日本人が不正アプリの攻撃対象となる

 IPAは2012年9月5日、2012年8月分の「コンピュータウイルス・不正アクセスの届出状況」をまとめ、情報を抜き取るスマートフォンのアプリについて注意を促した。日本人を狙っている点が注目された。

 問題の不正アプリは、Android端末から電話帳の情報を盗み出すウイルスが含まれている。この不正アプリのダウンロード用リンクを書き込んだメールが多数ばらまかれていた。

 このタイプの不正アプリは従来、日本語では見られなかったが、今回の例では、不正アプリの名前や送られてきたメールの文章も全て日本語であり、日本人を狙った攻撃だった。

 該当のアプリを起動すると、初期設定を行う画面が表示され、「この端末では未対応のためご利用できません」というメッセージが表示されて、アプリが終了する。実際には、この間に、電話帳の内容を盗みだし、外部のサーバーへ送信している。

初期設定や未対応を偽装してデータを盗み出す(IPAの説明より引用)。
初期設定や未対応を偽装してデータを盗み出す(IPAの説明より引用)。
[画像のクリックで拡大表示]

セキュリティに自信過剰な人は被害に遭いやすい

 IPA(情報処理推進機構)は2012年9月13日、インターネット利用者の傾向をまとめた技術レポート「情報セキュリティに関する被害と個人属性(PDF)」を公開した。情報セキュリティついて自信過剰な人が被害に遭いやすい傾向にあるという。同レポートは2005年度から実施されている「情報セキュリティの脅威に対する意識調査」の10回目に当たる。

 今回のレポートでは、一般のインターネット利用者が情報セキュリティ被害に合わないようにする有効な対策を検討するため、実際に被害に遭った利用者がどのような属性をもっていたかについて分析し、傾向を調べた。

 属性については、「被害遭遇の有無に影響を与える要因」として4項目が挙げられ、またセキュリティインシデントは、ウイルス、フィッシング、架空請求、不正利用」の4点とした。

基本属性性別、年齢のほか、パソコン習熟度
ネット利用状況インターネットの利用時間・利用場所・利用用途
意識的な対策セキュリティソフトの導入やセキュリティパッチの適用。メールの添付ファイルやWebサイトでの安易なダウンロードに注意。
自信過剰度セキュリティについて主観的な思い込みと正確な知識の差

個人属性と情報セキュリティインシデントの関係のイメージ図(同レポートより引用。以下同)。
個人属性と情報セキュリティインシデントの関係のイメージ図(同レポートより引用。以下同)。
[画像のクリックで拡大表示]

 調査の結果、情報セキュリティ被害を低減する要因は2点あった、

1.メールの添付ファイルやWebサイトでの安易なダウンロードに注意するといった意識的な対策を実施していること。
2.情報セキュリティに関する情報を収集・処理できること。

 自信過剰な人ほどフィッシングや不正利用の被害に遭いやすい傾向があることも判明した。自分は技術を詳しく知っていると主観的に認識していても実際には正しく理解できていな場合、被害に遭う可能性があると同レポートは注意を促している。

属性と被害への遭いやすさとの関係。自信過剰な人ほどフィッシングや不正利用の被害に遭いやすい。
属性と被害への遭いやすさとの関係。自信過剰な人ほどフィッシングや不正利用の被害に遭いやすい。
[画像のクリックで拡大表示]

みずほ銀行をかたるフィッシングメールが出回っている

 フィッシング対策協議会は2012年9月12日、みずほ銀行をかたるフィッシングメールが出回っているとして注意を呼びかけた。12日の時点で問題のフィッシングサイトは稼働中なので、同協議会はJPCERT/CCに該当サイト閉鎖のための調査を依頼している。

 みずほ銀行では9月10日に同行をかたるフィッシングメールの存在を確認し、注意を促していた。また、みずほ銀行では、フィッシングメールの例文の実例を示し、不審なメールが届いた場合、安易にリンク先にアクセスしたり、添付ファイルを開いたりせず削除するよう利用者に依頼している。

 今回のフィッシングについてみずほ銀行では次の点に注意するように提言している。

  • みずほダイレクトでは、入力画面で「第2暗証番号(6桁)」を同時に入力することはない。
  • 同行が電子メールでログインパスワードや暗証番号を尋ねることはない。
  • 一度登録した合言葉に対する「質問」を再び尋ねることはない。

フィッシングサイトの例(みずほ銀行のアナウンスより引用)。
フィッシングサイトの例(みずほ銀行のアナウンスより引用)。
[画像のクリックで拡大表示]

総務省がスマートフォンの安全利用促進プログラムを発表

 総務省は2012年9月10日、スマートフォンの急速な普及に合わせ、プライバシーやセキュリティの面で利用者が安心して利用できる環境を整備するため、「スマートフォン安心・安全利用促進プログラム(PDF)」を公表した。要点は3点に絞られている。

1.スマートフォンに関する総合的・重点的な周知啓発活動の全国展開
 関係事業者や業界団体、消費者団体、PTAなどと連携し、スマートフォンの安心・安全な利用のために必要な情報を整理し、総合的な周知啓発活動を行う。特に、高校生の利用に配慮する。

2.スマートフォン関係事業者による安心・安全な利用環境整備の支援
 さらに3点の細目がある。(1)関係事業者・団体による業界ガイドラインやプライバシーモデル例の作成支援、(2)関係団体等によるアプリケーション提供サイト運営者への働きかけやアプリケーション開発を取り扱う専門学校などへの情報提供に関する協力、(3)第三者によるアプリケーション検証の仕組みの民間主導による検討に関する協力。

3.青少年と高齢者の利用に関する配慮
 スマートフォンの幅広い層への普及に合わせ、青少年のインターネットリテラシーに関する指標の作成・活用の他、高齢者を意識した周知啓発活動への支援を行う。