■個人に対するサイバー攻撃はどのような手口で行われるのでしょうか？

　情報化社会における新たな脅威として、巧妙化が進むサイバー攻撃。ターゲットは国家や企業のみならず、我々一般人もつねに危険に晒され続けているという。

　では、リモートワークが増えている今、個人がパソコンやスマホを利用する際はどのような点に気をつければいいのだろうか？　前回に引き続き、サイバーセキュリティに詳しい国際ジャーナリスト・山田敏弘氏に注意点をうかがった。

──個人に対するサイバー攻撃はどのような手口で行われるのでしょうか？

　最も多いのは「フィッシング系」です。業者などを騙ったメールやショートメッセージ（SMS）などを不特定多数に送り、リンクをクリックさせることでマルウェアを感染させたり、個人情報などを入力させたりする手口です。

　こうしたメールがサイバー攻撃だという意識は薄く、興味本位でクリックしてしまう人は意外と多い。たとえば、2018年に日本人46万人に対し、東京オリンピックに関連した内容を騙ったスピアフィッシングメールが送信されたことがありました。メールの本文が不自然な日本語で、一目で「アヤシイ」とわかる内容でした。ところが、46万人のうち3万人以上がメールに記載されたURLをクリックし、マルウェアに感染してしまったのです。

　また、私の知人はフィッシングメールによるランサムウェアに感染し、仕事中に突然パソコンが使えなくなったことがありました。運の悪いことに、使えなくなったのは仕事の納期を直前に控えたタイミングです。焦った彼が画面に表示された連作先に電話したところ、応対したのはカタコトの日本語を操る人物だったそうです。その後、彼は相手の指示に従って数万円を入金し、無事にパソコンのロックを解除してもらえたのですが、これは運の良いケースと言えるでしょう。入金させるだけさせて、パソコンを解除しない悪質な組織も多いですからね。

　国家系の敏腕ハッカーならば、相手がメールやSMSを受け取った時点で感染してしまうような恐ろしい攻撃ツールを使うこともあります。しかし、個人がターゲットになることは少ないので、注意すべきは心当たりのない相手からのメール。こうしたメールが届いても、不用意にリンクや添付ファイルをクリックしないことです。

──最近は実在の金融機関やショッピングサイトを騙った本物そっくりのメールが送られてくることもあります。見分け方や注意する点は？

　パスワードなど個人情報の再登録を促すようなメールは、すべて無視するのが賢明です。どうしても気になるのなら、メールのリンクを経由せずに該当するサイトにアクセスしましょう。WEBブラウザの検索サイトからサイト名を直接入力して訪問し、そのサイトにIDとパスワードを入力して確認するんです。

　面倒だと感じるかもしれません。しかし、ワンクリックでログインやアクセスできることに慣れすぎると、メール経由でも気軽にリンク先をクリックする習慣が身についてしまうので、気をつけなくてはいけません。

──個人はそのようにして盗まれる、ということでしょうか。

　そうです。前回、ダークウェブでは攻撃ツールなどが取引されていると説明しましたが、同じく盗まれた個人情報も大量に出回っています。セキュリティが強まっている近年、大手サイトから情報が漏れるケースは減っていますが、過去に何気なく登録したメルマガなどから情報が流出している可能性があります。

　そのことを考えた際、気をつけたいのはパスワードの管理です。とくに、異なるサイトで同じパスワードを使い回している人は本当に危険です。サイバー攻撃のひとつに「パスワードリスト攻撃」と呼ばれる手口があります。これは、不正入手したID・メールアドレス・パスワードなどをあらゆるオンラインサービスのログイン画面で入力していき、不正アクセスを試みる攻撃です。

　この攻撃でショッピングサイトや金融機関に不正アクセスされれば、クレジットカードを悪用されたり、口座預金が奪われたりする恐れがあります。Amazonと楽天、Yahoo!で同じIDとパスワードを使っているという人も多いのではないでしょうか。

　パスワードを使い回している人は、多少めんどうでもいますぐに登録サイトすべてのパスワードを異なるものに変更するべきです。