「警視庁際バー犯罪対策課」からの電話
「社長、警視庁サイバー犯罪対策課○○様からお電話がはいっております。御社のホームページが改ざんされたり、乗っ取られたりする可能性があるので電話しましたとのことです。ホームページ担当の方から折り返しのご連絡をお願いしますとのことでした。」
ある日、東京事務所の秘書から連絡がありました。
なんだ?穏やかではない内容です。大変ではないか!しかし、ちょっと待てよ。その警視庁からの電話自体がサイバー犯罪かもしれないではないか。落ち着け。落ち着け。まずは、秘書から聞いた電話番号をネットで検索してみました。伝えられた番号は本当に警視庁の代表電話番号です。
合わせて7桁の内線番号が伝えられていましたので、とりあえず電話してみることに。リンクや添付ファイルからインターネットに接続するのではなく、電話なのでそれほど危険性はなさそうです。代表電話番号にかけてみて内線番号と担当者名を伝えて「そんな番号ありません」とか「そのような職員はおりません」と言われたら、イタズラということになります。
早速警視庁に電話してみると、「担当部署の内線番号はお分かりですか?」と尋ねられましたので、秘書から聞いた内線番号を告げました。その内線番号は実在するものでサイバー犯罪対策課に繋がりました。その日は○○さんは不在で、別の■■さんが出てこられました。でも○○さんは実際に在籍されているようなので、どうやら本物の連絡だったようです。
■■さん:「お電話したのは、御社のWEBサイトのセキュリティに関してのご連絡でした。都内で改ざんの事案が発生し調査していく中で、御社が出て来ました。」
吉岡:「え。それはどういうことでしょうか?」
■■さん:「御社のWEBサーバー上で利用しているソフトに脆弱性があり、至急対応をお願いしたいのです。」
吉岡:「それは、WordPressとかプラグインのことですか?」
■■さん:「いいえ。WordPressではなく、WEBサーバーのほうににインストールされているソフトです。」
そこまで聞いて、心あたりが出てきました。
■■さん:「WordPressやプラグイン関係は自動アップデート設定をされているかもしれませんが、WEBサーバーのほうはほとんどの場合手動になっていることが多いです。開発元から定期的にセキュリティ対策済みのバージョンアップ版がリリースされていますので、もし未対応の場合はアップデートをお願いしているのです。」
吉岡:「分かりました。WEBサーバーのほうのアップデート作業はやったことないのですが、確かちょっとややこしい手順ですよね?」
■■さん:「はい。WordPressなんかよりはちょっと手順が複雑ですが、サーバーの運営会社からマニュアルが公開されているはずです。まず、そちらを確認してみてください。その上で難しそうでしたら、詳しい方に依頼した方がいいかもしれません。」
■■さん:「社長。恐れ入りますが、対応できましたら今回と同じ連絡先までお知らせいただけませんでしょうか。」
吉岡:「承知しました。至急対応して連絡させていただきます。ご丁寧にありがとうございました。」
なんと「本物」でした。警視庁から電話があるなんて、きっと十中八九は「何か怪しいやつ」だという気がしていましたが。。。恥ずかしながらWEBサーバーは大手の会社なので、セキュリティ対策はお任せでいいと思っていました。実はそうではないのです。
↑警視庁のサイトに公開されているサイバーセキュリティ関連の注意喚起のチラシ(かなりベタなデザインです)
偽通販サイトの季節
最近では通販で物を購入することが多くなりました。インターネットだと、いったいどこに売っているのか分からないような「ものすごいレアもの」でも瞬時に見つかることがあります。しかも、国内だけではなく世界中を探せます。(それゆえ余計ポチッとしてしまいますが)
初めてCDをネットで買ったのは30年近く前、CDNOW(現Amazon)という海外サイトでした。注文してから本当に送ってくるのかドキドキでした。今から思えば、インターネットでのクレジットカード決済はセキュリティも弱かったと思いますが、悪いことをする人も今よりはずっと少なかったのでしょう。
毎年年末になると、偽通販サイトの被害が増えるそうです。個人的にもレコードや音楽機材などを探していると、怪しいサイトをよく見かけるようになったと思います。そう考えると、やはりAmazonや楽天などの大手は安心できる気がします。(サイトが本物であればですが)
↑悪質なショッピングサイト等の通報件数(セーファーインターネット協会からJC3※へ共有されたもの)
※ JC3(Japan Cybercrime Control Center)は、我が国における新たな産学官連携の枠組みとして平成26年から業務が開始されました。産学官の情報や知見の集約・分析とその結果等を還元することで、脅威の大本を特定、軽減、無効化することにより、以後の事案発生の防止を図ることを目的としています。
↑ PIO-NET※にみるインターネット通販の「偽サイト」に関する相談の月別推移(2021年度)
※ PIO-NET(パイオネット:全国消費生活情報ネットワークシステム)は、国民生活センターと全国の消費生活センター等をオンラインネットワークで結び、消費生活に関する相談情報を蓄積しているデータベースのこと。
また、メルカリやヤフオクのような個人売買のプラットフォームも最初は大丈夫か?と思いましたが、単独の通販サイトよりはずっと安全です。相手の身元は一応はっきりしていますし、少なくても代金だけを騙し取られることはありません。いっぽう偽通販サイトは、ちょっと古めかしい単独型の通販サイトの姿をしているのが多く相手が実在するか否かは一見しては判断できませんし、万一の際の返金のしくみなどは講じられていないからです。
初めて利用する際にそういった単独型の通販サイトは、本物かどうかの判定がしにくいので危険です。警察庁のホームページに「偽サイト等の特徴」をまとめたチラシがありましたが、まさによく出くわす通販サイトの特徴ばかりです。この手のサイトはいくつもコピーされていて、注意して見ていると、見た目のデザイン・ドメイン・運営者は違うのにほとんど同じ商品群を扱ったものがたくさんあります。同じ手口で次々と通販サイトの閉鎖と開設を繰り返しているものと考えられます。
中にはヤフオクで既に落札済みになっている商品画像が、平気で使いまわされたりしています。製品シリアル番号入りでも全然へっちゃらで使われています。(私が落札して自宅で使用しているものも、特売商品として今だに出てくるのがあります)
ひょっとして、安いけどこのサイトおかしい?と思った時に、アドレスを入力して簡易チェックできるサイトがあるそうです。その名も「SAGICHECK」。簡易チェックですから完璧ではありませんが「前科」のあるサイトならまず引っかかるはずです。
↑偽サイト等の特徴(警察庁ホームページより)
↑インターネット利用者がウェブサイトの信ぴょう性を確認できるサービス「SAGICHECK」(https://sagicheck.jp/)(画像もリンクになっています)
現代版「生殺与奪の権」
インターネット技術を中心に、様々なサービスやプラットフォームが身近に利用できるようになりましたが、その普及のきっかけは「便利さ」「安さ」先行です。携帯電話のキャリアやPayPayなどのキャッシュレス決済サービスなども新規リリース後、ある程度普及が進んできた頃に規約や料金体系の変更があったります。
例えそれが少々不利な方向の変更であっても、そのサービスのある生活に慣れて手放せなくなっていますので、渋々同意してしまうのです。現代では誰しも経験のあることです。最初は「メリット」押しで「デメリット」は後出しが普及の鉄則なのです。
しかし、ここで考えておかないといけない点もあります。その後出しの「デメリット」が致命的なものだった場合です。最近の例で言えば、YouTubeなどのBAN(アカウントの凍結)や、サービスプラットフォームそのものの閉鎖などがあります。
最近の具体的な事例を挙げます。SNSなどに掲載するURLを短い表記に変換するサービス、短縮URLを提供するサイトがいくつかありますが、そのひとつが最近閉鎖されました。最近まではGoogleで「URL短縮ツール」や「短縮URLツール」で検索すると、この短縮URLのWebページが上位に表示されていました。また、完全無料のサービスだったのでかなりの利用があったようです。
このツールは短縮URLで遷移する際にGoogle Adsenseの広告を表示させて収益化していました。ここに予期せぬ不正サイトに誘導する広告が表示されることが発生、これをクリックして遷移したリンク先を正規のWebサイトだと誤解したユーザーが、クレジットカード情報を入力してしまったため被害が続出してしまいました。この問題がきっかけでサービス自体が停止することになった訳です。
このサイトのサービスが停止されても他のサービスで同じことはできるのですが、厄介なのはこれまで作成済の短縮URLの扱いです。現在は「作成済URLは当面の間利用可能です」とされています。ということは、しばらく経つと利用できなくなるということです。
利用者の規模によっては大量のURLをこのサービスを利用して短縮し、様々な方面でリンクとして使用しているはずです。それが一斉に利用不可(リンク切れ)になる訳です。これはたまったもののはありません。
これまで作って利用してきた短縮URL全てではないかもしれませんが、そのリンク切れを再度新たな短縮URLに修復しなおすとなると、かなりの労力となるはずです。担当部署はきっと青ざめているはずです。(往々にしてこういう時に社長は「何とかしろ」と言うだけです)
↑最近閉鎖された、完全無料の短縮URL作成サイト
このような考えたくもないケースは稀ではありますが、徐々に出くわす確率が上がってきているのは間違いないようです。ハッキング(「コンピュータシステムやネットワークの脆弱性を狙って悪意のある乗っ取りや破壊行為などの攻撃を行うこと」)やランサムウェア(身代金を意味する「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語)などは、決して大企業だけのものではなくなっています。我々中小企業の中にも確実に拡がってきているのです。
昔から「タダより高いものはない」と言われます。「無料のサービス」は社長の決裁なく導入されていることがほとんどです。社員や取引先の個人的な利用サービスが会社に入ってくることも中小企業では日常でしょう。知らず知らずのうちに「無料のサービス」に「生殺与奪の権」を握られてしまうことすらあるのです。そろそろ「ワシは詳しくないので分からん」では済まされなくなってきました。
社長の会社では、新たなサービスを導入する際にリスクの認識をされていますか?そもそも、どの部署が何をどう利用しているのか把握されていますか?