電子決済不正、防ぐには?　注意点や課題、有識者に聞く

NTT ドコモの電子決済サービス「ドコモ口座」に端を発した不正出金問題が拡大の一途をたどっている。　知らないうちに名義や暗証番号などを抜き取られ、銀行に口座を持っている誰もが被害者になりかねない。　被害を防ぐため何に気を付ければいいのか、電子決済や消費者問題の専門家に聞いた。

◇ 最低でも 2 段階認証導入を = 決済サービスコンサルティング宮居雅宣社長

- - 不正出金が起きた原因は。

キャッシュレス決済業者には新規参入が多く、クレジットカード会社のように不正利用を防ぐノウハウが足りなかったためだ。　メールアドレスだけで口座開設が可能な NTT ドコモの「ドコモ口座」をはじめとするサービスは、利便性を追求し顧客獲得を優先させた結果、本人確認が甘くなった。　銀行側もセキュリティー強化に伴うコスト増を嫌い、「他行も見送っているから現状維持でいい」という横並び意識が被害を拡大させた。

- - 情報開示は遅かった。

利用者は企業側が開示しないと「自分だけに起きている」と考え、被害事例は共有されにくい。　ドコモ口座やゆうちょ銀行では過去にも同じ被害が起きており、迅速に開示していれば今回は防げた可能性がある。

- - 再発防止策は。

短時間ごとに発行され、1 度しか使用できないワンタイムパスワードを組み合わせるなど 2 段階認証を最低でも導入し、本人確認を可能な限り強化することだ。　登録した携帯電話番号の安易な変更を防ぎ、偽の番号を使うなりすましを防ぐといった工夫も必要となる。　キャッシュレス業者間で複雑化する不正事例や対策・ノウハウを共有する対応も有効だろう。

◇ 丁寧な事業者選ぶべきだ = 経済ジャーナリスト荻原博子氏

- - 不正出金問題の受け止めは。

利用者は手続きを間違えたわけではなく、電子決済サービスのシステムの安全性を信じて利用している。　本当に怖い。　収益環境が悪化してシステム管理や人員のやりくりが厳しくなった地方銀行など弱いところが狙われている側面があるのではないか。

- - 電子決済サービスを利用していない預金者はどうすればいいのか。

金融機関はインターネット上で口座をいつでもどこでも見られるサービスを提供しており、小まめに残高をチェックすることだ。　記帳であっても不審な引き落としを見つければ、金融機関に確認すればよい。　基本的にこうした損失は金融機関が補填するはずだ。

- - キャッシュレス利用者はどういった行動を心掛けるべきか。

2 段階認証に加え、犯罪者が盗み見ることができない別端末でのワンタイムパスワードで本人確認するといった丁寧な事業者を選ぶべきだ。　簡単な手続きは便利だが、セキュリティーが緩い恐れがある。

- - 政府はデジタル戦略を加速する方針だ。

政府は旗を振ってキャッシュレス決済の普及に取り組んでいるが、利用者が脆弱なシステムを見抜くのは難しい。　デジタル庁創設を目指すのであれば、マイナンバーカードの取得を後押しするだけではなく、不正の監視にも目を光らせて摘発や情報保全システムの開発強化に国を挙げて注力すべきだ。 (jiji = 9-21-20)

誰のせい?　ゆうちょ銀と決済サービス側、食い違う主張

銀行預金が様々な決済サービスを通じて勝手に引き出されていた問題で、ドコモ口座を通じた被害額では、ゆうちょ銀行が最も多いことが 16 日、明らかになった。　ただ、本人確認が不十分なままだった理由をめぐっては、ゆうちょ銀と決済サービス事業者の間で説明に食い違いものぞく。

「（2 段階）認証は強力にやらないといけないとの認識があり、強力にお願いしてきた。」　「精力的に各事業者に導入の働きかけをしていた。」

ゆうちょ銀の田中進副社長は 16 日の記者会見で、そう強調した。　同行の口座とひもづけられる決済サービス事業者に対し、口座連携時の本人確認手続きを強めるよう頼んできた、というのが同行の主張だ。

事業者は反論　「初めて聞いた」、「話あれば受けた」

一連の問題では、何者かが銀行の暗証番号などを使って、決済サービスを銀行口座とひもづけていたとみられる。　暗証番号以外に、スマホなどでの 2 段階認証を導入していた銀行では被害が出ていないもようだ。　ゆうちょ銀は昨年 1 月と今年 5 月に段階的に、2 段階認証をできるようにしており、決済サービス事業者にも対応を求めてきたとしている。　だが、これまでに導入済みだったのは 12 社中 2 社のみ。　未導入だった　10　社中、7　社で被害が起きている。

導入が進まなかった理由について、田中氏は「もっと強力にお願いすべきだったと反省している」、「もう少し汗をかくべきだった」などとも述べた。　だが、決済サービス事業者が導入に消極的だったと思わせる説明には、反論も相次ぐ。　楽天 Edy を提供する楽天は「（2 段階認証の）話はこれまで一切なく、昨夜初めて聞いた。　今日の説明を聞いて、担当者は困惑している。（広報担当者）」とコメント。　ペイペイは「導入する予定とは聞いていたが、その後何の連絡もなかった」、メルペイは「2 段階認証の話が来たのはごく最近。それが初めてと認識している」、LINE ペイも「認識に相違がある。　（2 段階認証の）話があれば受けた。」としている。

一方、全国地方銀行協会の大矢恭好会長（横浜銀行頭取）は 16 日の定例会見で、電子決済サービスを通じて銀行口座から不正に預金が引き出された問題について「お客様に大変なご心配をおかけしている。　地銀界を代表しておわびを申し上げたい。」と謝罪した。　「銀行の信用や信頼感が部分的に傷ついている」とも述べ、今後、銀行業界としてセキュリティーの強化に取り組み、利用者の信頼回復に努める考えを強調した。 (益田暢子、笠井哲也、asahi = 9-17-20)

◇　◇　◇

不正引き出し、ドコモ口座以外 5 サービスも　ゆうちょ銀

銀行に預けられたお金がドコモ口座を通じて不正に引き出された問題で、ゆうちょ銀行では、ドコモ口座に加え、ほかの 5 つの決済サービスにも引き出されていたことが分かった。　ゆうちょ銀を所管する高市早苗総務相が 15 日の閣議後会見で明らかにした。　高市氏によると、総務省による 10 日のヒアリングなどで把握したという。　被害額や、ドコモ口座以外のサービスの名前には触れなかった。　不正な引き出しに使われた合計 6 つのサービスのうち、ドコモ口座を含む二つのサービスは新たな登録などをすでに停止した一方で、残る 4 つのサービスは登録などを続けているという。

高市氏は、ドコモ口座以外を通じても被害が出たことを受け、「幅広く（口座）振替サービスに関して不審な出金がないかどうか確認しないといけない」と指摘した。　一連の問題を所管するのは、一義的には総務省ではなく金融庁であることを踏まえつつ、「大切な財産を守るべきことだから、あえて申し上げた」とも語った。 (asahi = 9-15-20)

◇　◇　◇

混在する 2 種類の d アカウント　ドコモ会見に見えた甘さ

携帯電話事業者の歩みは、不正利用とのたたかいの歴史でもある。　架空名義で契約し、特殊詐欺やヤミ金融などの違法行為に使われる「飛ばし携帯」が代表的だ。　契約者が本人であることを確認する重要さは、携帯事業者自身がよくわかっているはずだった。　それにもかかわらず、NTT ドコモの電子決済サービス「ドコモ口座」を何者かが悪用するという預金の不正引き出し被害が発生した。 本人確認とは言えないような、ずさんな仕組みが原因だった。

同社が 10 日夕に開いた記者会見では、サービスをドコモの携帯電話契約者以外に広げたいとの思いが先行し、本人確認のハードルをあえて下げたことが浮き彫りになった。　その結果、不正防止対策がおろそかになったと批判されても仕方がないだろう。　会見から見えた問題のポイントをまとめた。

NTT ドコモの記者会見から見えてきた「ドコモ口座」の問題点。　誤りはどこにあったのか、またサービスはどうあるべきなのか、須藤龍也編集委員が解説します。

不正の根本原因は、ドコモ口座を開設するために必要な基盤サービス「d アカウント」の不備にある。　もともとは携帯電話の契約者だけが使える付帯サービスだったが、「すべてのお客様に開放する戦略（丸山誠治副社長）」で昨年 9 月、ドコモ契約者以外もアカウントを取得できるよう方針転換した。　取得に必要な情報はメールアドレスだけ。　そもそもメールアドレスには、特定の個人であることを確認し、証明できる要素が含まれていない。つまり、「氏名」、「フリガナ」、「性別」、「生年月日」を適当に入力し登録してしまえば、架空の人物のアカウントができてしまう。

ドコモの携帯利用者なら、契約時に身分証明による本人確認が義務付けられているため、架空のアカウントを作ることは困難だった。　ドコモ以外の客層を取り込みたいあまり、同社がアカウントの信頼性そのものを後退させることを選んだ。　その結果、現在の d アカウントには、「ドコモが契約者本人であることを確認した」ものと「限りなく匿名に近い」ものの 2 種類が混在する状況が生まれてしまった。　本来ならばサービスの内容によって、一律にアカウントの信頼性をどこまで担保するか、決めるべきものだ。

「ドコモ口座」は、そこに金融機関の口座情報をひもづけた。　匿名性の高いアカウントと銀行口座が結びついた状況が果たして、健全なサービスであると言えるのだろうか。　犯罪者が目をつけたのは、まさにそこだ。　社会を見渡せば、ネットバンキングの不正送金被害が依然として減っておらず、個人の口座情報が何らかの手段で第三者の手にわたっている。　犯罪を未然に防ぐ視点があれば、d アカウント利用者と口座所有者が同一であることを確認するのが当たり前ではなかったか。

匿名アカウントをひもづけることで、犯罪の発覚が遅れるリスクも生まれる。　多くの段階を経ることで、金融機関の口座から直接決済するよりも手口は複雑になる。　発覚が遅れるばかりか、犯罪捜査も難しくなる。　サービス提供事業者なら容易に想像できたはずだ。　ドコモは会見でこうした点について、認識の甘さを認めている。　銀行口座と結びつけることで「本人性を確認しサービスを提供した」といい、金融機関任せにしていた。　さらに、匿名性の高さがサービスを不正利用された背景にあるのではという指摘にも「認識の通り」と答えた。

また不正防止対策の点でも、サービスを踏み台にした悪意の利用者を排除するという「視点が抜け落ちていた」と、内部のセキュリティー対策が十分ではなかったとの認識を示した。　匿名性の高いサービスは、必ず犯罪を誘発する。　飛ばし携帯などでそれを痛感していたはずのドコモは一体、携帯電話事業の教訓をなぜ生かさなかったのか。　一方でドコモは、スマートフォンでの生体認証やパスワードを使わない新たな認証方法をめぐる世界規格の策定に携わっており、米グーグルやアマゾン、マイクロソフトと並び、この分野で世界をリードしている。　ドコモ口座をめぐるずさんな対応と比べ、あまりに落差が大きい。

社会インフラを国から任される第一種電気通信事業者として、d アカウントの事業をこのまま運営し続けるのだろうか。　ドコモ利用者という信頼に裏打ちされたアカウントという価値こそが、サービスの売りではなかったのか。　会見で繰り返された「多くのお客様に使っていただきたい」、「サービスを届けたい」という発言からは拡大路線ばかりが透けて見え、踏みとどまって根本的な対策を考えるといった姿勢が残念ながら見えてこなかった。 (編集委員・須藤龍也、asahi = 9-12-20)

◇　◇　◇

ドコモ口座の被害、昨春時点で把握　十分に対応せず?

NTT ドコモの電子決済サービス「ドコモ口座」を使った銀行預金の不正引き出しが相次いでいる問題で、昨年 5 月にも、りそな銀行で同様の被害が複数発覚していたことがわかった。　ドコモ口座を悪用した預金の不正な引き出し事例があることを、ドコモ側は以前から把握していたことになる。　ドコモによると、りそな銀行との口座連携は昨年 5 月に始まった。　だが、開始直後に複数の被害が発生。　銀行顧客の暗証番号などの情報を入手したとみられる何者かが、同行の顧客になりすまして預金口座をドコモ口座にひもづけ、預金を不正に引き出したとみられる。　りそなとドコモは安全性が不十分とみて、開始から 1 カ月もしないうちに新規の口座連携を中断し、その後は再開には至っていない。

朝日新聞の取材では、9 日までにゆうちょ銀行やイオン銀行など少なくとも 10 行で被害が発生している。　ただ、被害の多くは最近になって発覚したものだ。　以前から不正事例を把握していたドコモが、今回の不正発覚までに十分な対応をしていなかった可能性がある。　ドコモは今回、これまでの本人確認手続きが甘かったことを認め、9 日に再発防止策を発表。　スマホの SMS を使った 2 段階認証などを導入する。　ドコモ口座と連携できる銀行は、りそなをのぞいて 35 行。　新規の口座連携は 10 日からすべて停止されるとしている。 (asahi = 9-10-20)

◇　◇　◇

ドコモ口座、17 行と連携中断　被害さらに広がるおそれ

NTT ドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが、全国の地方銀行で相次いでいることが明らかになった。　ドコモは 9 日未明までに、地銀など 17 の銀行の口座とドコモ口座の連携を中断したと発表。　被害はさらに広がる可能性がある。　ドコモは本人確認が不十分だったと認め、セキュリティーを強化するとしている。　ドコモ口座はスマホ決済や送金のためのサービス。　利用者がドコモ口座を開設し、自身の銀行口座と連携すれば、お金を銀行からドコモ口座に入金（チャージ）し、スマホ決済の「d 払い」や電子送金が使えるようになる。

ドコモが口座連携を止めたのは、七十七銀行（仙台市）、中国銀行（岡山市）、大垣共立銀行（岐阜県大垣市）、イオン銀行（東京都）、池田泉州銀行（大阪市）、大分銀行（大分市）、紀陽銀行（和歌山市）、滋賀銀行（大津市）、仙台銀行（仙台市）、第三銀行（三重県松阪市）、但馬銀行（兵庫県豊岡市）、鳥取銀行（鳥取市）、北洋銀行（札幌市）、みちのく銀行（青森市）、伊予銀行（松山市）、東邦銀行（福島市）、琉球銀行（那覇市）。　被害の件数や金額は不明。　各行では、銀行の預金が見知らぬドコモ口座へと不正に引き出されたり、その疑いがあったりする事案が相次ぎ発覚している。

七十七銀行によると、今月初旬に「身に覚えのないお金の移動がある」と顧客から連絡があり発覚。　不正に盗み出された口座番号や暗証番号などを使って、第三者のドコモ口座に預金が引き出されたとみられる。　同様の被害は複数あり、最大で数十万円が引き出されたという。　宮城県警に被害を連絡しており、詳しい調査を進めている。　同行のシステムからは口座番号などの流出は確認されていないという。 (井上亮、徳島慎也)

メアドで本人確認、容易になりすまし

NTT ドコモの電子決済サービス「ドコモ口座」を使った預金の不正引き出しが、地方銀行で相次いだ。　メールアドレスさえあれば架空の名義でもドコモ口座が開設できてしまう不備をつかれたのが原因だ。　ドコモによると、ドコモ口座を開設するには、まずドコモのアカウントをつくる必要がある。その際、メールアドレスで本人確認をするといい、容易になりすましができる仕組みだった。

今回の不正では、地銀の顧客の氏名、口座番号、暗証番号、生年月日などが何らかの方法で盗まれたとみられ、ドコモ口座と銀行口座の連携までできてしまった。　そのため、地銀の顧客名義のドコモ口座が作られ、銀行口座からお金が不正に引き出された可能性が高い。　今回の事態を踏まえ、ドコモは携帯電話番号を使った SMS による 2 段階認証をしないと口座を開けない仕組みに変えるという。　スマホ決済などとの口座連携では、複数の暗証番号やパスワードの入力が必要となる銀行もある。　今回は入力項目が少ない地銀が狙われた可能性もある。 (井上亮、asahi = 9-9-20)

偽サイト見つけるプロ　意外にシンプルな監視術

ヤフー　セキュリティ監視室　大角祐介さん (41)

巧妙化するサイバー犯罪。　なかでも、被害が急増しているのがフィッシング詐欺だ。　メールなどで本物そっくりの偽サイトに利用者を誘い込み、ID やパスワード、クレジットカード情報などを入力させて、だましとる。　フィッシング対策協議会によると、今年 7 月の 1 カ月間に発見された偽サイトだけで約 5,500 ある。　こうしたフィッシング詐欺サイトの監視・通報や、手口の分析が主な仕事だ。　1 年間に通報する数は、約 60 人いるセキュリティー監視担当のなかでもトップクラスの約 360 サイトに上る。

どうやって偽サイトを見つけるのか。その方法は、意外とシンプルだった。　「怪しそうなサイトに片っ端からメールアドレスを登録して、わざとカモになるんです。」　「カモ」のアドレスには、実在の企業を装ったメールなどが届く。　そこに付けられている、ワンクリックでサイトに接続できるリンクから、偽サイトにたどり着く。　偽サイトかどうかは、「○○.com」などネット上の住所にあたるドメイン名で主に判別する。　ただ、本物と見間違えるようなドメイン名を取得しているケースもあるため、ソースコード（プログラム）の特徴などからも判断するという。

偽サイトを見つけたら、まずは「止血」のためにグーグルやマイクロソフトなどに通報して、サイトを表示するブラウザーに警告を出してもらう。　次にドメインや IP アドレスから、偽サイトのサーバー業者を確かめ、サイト閉鎖を依頼。　さらに、こうした偽サイトの情報を集め、警察と共有して摘発などにつなげる専門機関にも報告する。　「サイバー対策はチームプレーでもあるんです。」

高校生の頃から「パソコンおたく」だった。　学生時代は物理学を専攻したが、大学の計算機センターで学生スタッフをした経験から IT の道へ。　インターネットプロバイダーで約 10 年働いた後、ネットセキュリティーの世界に転じた。　当時は災害復興のためのネット募金の偽サイトも目立ち、「人の善意を犯罪に利用することが許せなかった」という。　被害にあわないコツは、届いたメールやサイトの「本物らしさ」で詐欺かどうかを見極めようとしないことだという。　リンクには本物の URL が記されていても、クリックすると偽サイトにつながる偽装もあり、見た目で判断するのは至難の業だからだ。　リンクは決して使わず、本物のサイトを検索するか、ブックマークしておくことが大切だと訴える。

自身の使命は「偽サイトを作っても作っても、ブロックされる状態にもっていくこと。」　一方で、「そもそも偽サイトが生まれないようなログイン方式の強化に本気で取り組まないと、フィッシング詐欺はなくならない」とも話す。　ヤフーは、パスワードを盗むために偽サイトが出来るならパスワード自体をなくしてしまおうとの発想から、利用のつど 1 回限りの確認コードをスマホに送る方法などを導入した。　無数の偽サイトと戦いながら、サイトを運営する企業側が、根本的にセキュリティーを強化する必要性も指摘し続けている。 (益田暢子、asahi = 9-6-20)

おおすみ・ゆうすけ　徳島県出身。　大阪大学大学院理学研究科物理学専攻修了。　インターネットプロバイダーなどを経て、2016 年 11 月からヤフーのセキュリティー監視担当。　趣味は写真。　特に顕微鏡写真にこだわっており、個人でホームページも開いた。　バナナやトマトなどの細胞を撮るほか、ジャガイモのデンプンにヨウ素液を垂らして変色したところを撮影するなど、理科の実験をほうふつとさせる。　本格的な写真ゆえ、出版社から「学習雑誌に掲載したい」と依頼がきたこともあるという。

Android で工場出荷時の状態に戻しても撃退不可なマルウェア「xHelper」が発見される

アンチウイルスアプリを開発している Symantec が「削除が困難なマルウェアが半年で 4 万 5,000 台以上の Android 端末に感染しているのが確認されました」と発表しました。　「xHelper」と名付けられたこのマルウェアは、スマートフォンを工場出荷時の状態に戻しても、すぐに再インストールされてしまい、記事作成現在のところ防ぐ手だては見つかっていないとのことです。

xHelper が発見されたのは 2019 年 3 月のことです。　当初はあまり注目されていませんでしたが、その後、爆発的な感染の拡大が確認されるようになり、2019 年 8 月にはアンチウイルスアプリ Malwarebytes Security をリリースしている Malwarebytes が「3 万 3,000 台の端末が感染している」と発表。　2019 年 10 月 29 日には Symantec により 4 万 5,000 台の端末が感染していることが確認されました。

Malwarebytes によると、xHelper は Google Play でのダウンロード数が 10 回を超えないような、非常にマイナーなパズルゲームアプリから発見されたとのこと。　また、Symantecは「Google Play からは発見されなかったタイプのサンプルもあるため、未知の感染源があると思われます」と述べて、ユーザーによる提供元不明のアプリのダウンロードが主な原因だとの見方を示しました。　Android 端末が xHelper に感染すると、広告の通知が表示されるようになるものの、特に大きな被害をもたらすわけではないとのこと。

しかし、xHelper の特筆すべき性質は「削除がほぼ不可能」な点にあります。　端末から xHelper をアンインストールしても、すぐに再インストールされてしまうばかりか、端末を工場出荷時の状態に戻しても、数分後には再インストールされてしまいます。　Symantec は「xHelper が Androidのシステムアプリを改ざんしているわけではなく、端末そのものにプリインストールされている形跡もない」ことを確認していますが、端末をリセットしても毎回再インストールされてしまう原因については「不明」だとしています。

しかも、Symantec は xHelper のソースコードから xHelper がまだ開発中であることを示すコードを発見し、現在進行形で進化している最中だということを突き止めました。　3 月に発見された当初は広告を表示する機能しか持たなかった xHelper ですが、徐々に機能が増えており、2019 年 10 月の時点ではマルウェアに感染した端末にコマンドを送信する「C & C サーバー」への接続機能を獲得しているとのこと。　これにより、将来的にはデータの窃取や端末の乗っ取りなどが可能になると見られています。

8 月に xHelper について報告した Malwarebytes は「xHelper はニューヨークとテキサスの IP アドレスにホストされており、アメリカのユーザーを標的としたマルウェアといっても過言ではないでしょう」と述べています。　一方、10 月に xHelper を解析した Symantec は「xHelper の開発中のコードにはインド最大手の 4G キャリア Jio と同じ名前のタグが付いており、攻撃者が Jio ユーザーを標的にした攻撃を計画している可能性は高いと思われます」と述べて、インドにいる 3 億人以上のユーザーが潜在的な標的になっているとの見方を示しました。 (Gigazine = 10-30-19)

Symantec は xHelper への対策として、次のような予防措置を推奨しました。

・ OS やアプリを最新の状態に保つ。
・ 信頼できない提供元からアプリを入手しない。
・ アプリが要求する許可に細心の注意を払う。
・ 「ノートン モバイルセキュリティ」や「SEP Mobile」などの適切なモバイルセキュリティアプリを導入する。
・ 重要なデータはこまめにバックアップを取る。

「佐川です、荷物確認を」　ID 入力させて … 偽 SMS

NTT ドコモや佐川急便、日本郵便を装う携帯電話のショートメッセージサービス (SMS) が不特定多数の人に送り付けられていることが 26 日、警察庁への取材でわかった。　本物と勘違いするような偽サイトに誘導し、ID やパスワード (PW) などを入力させてそれらの情報を盗もうとするのが共通点だ。　全国の警察に相談が寄せられ、同庁が注意を呼びかけている。

NTT ドコモの「d アカウント」サービスの ID や PW を狙うメッセージを警察庁が確認したのは今春。　同社を装って「d カードが不正利用の可能性があります」、「d アカウントに異常ログインの可能性がございます」などと不安をあおり、記載の URL への接続を要求。　リンク先の偽のサイトで ID や PW、クレジットカード情報の入力を促され、入力すると盗み取られるという仕組みだ。

一方、昨年 7 月ごろから出回っているのは佐川急便の偽メッセージだ。　「お荷物のお届けにあがりましたが不在のため持ち帰りました」との文面で、URL から配送物についての確認を求める。米アップル社の「iPhone （アイフォーン）」であれば同社の ID と PW の入力を指示され、アンドロイド型のスマートフォンは端末から情報を漏洩させるアプリのダウンロードを要求される。　今年 4 月ごろからは、日本郵便を装う同様のメッセージも確認されている。　佐川急便も日本郵便も SMS で不在通知の案内はしていないという。

盗まれた情報は不正アクセスのほか、スマホ向けの QR コード決済サービスのアカウントの不正開設などに使われる恐れがある。　ID・PW を使い回すネットユーザーが多く、関係のないサービスで悪用されるリスクもあるという。　警察庁は心当たりがない SMS は開かないよう呼びかけている。 (八木拓郎、asahi = 9-26-19)

被害に遭わないために

• 心当たりがない SMS は開かない
• 記載された URL に安易に接続しない
• URL の真偽の見極めが難しければ、公式サイトやアプリを通じて企業側にアクセスし、情報を確認する
• 警察や日本サイバー犯罪対策センター (JC3)、フィッシング対策協議会のホームページで最新の手口を確認する
• ID・パスワードの使い回しをしない
• アプリは信頼できるサイトからダウンロードする

* 警察庁や JC3、フィッシング対策協議会による

iPhone ハッキング事件の裏に中国の影?　Android も Windows も標的に …

iPhone を狙った大規模なハッキングの、続報です。　ビジネス誌のフォーブスの報道によると、Google の研究チームが今週はじめ、ハッキングの標的が iPhone ユーザーにとどまらず、Microsoft や Google の OS にまで及んでいたと発表しました。　しかも、この一連の行為が、実は中国政府がウイグル族を監視するための国家的な工作だったのでは … という説も出ています。

サイトにアクセスするだけでマルウェアに感染

Google の脅威分析グループがこのスキームに気づいたのは、今年初め（公表されたのは先週木曜日ですが）。　狙われたのは、メッセージアプリなどのリアルタイム位置データや、暗号化された情報などの個人情報です。　ウイルスが仕込まれた複数のウェブサイトを訪問したユーザのデバイスが感染し、WhatsApp メッセンジャーや iMessage、Telegram （テレグラム）などのメッセージアプリに含まれる情報が吸い上げられました。　これらの悪質サイトは 2 年間稼働していて、その間は毎週数千人単位の訪問者がサイトにアクセスしていたと言われています。

2 月、Google は Apple のサイトにある 14 の脆弱性がマルウェアに悪用されたことを通知しました。　Apple はそれから数日以内に修正アップデート (iOS 12.1.4) を走らせましたが、その時は｢メモリ破損｣問題という欠陥が｢入力検証の改善｣で修正された、としか公表していません。　今週初めにニュースが報じられてからも、Google はハッキングのアカウントの公表を控えています。

Google チームは、今回の攻撃の標的について｢iPhone ユーザー｣としか報告していませんが、この問題に詳しい情報筋は、Google と Microsoft の OS を使用しているデバイスも、同じサイトの標的になっているとフォーブスに語っています。　こうなると、被害規模は前代未聞の膨大な範囲に及ぶ恐れも出てきます。

Google がこうしたハッキング被害の証拠を見つけたのか、またそれを共有しているのかは不明ですし、iPhone ユーザーの時と同じ攻撃方法だったかどうかもわかりません。　ハッカー集団の手口は、悪意のサイトにアクセスしたユーザーの携帯電話に、悪質なコードを植え付ける、というもの。　Google の広報担当者にこうした一連の事件について質問しましたが、開示すべき新情報はない、という回答でした。　Microsoft にも同様の質問をし、現在は回答待ち状態なので、何らかの進展があればこちらの記事で情報をアップデートします。

ハッカーの黒幕は中国政府?

アメリカの大手 IT 系ブログサイトの TechCrunch は、これらの行為はすべて中国政府によるものだ、とレポートを出しています。　中国では少数民族のイスラム教徒グループであるウイグル人コミュニティが標的にされますが、今回も 2 年間にわたって広く展開されている監視活動の一環ではないか、というのです。

ただ、Google の公開情報では｢ハッキングされたサイトにアクセスするだけで、デバイスが悪意のサーバーに攻撃され、監視アプリがインストールされる｣と指摘されているため、ウイグル民族以外の人も攻撃の対象となります。　また、フォーブスが情報筋から得た情報では、ウイグル人コミュニティのネット使用状況に対応するため、ウイルスやサイトが他の OS にも侵入できるよう進化した可能性もあるということです。

これが事実なら、中国政府による最新の｢少数民族取り締まり対策｣であり、｢新疆ウイグル自治区がイスラム過激派や分離主義者によって脅かされている｣という主張に後押しされたものになります。　国連の報告によると、昨年、中国政府は 200 万人のウイグル人とイスラム教徒の少数派を｢教化のための政府キャンプ｣に拘束しており、20 カ国以上がこれを停止するよう呼び掛けています。 (Alyse Stanley、Gizmodo = 9-3-19)

Google が最近明らかにしたハッキングについて、デジタル著作権関連 NPO 法人のエレクトロニック・フロンティア財団でシニアスタッフ・テクノロジストを務めるクーパー・クィンティン氏は、フォーブスに次のように語っています。

｢中国政府は何年もの間、監視と投獄を目的に、組織的にウイグル人を標的にしてきました。　これらの攻撃は、おそらく中国のウイグル人や、中国国外に離散したウイグル人、そしてウイグル人の独立闘争に共感して協力したいと考える人々への監視を目的としているのです。｣

〈編者注〉 分かりにくい内容に、分かりにくい文章で、「むしろ真実の何かが隠されている」と勘ぐってしまいます。　正直、「2 年もの間、スマホ OS の脆弱性が見過ごされていた」など到底考えられません。　個人的には、「中国市場を死守したいアップルが、中国政府の脅迫に負けて、『ウィグル族監視』のシステム構築に、たとえ消極的なものであったにせよ、それに協力した」との恐ろしい仮説も成り立つのではないかと思えてなりません。

◇　◇　◇

iPhone を標的とした「無差別」ハッキング、グーグルが明らかに

米 IT 大手グーグルのセキュリティー対策班は 29 日、米電子機器大手アップルのスマートフォン「iPhone (アイフォーン)」を標的にした「無差別」なハッキング活動が、少なくとも 2 年間行われていたことを明らかにした。　ウェブサイトに悪意あるソフトウエアを埋め込むことで、写真や位置情報といったデータにアクセスされていたという。　グーグルのセキュリティー対策班「プロジェクト・ゼロ」は 29 日付のブログ投稿で、サイバー攻撃のためにハッキングされたサイトについて、推定数千人が毎週訪問していると述べたが、名前は明らかにしなかった。

プロジェクト・ゼロのイアン・ビア氏は、「脆弱性を悪用した端末への攻撃には、ハッキングされたサイトを訪問するだけで十分だ。　攻撃が成功すると監視ソフトウエアがインストールされる。」と述べた。　ビア氏によると、インストールされた悪意あるソフトウエアは、ファイルを盗み、60 秒ごとに現在の位置情報を送ることに主眼を置いたもので、テレグラムやワッツアップ、アイメッセージといった暗号化メッセージアプリにもアクセス可能。　グーグルのメッセージサービス「ハングアウト」や、メールサービス「G メール」も被害を受けたという。

標的とされた脆弱性は「iOS 10」から最新の「iOS 12」に至るまでほぼすべての基本ソフト (OS) から発見され、そのほとんどが iPhone の既定ブラウザ「サファリ」から見つかった。　グーグルは今年 2 月、この問題をアップルに報告。　アップルはその後、「iOS 12.1」用のセキュリティーパッチをリリースしたという。 (AFP = 8-31-19)

Google Play でダウンロード数 1 億以上の人気アプリにマルウェア混入が発覚

「公式ではないストアからアプリをインストールするのは危険」というのはスマートフォンを使っているとよく耳にしますが、一方で、「公式のストア」だからといって安全だとは限りません。　カスペルスキー研究所によると、Google Play で 1 億回以上ダウンロードされていた人気アプリ「CamScanner」にマルウェアが含まれていたとのこと。　すでに Google Play には報告済みで、問題のあるバージョンはすでに削除されています。 (Gigazine = 8-29-19)

「1 日 40 万件送信」メール乗っ取り詐欺疑い、4 人逮捕

他人のアドレスから節税対策のメールを送り、保証金名目で電子マネー利用権を詐取したとして、埼玉県警はウェブ制作会社代表の加藤寛匡（ひろただ）容疑者 (36) = 東京都新宿区 = ら 20 - 30 代の男 4 人を詐欺容疑で逮捕し、27 日発表した。　県警は、加藤容疑者らが大手携帯電話会社を装った偽サイトに不特定多数を誘導してアドレスを書き込ませて不正取得し、詐欺に悪用した疑いがあるとみて調べている。

サイバー犯罪対策課によると、4 人は 2017 年 11 月 - 18 年 11 月、京都府南丹市の女性 (64) に対し、主婦であると装って複数回、「節税のため現金 2,900 万円を受け取ってほしいが、保証金が必要だ」と他人のアドレスなどからメールを送り、電子マネーの利用権（206 万円相当）をだまし取った疑いがある。　認否は明らかにしていない。　一部は今回の逮捕前の調べに「2 年間で多い日は 1 日 40 万件のメールを送った」と述べていたという。

県警は押収したパソコンの解析などから、4 人が 16 年 12 月、大手携帯電話会社のロゴを使って実在するゲームアプリのキャンペーンに誘う「フィッシングサイト」を開設し、多数の利用者に携帯電話のメールアドレスとパスワードを入力させ、不正入手していた疑いがあるとみている。　これらのアドレスを使い、17 年 3 月 - 18 年 10 月に少なくとも約 5,600 万円相当をだまし取った疑いがあるとみて全容解明を進める。

県警は、千葉市の女性 (54) から同様の手口で電子マネー利用権 25 万円相当を詐取したとして 4 人を今月上旬に同容疑で逮捕。　27 日には、4 人と共謀したとして住居、職業不詳の小泉優容疑者 (36) を公開手配した。　加藤容疑者とともに事件の主導役だったとみている。 (asahi = 6-27-19)