私のように、最悪のオンライン詐欺とその回避方法について日々書いていると、現実世界での多くの事例に気づき始めるのは簡単です。
悪質なアプリがオンラインで蔓延したり、大規模なデータ侵害が発生したりした際に注意すべき点を教えるのも一つの方法ですが、実際に示すのはまた別の話です。だからこそ、私はオンラインで遭遇する様々なハッキングの試みや潜在的なサイバー攻撃のスクリーンショットを撮り始めました。
10年以上ハッカーについて記事を書いてきた経験から、悪意のあるリンクをクリックさせたり、個人情報を意図的に引き渡させたりするために彼らが用いる様々な策略や戦術を目の当たりにしてきました。今回は、最新のサイバー攻撃についてではなく、先週私が遭遇した2つのハッキング攻撃について解説し、なぜ私が何もクリックしたりダウンロードしたりしなかったのかを詳しく説明したいと思います。
ここでは、知っておくべきすべての情報と、私自身と家族のオンライン上の安全を守るために私が使用している一般的なヒントとコツをいくつか紹介します。
普通のメールではなく罠
仕事用のメールアドレスを公開している私は、毎日約100通のメールを受け取ります。その多くは仕事で直接または間接的にやり取りする信頼できる連絡先からのものですが、時折、受信トレイに組み込まれたセキュリティ対策をすり抜けてしまう不審なメールも存在します。
まさに下のメールがまさにその通りでした。しかし、すぐに気づいたいくつかの危険信号がありました。あなたも見つけられましたか?説明を読む前に、ざっと目を通して、すべてに気づいたかどうか確認してみてください。
まずは「至急、ご用件を」という件名から見ていきましょう。これはすぐに警戒すべき兆候です。ハッカーや詐欺師は、フィッシングメールの中で緊急性を感じさせ、開封させてやり取りをさせようとするからです。
最新ニュース、最も注目されているレビュー、お得な情報、役立つヒントにすぐにアクセスできます。
依頼自体は至ってシンプルです。会議中で自分では昼食を買って行けない同僚のために、代わりに昼食を買ってきてほしいというものです。しかし、私は在宅勤務で、この人物のことは聞いたことがありません。もしこのメッセージの背後にいる詐欺師が、もし手口をもっと巧妙にしようとしていたなら、私の同僚の名前を検索して、より本物らしく見せかけていたはずです。しかし、実際にはそうしませんでした。これは、この攻撃がそれほど洗練されておらず、このフィッシングメールを本物らしく見せるためのソーシャルエンジニアリングの手法も使われていないことを示しています。
送信者の名前は見覚えがなかったのですが、それだけで既にスパイダーセンスが働いていたため、その下の矢印をクリックしてメールアドレスを詳しく調べてみました。上記のメールは、送信者の名前ではなく、有名なフードデリバリー会社の名前を使って本物らしく見せかけていましたが、一つだけ問題がありました。詐欺師がなりすまそうとしている会社はおそらくDeliverooですが、メールアドレスのスペルが間違っているのです。
注文品を受け取れるよう、私の「同僚」はメールに注文品の写真を添付してくれました。ところが、メールには「スクリーンショットを添付しました」と書いてあるにもかかわらず、添付されたファイルは写真ではありませんでした。実際には、画像に見せかけたHTMLファイルで、ファイル名には「スクリーンショット」という言葉が付けられており、本物らしく見せかけていました。
私がやったようなことはお勧めしませんが、今回は添付ファイルに含まれるコードをよりよく理解していただくためにプレビューをクリックしました。上のスクリーンショットでご覧いただけるように、Deliverooを装った偽サイトへのリンクが表示されており、ページにアクセスすると読み込み中を示すテキストが表示されます。この偽サイトには、「ページが自動的に読み込まれない場合はここをクリックしてください」というボタンもあります。
実際にこの添付ファイルをダウンロードしたり開こうとしたりしなかったにもかかわらず、誘導先のページでボタンをクリックすると、コンピュータにウイルスを感染させることを目的とした悪質なサイトに移動してしまう可能性が高かったのです。
このメールは、緊急性を感じさせる内容から、添付書類の内容が実際とは異なるものまで、フィッシングメールの特徴をすべて備えています。実際、唯一欠けているのはスペルミスと文法ミスだけです。しかし、それ以外は典型的なフィッシングメールの典型例です。もしこのようなメールを受信トレイで見かけたら、返信したり、前述の添付ファイルをダウンロードしたりすることは絶対に避けてください。
ニュースフィードに潜むマルウェア
サイバーセキュリティに関する記事を書く仕事を始める前から、私は熱心なニュースハンターでした。そのため、スマートフォンでもタブレットでも、Google Discoverをスクロールして興味深いニュースを探していることがよくあります。先日、まさにそうしていた時に、悪意のあるアプリをインストールさせるために仕組まれた偽の記事に遭遇したのです。ご説明しましょう。
サマータイムがいつ終わるのか、分かっているはずなのに、いまだによく分かりません。だから、ニュースフィードにサマータイムに関する記事が流れてきたので、すぐにタップしてしまいました。
上のスクリーンショットでは、左側に私がクリックした記事、右側にクリック直後に表示されたポップアップが表示されています。最近のアルゴリズム変更の結果、Google Discoverは信頼できる情報源からのニュース記事に加えて、より多くの個人ブログを表示するようになりました。これは小規模なメディアやクリエイターにとっては良いことですが、サイバー犯罪者にとっては、私のような熱心なニュース読者を狙う機会を与えてしまうことにもなります。
今年のサマータイムがいつ終了するかを知る代わりに、私のNothing Phone 2が1つどころか「2つの有害なウイルス」に感染していると告げるポップアップが表示されました。この悪質なポップアップの背後にいるサイバー犯罪者は、これらのいわゆるウイルスは「最近のアダルトサイト」から来たものだと主張し、さらに一歩踏み込んできました。そして、私に指示に従わせるために、問題のアプリをダウンロードしなければ、携帯電話のSIMカードが破損し、連絡先、写真、データ、アプリなどが破損すると脅迫しました。
おそらく悪意のあるアプリであろうこのアプリを、私は最後までスクロールしてダウンロードしようとはしませんでしたが、もしそうしていたら、おそらくこうなっていたでしょう。メッセージの下部にあるリンクは、Google Playストアなどの公式アプリストアではなく、サードパーティのサイトへ誘導し、そこからこのアプリをAPKファイルとしてダウンロードさせていたでしょう。そこからAndroidスマートフォンにサイドロードする必要がありました(これはGoogleが次期Androidで廃止する予定の機能です)。私のすべてのデータにアクセスするために、このアプリはAndroidのユーザー補助サービスを悪用したり、実際には危険なAndroidマルウェアである偽のアップデートをダウンロードしたりするために、多くの不要な権限を要求していたでしょう。
こういった類のことはこれまで何度も見てきたので、最後までやり遂げる気にはなれませんが、Google Discoverのフィードにマルウェアを拡散しようとする偽ニュース記事がポップアップ表示されたのは初めてです。しかし、これはハッカーがブログ記事を書いたり、広告スペースを購入したりして潜在的な被害者を誘い込む可能性があることを警告する重要な警告です。
サイバー攻撃から身を守る方法
自分自身、そして友人や家族をサイバー攻撃から守る上で、まず第一に、そして最も重要なことは、感情に流されないことです。ハッカーは、何も知らないユーザーをフィッシングメールやその他の詐欺に騙すために必要な感情的な反応を引き出す方法を熟知しています。
そのため、受信トレイやメッセージを確認する際には、フィッシングメールやメッセージの兆候を常に念頭に置いておく必要があります。メッセージは緊急性を伝えようとしていますか?スペルや文法の誤りはありますか?メッセージに疑わしい添付ファイルやリンクが含まれていますか?これらの質問に「はい」と答えた場合は、警戒すべきです。
そこから、最高のパスワードマネージャーを使って、すべてのアカウントに強力でユニークなパスワードを作成するだけでなく、それらを安全に保管し、必要に応じて自動入力できるようにしています。また、コンピューターでは最高のウイルス対策ソフトウェアを、スマートフォンでは最高のAndroidウイルス対策アプリを使用しています。コンピューターには、PCではWindows Defender、MacではXProtectなどのセキュリティソフトウェアが内蔵されており、AndroidスマートフォンにはGoogle Play Protectが付属していますが、有料のウイルス対策ソフトを併用することで、通常、オンラインプライバシーを保護するVPNや、オンラインバンキングやその他の機密データを扱う際に便利な強化ブラウザなどの便利な追加機能も利用できるようになります。
結局のところ、私が最も大切にしているのは、最新のサイバー攻撃や詐欺について学ぶことです。ハッカーは様々なトリックやテクニックを駆使し、攻撃に再利用しています。だからこそ、詐欺や偽のメール、偽ウェブサイトを見分ける方法を知ることが非常に重要なのです。
これらは私が最近遭遇した 2 つのハッキングの試みにすぎませんが、さらにハッキングの試みとその仕組みを説明してほしい場合は、以下のコメント欄でお知らせください。
GoogleニュースでTom's Guideをフォローし、お気に入りの情報源として追加して、最新のニュース、分析、レビューをフィードで受信しましょう。「フォロー」ボタンを忘れずにクリックしてください!
Tom's Guideのその他の記事
- この新しいAndroidバンキング型トロイの木馬は、あなたの携帯電話からハッカーに自動的にお金を送金することができます
- スマートフォンをロックダウンするために今すぐ有効にすべき7つのiPhoneセキュリティ設定
- 緊急テキストメッセージは自動車局からのものではない。偽物だと見分ける方法
アンソニー・スパダフォーラは、Tom's Guideのセキュリティとホームオフィス家具担当編集長を務めています。データ侵害からパスワードマネージャー、そして自宅や職場全体をWi-Fiでカバーする最適な方法まで、あらゆる情報を網羅しています。また、スタンディングデスク、オフィスチェア、その他のホームオフィスアクセサリーのレビューも行っており、デスクのセットアップにも精通しています。チームに加わる前は、韓国在住時にITProPortalに、米国帰国後はTechRadar Proに寄稿していました。テキサス州ヒューストンを拠点とし、執筆活動以外の時間は、PCやゲーム機をいじったり、ケーブルを管理したり、スマートホームをアップグレードしたりしています。
