個人情報が盗まれた兆候を早期に発見できれば、あなた自身や家族への影響を最小限に抑えることができるだろう。それらの兆候にはどのようなものがあり、そして、どのような対策ができるかを解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
コロナ禍を経て、我々は多くの時間をオンライン上での活動に費やすようになった。ある調査では、米国の成人は2019年に比べて2020年は、すべてのデバイスでオンライン上での活動が1日あたり1時間増加した。2022年の終わりには、毎日8時間以上をデジタル空間で過ごすようになるかもしれない。こうしたライフスタイルの変化により、今まで以上に個人情報や認証情報を、デジタルサービスを提供する企業に共有するようになった。そして、サイバー犯罪者は、これらの企業からだけではなく、私たちからも直接、個人情報を盗もうと常に狙っている。
米国では、このような情報漏えいが2021年第3四半期までに1,300件近く報じられており、2020年の総件数を超えている。結果として、何億人ものユーザーがなりすまし被害のリスクを抱えることになった。では、自分自身が情報漏えい事件に巻き込まれているかどうかを知るには、どうすればよいのだろうか。初期の兆候を察知することで、あなた自身や家族への影響を最小限に抑えられるだろう。
なりすまし犯罪はどのように起きるのか?
サイバー犯罪の経済規模は、年間で数兆ドル(数百兆円相当)にも上る。その構成要素や関係者は多岐にわたる。例えば、最初にある組織から情報漏えいに関与した犯罪者が、その後に続く詐欺行為を試みる犯罪者と同一人物である可能性は低い。一般的に、盗まれたデータはダークウェブ上にある専用のフォーラムで売り出される。そして、なりすましを手掛ける詐欺集団によって、まとめて購入されて悪用される。有効性を検証した個人情報を再販したり、自分たちで再利用する場合もある。
個人情報は、その種類によって以下のように悪用される。
- クレジットカード情報がすでに登録されているECサイトのアカウントを乗っ取り、不正な取引を行うのに利用する
- 不正な支払いを実行する(例:クレジットカード情報が盗まれた場合)
- ソーシャルエンジニアリングの手法を用いて、銀行や通信会社のスタッフを騙し、アカウント情報をリセットして乗っ取る
- なりすまして、融資を不正に引き出す
- 健康保険や税金還付の詐欺を働く
なりすまし被害でよく見られる兆候には、どのようなものがあるか?
なりすましのシナリオは数多く存在するため、常に警戒しておくことが重要だ。もちろん、個人情報が盗まれた可能性を示す最も明らかなサインは、情報漏えいの通知を受け取った場合だ。起こり得る被害を把握するため、通知の内容を注意深く読むべきなのは言うまでもない。
以下に、そのほかの兆候について解説する。
銀行明細やクレジットカード取引の異常
詐欺師は、盗んだクレジットカードの有効性を確認するため、一見、害がないように見える少額の買い物をしてから活動を本格化することが多いため、明細や取引の些細な不一致であっても詐欺の可能性がある。何かおかしいと感じたら、そのカードや口座を凍結すべきだ。これは、モバイルバンキングアプリで行えるだろう。その後、すぐに銀行やカードの発行会社に連絡するのが望ましい。
電話やオンラインアカウントが使えなくなる
攻撃者がログイン情報を入手した場合、まず始めにパスワードを変更してユーザーを締め出すだろう。あるいは、携帯電話会社を騙すことに成功した場合は、攻撃者の管理下にあるデバイスに詐取した電話番号を不正に移してしまうだろう。これは、SIMスワッピング攻撃として知られており、特に危険性が高い。本人確認のために銀行からSMSで送られてくるワンタイムパスコードが傍受されてしまうからだ。
確定申告時に問題が発生する
詐取された社会保障番号やほかの個人情報を悪用する一般的な方法の1つとして、被害者になりすまして所得税の申告を先に行うものが挙げられる。攻撃者は税金の還付を不正に受け取ることができるため、もし、確定申告ができない場合は、これが原因である可能性もある。
医療費の請求に問題が発生する
受けた覚えのない医療費の請求書が届いたり、すでに限度額に達しているとして医療保険機関への請求が否認される場合は、なりすましが原因である可能性がある。特に、民間の医療制度がある国においては、このような詐欺は被害額が大きくなり得る。
債権回収業者からの電話
詐欺師がなりすまして多額のクレジットカード利用や融資を行った後に姿を消した場合、貸し主が債権回収業者に調査を依頼するのは時間の問題だろう。
個人情報が盗まれたときに考慮するべきこと
まずはパニックに陥らないことだ。すぐに銀行やカード発行会社、保険会社へ連絡して、犯罪の疑いがある場合は警察に通報しよう。米国の場合、IdentityTheft.govへ事件を通報すると、復旧のための手続き方法を受け取れる。ほかの国における関係機関については、以下を参照。
イギリス:CIFAS(詐欺防止コミュニティ)とAction Fraud(詐欺対策専門機関)
カナダ:Canadian Anti-Fraud Centre(詐欺対策センター)
ニュージーランド:警察や専門機関
オーストラリア:ReportCyber(サイバーセキュリティセンター)
今後の安全のために
個人情報や認証情報を預けている企業が標的にされた場合、個々人で情報漏えいを防ぐ手段は限られている。しかし、自身が詐欺師に直接狙われる場合に備えることは可能だ。
以下のような対策を検討してみると良いだろう。
- すべてのオンラインアカウントで多要素認証(MFA)を導入する
- すべてのアカウントで、パスワードマネージャーに保存された複雑で長い、ユニークなパスワードを使用する
- すべてのデバイスで、信頼できる最新のウイルス対策ソフトウェアを導入する
- 個人情報保護に関する書籍を読み、理解を深める
- すべてのデバイスで定期的にパッチを当てるか、自動更新を適用する
- 非公式のアプリストアは利用しない
- 公共のWi-Fiスポットへの接続は避ける
- HTTPS(南京錠マークが表示されている)のみのWebサイトを利用する
- 個人情報が読み取られないよう、古い文書はシュレッダーで処分する
- オンラインで企業に提供する個人情報の項目を最小限にする
我々の誰もが、一生のうちに何らかの形で個人情報の盗難に遭うリスクを抱えている。重要なのは、その可能性を最小限にするため、できる限りのことをすることだ。攻撃者が個人情報を手に入れた場合でも、その後の詐欺から身を守ることができるよう、常に警戒しておくことだ。
ESET社のチーフセキュリティエバンジェリストTony Anscombeによるアドバイスも視聴してほしい。