騙されないと思っていました」などと過信していたことが分かります。騙されない自信があっても騙されます。過信していると周りが良く見えないのかも知れません。
「割引効果のバイアス」は「やましさ」にもつながりますが、人間はお得感があると、ついつい目がくらんで騙されます。お店でも、「こちらの商品の方が、値段は高いですが高性能、高機能な上に割引率が高いです」と店員さんに言われると、心が動きますよね。これもある意味、騙しの手口といえます。
そして「損失回避のバイアス」は、このまま何もしないと損害が発生すると不安を煽る手口です。アカウントが乗っ取られました、配達にうかがいましたが不在なので持ち帰りました、などというものです。「ご購入ありがとうございました」と買った覚えのない商品の購入通知が届いたら、つい「キャンセルはこちら」をクリックしてしまいますよね。
この4つが騙される要因です。そもそも人間は騙されやすいというか、信じやすい生き物ですので、人にリンクした時点で防ぐことはできないといえます。「これまでのセキュリティ対策は騙されることを防ごうとするものでしたが、今回のテーマでは騙されてしまった後にどうするか、そのケアについても意見を出し合って欲しいと思います」
●「フィッシング」のポイント
今回のテーマについての説明です。まずフィッシングはメールやSMSにメッセージとして送られてくる詐欺です。それにより受信者を騙してフィッシングサイトに誘導します。リンクには、見ただけではどこに飛ぶのか分からない「短縮URL」が使われることもあります。
フィッシングサイトは本物と見分けがつかない精巧なもので、受信者は偽物と気づかずにIDとパスワードを入力してしまい、それらが攻撃者に盗まれてしまいます。また、リンク先でマルウェアをインストールされてしまうケースもあります。
攻撃者は盗んだ個人情報を使って、例えばAmazonの商品券など現金に替えられるデジタルコードを購入し、それをネットで売却して利益を上げます。また、IDとパスワードの組み合わせを売買することもあります。同じパスワードを複数のサービスで使いまわしていると、別のサービスに不正ログインされてしまうこともあります。
攻撃者からのフィッシングメールやスミッシングは、フィルターである程度止めることができます。ただし、すり抜けてしまうものもあります。受信者がフィッシングと気づかずにリンクをクリックしてしまっても、セーフブラウジングで警告が出ることがあります。しかし、警告が表示されることはまれです。
ディスカッションのポイントとしては、一つは、犯罪に巻き込まれないためにどうするか、いかにフィッシングメールに気づくかということ。もう一つは、巻き込まれてしまったらどうするかということ。マルウェアをインストールしてしまったり、個人情報を入力してしまったり、金額の損失が出てしまったりしたときにどうするか。この2つが挙げられるとしました。
●「SNSの悪用」のポイント
もう一つのテーマは、ディープフェイク、フェイクニュースです。
ディープフェイクは、基本的に有名人や著名人の画像や動画を合成して、あたかもその人が喋っているように見せる。あるいは、他人になりすまして情報発信をしたり、他人の作品を悪用したりします。
ただし、ディープフェイクの技術そのものは犯罪ではなく、最近では映画にも使われています。ディープフェイクの技術を使った正しいコンテンツは、エンターテイメントとして価値があると思いますが、それを悪用してしまうと単なる犯罪です。それらを取り締まるかどうかという議論はありますが、現実としてディープフェイクは簡単にできてしまいます。
もう一つはSNSのフェイクニュース。最近では新型コロナウイルスが深刻になったときに、「トイレットペーパーがなくなる」という情報がネットで広がり、トイレットペーパーの買い占めも起きました。このように、ネットのニュースの善悪を見極めることは難しいです。
フェイクニュースに騙されて、それほど必要のないものを大量に買ってしまった。あるいは高価なものを買ってしまったという被害も考えられます。
また、もう一つのパターンは、フェイクニュースと知らずに自分で拡散してしまうパターンです。それにより、さらに騙される人が増えていく可能性もあります。極端に言えば、自分が加害者になってしまうわけです。
本間はディスカッションのポイントとして、ディープフェイクやSNSのフェイクニュースに騙されないようにすることと、騙されてしまった場合、自分が加害者になってしまった場合にどうするかといったことを挙げ、これらのポイントを踏まえて議論できると良いとしました。
●グループ討議では活発に意見交換が行われた
続いて、50分間のディスカッション(グループ討議)が始まりました。参加者は4班に分かれて、テーマに沿って意見を出し合いました。現地参加の10名は一つのグループになり、三池をリーダーにフィッシングについて議論しました。
「自分の周囲で発生したフィッシング」では、「WhatsAppにボイスコールの“ワン切り”がある。何を狙っているのか分からない」「Facebookのコメント欄に『お友達になりませんか』という書き込みが増えた」「LinkedInに台湾の人から『今度日本に行くので案内して欲しい』とメッセージがあり、会話を進めるとロマンス詐欺だった」「音声や通話をともなうサポート詐欺が増えた」など、活発な意見が出ました。
「特にスマートフォンは表示される情報に限界があるため、フィッシングを見抜くことはほぼ不可能」という意見があり、また荷物が届く予定や銀行から連絡が来る予定があるタイミングでフィッシングが来ると信じてしまいやすいという意見もありました。ChatGPTなどのAIツールを使っているのか、不自然な日本語はだいぶ減ったという意見も共感を呼びました。
実際にフィッシングを信じてしまいカードの引き落としの被害に遭ったケースもありました。ただし、カード会社側で止めてくれていたといいます。
では、どう対策すべきでしょうか。多かったのは「基本的にメールやSMSのリンクはクリックしない」という意見でした。家族に「SMSは詐欺だと思え。一切リアクションするな」と伝えているという意見もありました。
ただ、電気屋さんやガス屋さんが連絡にSMSを使うケースもあるので判断が難しいという声もありました。一方で、キャリアメールやiOSのiMessageには不審なSMSを報告する機能があり、前述のようにクレジットカード会社はかなり神経質に不審な支払いを止めています。生体認証を搭載するデバイスも増えていますし、メールのアイコンにブランドロゴを表示するBIMIも普及しつつあります。メールやSMSを取り巻くプレイヤーは努力していることも分かりました。