2015年 5月 の投稿一覧

新しい詐欺「ボイスフィッシング」とは?電話だからって信用しないように!

ボイスフィッシングとは電話による詐欺

先日、三菱東京UFJ銀行からこんなメールが届きました。

現在、他の金融機関において、警察や銀行員を名乗りお客さまの情報を盗み取ろうとする不審な電話が確認されています。これらは「ボイスフィッシング」と呼ばれ、電話などでお客さまのID・パスワード等を聞き出したり、パソコンの偽画面への入力を誘導したりするものです。

怖いですね。電話の詐欺といえばオレオレ詐欺、振り込み詐欺が有名です。でもこれらの詐欺は直接現金を渡す工程が発生します。オレオレ詐欺を仕掛ける型としては逮捕される確率がもっとも高くなる瞬間です。

この危険性を回避するために生み出されたのがボイスフィッシングです。直接誰かと合う必要がなく、電話でネットバンクのIDとパスワードを聞き出して不正送金するので、詐欺を仕掛ける側としてはやりやすいのです。

ID・パスワードを聞き出す電話なんてありえない

そもそも銀行が電話でIDとパスワードを聞いてくるなんて考えられません。例えば銀行の窓口で振り込みの手続きをする際、パスワードを入力することがあります。

通帳を持っていかずにキャッシュカードだけで窓口で税金などの振込をしようとすると、4桁のパスワードの入力を促さえます。でも銀行員に直接教えることはありません。銀行員にはどんなパスワードを入力したか見えないようになっています。パスワードが合っているのか・間違っているのか、だけがわかります。

ネットバンクも同様で、銀行員にはIDもパスワードもわかりません。厳密に暗号化されてデータベースに保存されています。だって考えてもみてください。もしも銀行員にIDとパスワードがわかるような仕組みだったら大変危険です。

銀行員も人間ですから、もしかしたら不正送金をしようとするかもしれません。銀行はそんな事件を防ぐために、誰にもわからないようにしているわけです。だから電話だろうとメールだろうと、銀行からIDとパスワードを聞いてくるなんてありえないのです。

ボイスフィッシング対策はとにかく信用しないこと

もしもあなたにボイスフィッシングの電話がかかってきたら、相手をせずにすぐにガチャンと電話を切ることをおすすめします。これが一番の対策です。そのあとに銀行に連絡して、ボイスフィッシングのことを知らせてあげましょう。

銀行側にボイスフィッシングの情報が集まれば、警察との連携がとれて、犯人を絞り込むことも可能になります。電話だとついつい油断してしまいますが、フィッシングメールと同じように信用しないことが大切です。

消えない!不正なポップアップ画面を確実に消す方法

デスクトップにポップアップ画面が・・・

ある日突然、パソコンの画面にポップアップが表示されたら焦りますよね。そういうポップアップ画面は基本的に金銭目当てであり、ワンクリック詐欺やフィッシング詐欺の手法の一つです。

アダルト会員サイト風の請求だったり、ウイルス観戦を装う請求だったりと、とにかく見ている人を焦らせてクリックさせようとします。ポップアップ画面なんて消してしまえばいいのですが、消してもまた表示され、再起動してもまた表示され・・・と何をやっても消えなくて困っていませんか?

まずはセキュリティソフトをインストールしよう

では消す方法はあるのでしょうか。まずセキュリティソフトがインストールされていることを確認して下さい。ただ、AvastやMicrosoft Security Essentialsのようにウイルスやマルウェアの検出率が低く、機能も少ない無料セキュリティソフトでは駄目です。

ワンクリック詐欺対策やフィッシング詐欺対策の機能を備えた有料セキュリティソフトがおすすめです。インストールしたらパソコン全体のファイルをスキャンして、ウイルスの駆除を試みてください。

それでも消えない!そんな時はクリーンナップサービスを活用

ポップアップ画面を出すウイルスをセキュリティソフトでは駆除できない可能性があります。あとからインストールしても手遅れになることがあるのです。

でも大丈夫です。ウイルスバスタークラウドを提供しているトレンドマイクロでは「おまかせ!不正請求クリーンナップサービス」というポップアップ画面を消してくれる有料サポートがあります。

無料ではないので躊躇するかもしれませんね。でもずっとポップアップ画面が消えないままでいいのですか?わざわざパソコンを買い換えるのですか?またパソコンを快適に使えるのなら安いものです。

「おまかせ!不正請求クリーンナップサービス」を利用する手順は以下のとおりです。

  1. 申し込み
  2. 実施日を予約
  3. サービス実施

まずは電話サポートで状況を説明します。すると担当者がポップアップ画面が出ている状況や原因を遠隔で調査してくれます。その調査結果から専用の駆除ツールを作成してくれます。あとはパソコンで駆除ツールを実行すれば、ポップアップ画面が消えます。

難しいことは一切ありません。ほとんどのことはサポート担当者がやってくれますし、こちらは指示通りにツールを実行すればいいだけです。ポップアップ画面が消えなくて困っている人は、ウイルスバスタークラウドのサービスを利用してみてください。

まだWindowsXP使ってるの!?セキュリティソフトでは危険性をゼロにできません

WindowsXPのサポートは2014年に終了しています。サポートとはマイクロソフトがアップデートしてくれることを意味しています。脆弱性や危険性が見つかったらマイクロソフトはアップデートパッチをリリースして、セキュリティホールを塞いでくれていました。

つまりWindowsXPのサポートが終了したことにより、マイクロソフトはWindowsXPを完全に放置しています。パソコンが乗っ取られたり、個人情報が盗まれるような危険性の高いセキュリティホールが見つかったとしても、修正してくれないのです。

Windows7や8.1に今すぐ乗り換えるべき

この記事を書いている時点でマイクロソフトがサポートを続けているのはWindows7とWindows8.1です(正確にはサーバー用OSもあります)。WindowsXPはセキュリティホールだらけと言っても過言ではないので、今すぐどちらかのWindowsに乗り換えてください。

また、根本的なセキュリティの強さにも違いがあります。私は昔、実験でわざとパソコンをウイルスに感染させたことがあります。どういう挙動をするのは気になったからです。

WindowsXPにウイルスを感染させたら、パソコンのあらゆるフォルダにウイルスが広がりました。1つのフォルダで実行しただけなのに、一瞬で5000個以上になってしまい、駆除するのが不可能なレベルでした。

しかしWindows7に感染させてみたら、ウイルスを実行したフォルダの中で増殖するだけで、他のフォルダに広がることはありませんでした。3個程度に増えただけです。フォルダを消してみたら、セキュリティソフトのチェックで駆除できたことを確認できました。

Windows Vista以降、「管理者権限」という仕組みができ、プログラムを実行するために権限による確認が必要になりました。だから権限を実行できなければ、ウイルスは拡散しにくくなったのです。でもWindowsXPには管理者権限の仕組みがありません。シンプルなウイルスでも実行し放題、拡散し放題なのです。

だから根本的なセキュリティの強さに大きな違いがあります。未知のウイルスに対してもWindows7やWindows8.1のほうがWindowsXPより遥かに強く、安全にパソコンを使うことができます。

セキュリティソフトでもWindowsXPの危険性はどうにもできない

WindowsXPのサポートが終了する前は、セキュリティソフトも動作環境にWindowsXPを入れていました。でもサポートが終了してからはWindowsXPを除外したところがほとんどです。

唯一今もWindowsXPをサポート対象にしているセキュリティソフトは「ESET」です。もしかしたら他にもあるかもしれませんが、私はESETくらいしかWindowsXPをサポートしているセキュリティソフトを知りません。ウイルスバスタークラウドもマカフィーもノートンもWindowsXPは対象外にしています。

ではESETさえインストールしていれば、WindowsXPの危険性は回避できるのでしょうか?答えはNOです。わかりやすく警備員に例えてみましょう。警備員を自宅に雇って玄関を守ってもらいます。しかし大家さんは家を放置しているので、玄関以外に窓や屋根から侵入されることがわかっても、警備員に新しい危険性を教えてくれません。

どうしても警備員は後手後手になってしまい、すべての危険性を見つけたり防いだりすることは不可能になります。しかも時間が経過するほど危険な侵入経路がどんどん増えていきます。家の大切なものがすべて盗まれる危険性も高くなります。

このように「家=WidnowsXPパソコン」「大家=マイクロソフト」「警備員=セキュリティソフト」と考えてみると、こんな家に住み続けよう(WindowsXPパソコンを使い続けよう)なんて思わなくなるはずです。

マイクロソフトも「セキュリティソフトではWindowsXPの危険性を防げない」とはっきり言っています。だからWindowsXPにセキュリティソフトを入れて安心しているなんて馬鹿げています。今すぐWindows7かWindows8.1にアップデートしましょう。

安全なパスワードの作り方!複雑だけど覚えやすいパスワードにするコツ

パスワードを強化する方法

あなたのパスワードは世界中から狙われています。ハッカー(クラッカー)はブルートフォースアタック(総当たり攻撃)、辞書攻撃、リバースブルートフォースアタックなどを駆使し、簡単なパスワードならあっさりと見破ってしまいます。

だから複雑なパスワードにする必要があります。でもそもそも複雑なパスワードってどんなものでしょうか?見破りやすいパスワードと見破られにくい安全なパスワードの違いを解説していきます。

文字の種類を増やす

パスワードに使える文字は英語の小文字だけではありません。数字、大文字、記号なども使えます。小文字は26種類しかありません。でも小文字、大文字、数字、記号をすべて使うと約70種類にもあります。

ブルートフォースアタックは文字の種類が1つ増えるだけで、かかる時間が劇的に増えます。だから記号や大文字を使ったパスワードにするだけで、事実上ブルートフォースアタックは完全に防げます。

文字数を増やす

短いパスワードは非常に危険です。ブルートフォースアタックは「aa」「ab」「ac」のように文字数の少ない順に攻撃します。小文字を1つ増やすだけで、ブルートフォースアタックにかかる時間は26倍も増えます。大文字、数字、記号を使えば約70倍です。

安全なパスワードは8文字以上と言われています。でもコンピューターの処理能力が向上し、ブルートフォースアタックにかかる速度も早くなっています。だから私は10文字以上のパスワードをおすすめします。

単語を使わない

文字数を増やすことも重要です。例えば「ILikeOrangeJuice」という16文字のパスワードを設定したとしましょう。16文字もあればブルートフォースアタックを防げる可能性が増えますが、辞書攻撃の前には無力です。

辞書攻撃は文字通り、辞書に載っているような単語をランダムに組み合わせてパスワードを破ろうとする攻撃です。I、Like、Orange、Juiceのどれも辞書に載っている単語です。もしもあなたが「apple」なんて単純なパスワードを設定していたら、一瞬でハッキングされてしまいます。つまり辞書に載っていない無意味な文字列をパスワードにすることが大切です。

パスワード作成ツールで複雑な文字列を作る

このように文字の種類を増やし、文字数を増やし、単語を使わないようにすれば安全なパスワードは簡単に作れます。自分で考えるが面倒なら、パスワード作成ツールを利用するのがおすすめです。

Password Generator

Password Generatorは文字の種類は文字数、強度を設定すると、複雑なパスワードを自動生成してくれます。もう見ただけで複雑だとわかります。こんなパスワードを破ることなどできないはずです。例えばこんなパスワードを作成できます。

Oxrxep8Vc~u&IbSh
g#/vTELLlcOb1q:}
3blxCmZiR9#46cDD

安全なことは確かですが、絶対覚えられません。どこかにメモしておくか、パスワード管理ツールを使いましょう。パスワード管理ツールならログインする時にわざわざ入寮する必要がないのでとても楽です。

覚えやすくて複雑なパスワードを作る

パスワード管理ツールを使いたくない場合は、覚えやすくて複雑なパスワードを作りましょう。そんなこと可能なの?と思うかもしれませんが、パスワード作成の手法というかコツがあります。

突然ですが「キラキラ星」の歌を知っていますか?「キラキラ光るお空の星よ」という歌詞です。英語版では以下のような歌詞です。

Twinkle, twinkle, little star, How I wonder what you are!

口ずさめばすぐに覚えられるはずです。では次にそれぞれの頭文字を抜き出してみましょう。

ttlshiwwya

これだけだと小文字しか使っていないので、文節の頭っぽいところだけ大文字にしてみます。

TtlsHiwwya

文節の間に音楽記号でも使うシャープを入れて、最後のビックリマークの代わりに数字の1を使ってみます。

Ttls#Hiwwya1

12文字で、しかも小文字、大文字、数字、記号を使った複雑なパスワードを作成することができました。複雑ですが覚えやすくありませんか?私はもうこのパスワードを忘れることはないでしょう。キラキラ星の歌詞さえ覚えていれば、至って単純なパスワードなのですから。

このパスワード作成方法は私が考えたわけではありません。昔からある安全なパスワード作成方法のひとつです。私は大学で習いました。あなたが好きな英語の歌詞はなんですか?その歌詞を元に安全なパスワードを作ってみてください。

パスワードの使い回しは危険!リバースブルートフォースアタックに要注意

今は便利なサイトやWEBサービスがたくさんあります。あなたもFacebookやTwitterなどのSNSを楽しんだり、ブログを書いたり、インターネットバンクを使ったりと様々な会員制サイトを利用していると思います。

でももしもどれか1つのログインIDとパスワードを盗まれて、不正アクセスされてしまったどうしますか?とても困りますよね。ただいらずらされるだけならまだ良い方です。インターネットバンクでお金を盗まれてしまうなんて事件も発生しています。

7割以上の人がパスワードを使いまわしている現状

簡単なパスワードを使っていると、あっさりと見破られてしまいます。とある調査では70%以上の人が、安全なパスワードを使うことを意識しています。小文字だけ、あるいは数字だけのパスワードを設定していると本当に危険です。だから大文字や記号を組み合わせたパスワードを使うべきです。

しかしながら「複数のサイトでパスワードを使いまわさないようにしているか?」という調査では、わずか22.4%の人しか意識していないことがわかりました。つまり7割以上の人が色々なサイトでパスワードを使いまわしているのです。

ブルートフォースアタックと辞書攻撃とは

不正アクセスを狙う手法として有名なのはブルートフォースアタックと辞書攻撃です。ブルートフォースアタックとは総当たり攻撃とも呼ばれ、文字や数字をすべて試していく攻撃手法です。数字だけの単純なパスワードや短いパスワードだと、ブルートフォースアタックですぐに破られてしまいます。対策としては長いパスワードや小文字、大文字、数字、記号を組み合わせたパスワードを使うことです。

辞書攻撃とは、その名の通り辞書に載っているような単語を使う手法です。「apple」「orangejuice」など意味のある単語を狙っていくわけです。対策としてはランダムで意味のないパスワードにすることです。

リバースブルートフォースアタックによる被害が急増

このようにブルートフォースアタックや辞書攻撃を意識している人でも被害にあってしまうケースが増えています。2013年以上に登場したリバースブルートフォースアタックが原因です。

ブルートフォースアタックや辞書攻撃はログインIDを固定して、パスワードを色々なパターンを試します。しかしリバースブルートフォースアタックは逆にパスワードを固定して、色々なパターンのIDを試す手法です。

例えばTwitterはIDが見えています。プログラムでIDのリストを作成し、パスワードを固定してすべてのIDに不正アクセスを試すわけです。2015年に流行した「レイバンのサングラス事件」はこれが原因だと言われています。

使い回しを狙われている

運悪くどこかのサイトでパスワードが漏れたとしましょう。攻撃者はパスワードのリストを所持したことになります。もしもあなたが色々なサイトでパスワードを使い回しているなら、あとはIDを特定するだけです。

例えばTwitterから漏れたなら、Facebook、AppleID、インターネットバンクなどあらゆる会員制サイトで、リバースブルートフォースアタックが実施されます。つまりパスワードを使い回すことで、金銭的な被害を受ける可能性が急上昇してしまいます。

リバースブルートフォースアタックの対策

ではリバースブルートフォースアタックを防ぐ方法はあるのでしょうか。逆説的に考えてみましょう。「パスワードの使い回し」が狙われるなら、使い回されないようにすればいいのです。

パスワードを定期変更する

パスワードはどこから流出するかわかりません。小規模な通販サイトかもしれませんし、昔登録したWEBサービスかもしれません。もうこれはパスワードは流出するものだ、と考えるべきでしょう。

最も有効なのはパスワードの定期変更です。毎月とまでは言いませんが3ヶ月から半年に1回は定期的にパスワードを変更することをおすすめします。少なくともインターネットバンクやAppleID、クレジットカード会員サイトなど金銭に関わる重要なサイトは必ず定期変更するようにしましょう。定期変更すれば流出したとしても、そのパスワードは使えなくなっているので安全です。

サイト別にパスワードを変更する

私はパスワードを使い回さないように意識しています。だからサイトごとに別々のパスワードを設定しています。もちろんブルートフォースアタックや辞書攻撃にもかからないような複雑なパスワードにしています。もしもどこかからパスワードが流出しても、別のサイトでリバースブルートフォースアタックで被害にあうことはありえません。

パスワード管理ソフトを使う

でもサイト別にパスワードを設定したら覚えられないですよね。忘れてしまい、その度にパスワードの再設定をするのも不便です。そこでおすすめなのがパスワード管理ソフトです。パスワード管理ソフトはとても便利なのに、6%の人しか使っていないそうです。

1passwordは特に有名で世界中で愛用されています。サイト別にパスワードを登録しておいて、サイトにアクセスすればそのパスワードを自動的に読み込んでくれるので手間がかかりませんし、忘れても関係ありません。

ソフトをインストールするのが面倒ならGoogle Chromeのブラウザはどうでしょうか。Chromeにはパスワード管理機能が内蔵されています。パスワード管理ソフトと同じように使えるだけでなく、動作が軽快でおすすめです。