第三者が勝手にログイン?
インターネットサービスの不正ログイン事例と5つの自衛策
テレワークの普及で、Webメールやクラウドストレージ、Microsoft 365(旧Office 365)などのインターネットサービスがますます身近な存在になっています。ただ、利用者にとって見過ごせない問題になっているのがアカウントへの不正ログインです。その手口と対策を見ていきましょう。
フィッシング詐欺をきっかけとする不正ログイン被害
不正ログインによる被害が後を絶ちません。サイバー犯罪者は他人のIDとパスワードを盗み出したり、探り当てたりすることで被害者のアカウントにログインし、情報や金銭を得ようとしています。
その代表的な手口がフィッシング詐欺です。これは、正規サービスのログインページなどを装った偽サイト(フィッシングサイト)にネット利用者をおびき寄せ、そこで入力されたアカウント情報(IDやパスワードなど)や個人情報、クレジットカード情報などを盗み出すものです。
サイバー犯罪者が標的をフィッシングサイトに誘導するために用いる主な手段はメールやSMS、SNSです。彼らは実在する企業や人物などを装ってもっともらしい内容のメッセージを送りつけ、受信者に不正なURLリンクを開かせようとします。実在する配送業者をかたって「不在のため持ち帰りました。配送物をご確認ください」などと呼びかける偽の不在通知メッセージはその典型です。
ある法人は、従事者の1人が配送業者をかたるスミッシング(SMSによるフィッシング)の被害に遭い、同従事者の私用のクラウドストレージ内に保管されていた名簿などの個人情報が第三者から閲覧できる状態になっていたことを公表し、謝罪しました。これは、そもそも個人で利用登録しているクラウドストレージを勤務先に無断で業務利用していたことが招いたトラブルの一例です。
社会人のなかにはつい勤務先への断りなしに私用のWebメールやクラウドストレージを利用し、取引先とファイルをやり取りしたり、業務データを社外に持ち出したりしている人もいます。しかし、こうした行為は勤務先を重大な危険にさらしてしまう可能性があることを知っておいてください。インターネットサービスの利用においては不正ログインによる情報漏えいのリスクがつきものだからです。また、情報漏えいは「フィッシング詐欺に引っかかり、アカウント情報を入力してしまったこと」が原因とは限りません。利用規約の確認不足や設定ミスなどの利用者の過失、サービス事業者の人為的なミスやサイバー攻撃などがきっかけで利用者の情報が外部に流出してしまうこともあるのです。
万一、勤務先の規程に反した行動で業務情報を漏えいさせてしてしまった場合、勤務先のブランドイメージや社会的信用を低下させることになります。勤務先が被害者への損害賠償責任を負うケースもあります。きっかけを作った人物の責任も問われることになるでしょう。
SNSやMicrosoft 365のアカウントも狙われている
SNSアカウントを狙う攻撃も顕著です。Facebookでは「プロフィールの訪問履歴確認」という投稿からFacebookの公式ログインページを模したフィッシングサイトへ誘導する事案が確認されました。そこでIDとパスワードを入力してしまった場合、Facebookアカウントに不正ログインされる可能性があります。この手口のやっかいなところは、サイバー犯罪者が事前にフィッシング詐欺などで他人のFacebookアカウントを乗っ取り、本来のアカウント利用者になりすまして投稿することです。そのため、友人や同僚などのフォロワーは本人の投稿と思い込み、不正なURLリンクを開いてしまいがちです。
Microsoft 365を装って「現在設定しているパスワードの有効期限が切れるため、パスワードの変更か延長が必要」と呼びかけるメールを介して受信者をフィッシングサイトに誘導する事案も確認されています。誘導に乗ってしまった場合、サイバー犯罪者にMicrosoft 365のアカウントに不正ログインされ、業務情報を盗み見られたり、不正なメールをばらまかれたりする恐れがあります。
みなさんは企業の業務システムへの不正ログインと聞いたとき、外部からのサイバー攻撃を真っ先に想像するのではないでしょうか。しかし、内部関係者による犯行も少なくありません。ある自治体では職員の1人が職務上の権限で得た情報をもとに人事課職員向けの業務システムのIDとパスワードを推測。人事課職員専用のポータルサイトに不正アクセスして人事課所管のデータをのぞき見し、一部を自身の業務用パソコンに保存していたことが明らかになりました。結果、当該自治体は謝罪し、同職員に対して懲戒処分を行ったことを発表しました。
アカウントへの不正ログインを防ぐ5つの自衛策
インターネットサービスアカウントへの不正ログイン被害を防ぐためにはどうすればよいでしょうか。5つのポイントを押さえましょう。
1.メールやSMS、SNS内のURLリンクを不用意に開かない
メールやSMS、SNSの投稿やダイレクトメッセージは、フィッシングサイトの入り口になっているかもしれません。たとえ、著名な企業や友人、家族からのメッセージでも何らかの理由をつけてURLリンクを開かせようとするものは疑ってかかりましょう。業務用サービスなどのアカウントへのログインは、必ずブックマークに登録した公式サイトや組織内ポータル経由で行ってください。
2.アカウントを厳重に管理する
アカウントへの不正ログインを防ぐためには、「サービスごとに異なるIDとパスワードの組み合わせを使用すること」「できるだけ長くて複雑な、第三者に推測されにくいパスワードを設定すること」が重要です。パスワードは、使用可能な大小英字、数字、記号をランダムに組み合わせて15文字以上にするのが理想です。パスワード認証とは別に二要素認証(ワンタイムパスワードなど)を設定できる場合、必ず有効にしておきましょう。また、パスワード管理ツールも便利です。勤務先から利用を許可されている場合は活用しましょう。
さらに、パスワードを付箋に書いて機器自体に貼り付けておくなど、第三者の目につく場所にパスワードを置いておくのは厳禁です。紙で管理する場合は錠付きの引き出しなどに保管するとともに、第三者に見られてもそのままでは悪用できないように工夫してください。たとえば、頭の中だけに記憶した部分を空欄にしておく方法があります。
3.SNSでは仕事がらみの情報の公開を控える
SNSでは必要以上の個人情報や勤務先名、役職、業務メールアドレス、勤務先の内部情報などの公開を控えてください。SNSはフィッシング詐欺をはじめとするサイバー攻撃の準備段階における情報収集の場になっているためです。公開している生年月日や家族、ペットの名前からパスワードを探り当てられた例もあります。サイバー犯罪者はSNS利用者が広く公開しているプロフィール情報や仕事関連の投稿をもとに標的企業の情報収集と攻撃対象の選別を行います。その上でもっともらしい内容のメールを送りつけ、従業員に不正なURLリンクのクリックを促すのです。SNSの利用について勤務先が定めるガイドラインやポリシーを確認し、それに従いましょう。
4.私用の端末やインターネットサービスを勝手に業務に使わない
私用の端末やインターネットサービスを勤務先に無断で業務利用してはいけません。勤務先の規定に反した行動で勤務先や取引先などに損害を与えてしまった場合、懲戒の対象になるだけでなく、損害賠償を請求される可能性もあります。勤務先の許可があっても油断は禁物です。私用の端末を使う場合は、「セキュリティアプリを入れ、常に最新の状態で利用する」「OSやアプリを適切に更新する」「盗難・紛失対策を行う」の3つを徹底してください。業務用のサービスを使い終えたらこまめにログアウトすることも大切です。
5.使わなくなったサービスを解約する
使わなくなったサービスをそのまま残していても不正利用や情報漏えいのリスクになるだけです。念のため、登録済みの個人情報などを削除、あるいはダミーの情報を上書きした上でサービスを解約しましょう。アプリをインストールしている場合は解約手続き後にアンインストールを行ってください。
