歳末のネットショッピングで消費者が留意すべきサイバー犯罪対策5か条
感謝祭(*1)やクリスマス、新年に彩られるホリデーシーズンが近づくと、家族や友人、お世話になった人に贈るギフト選びが世界中で始まります。米国では、この時期が年間最大の支出シーズンといわれ、小売業界は感謝祭の翌日の金曜日(ブラックフライデー)から大規模なセールを始めます。人々は買い物リストを作り、実店舗やネットショップでギフトを買い揃えます。日本でも、大手通販サイトで魅力的なセールが始まっています。サイバー犯罪者や悪人はこの買い物シーズンを好機と捉え、消費者の貧弱なサイバーセキュリティ意識と守りの弱さを最大限に利用しようと企んでいるのです。
全米小売業協会(*2)は、2018年のホリデーシーズンの買い物は、少しだけ消費者の財布の紐が緩むだろうと予測しています。なかでも2桁成長(*3)が予想されるのはeコマース、特にmコマース(モバイルコマース)です。モバイルショッピングは32%増と予想されており、eコマース全体の売上の半分近くを占めるとみられています。2018年第3四半期の詐欺行為の73%(*4)がモバイルチャネルで行われていたことを考えると、モバイルベースのショッピングへの転換は、サイバー犯罪者にとって喜ばしいことなのです。
RSAは、RSA® Anti-Fraud Command Center(*5)が、ダークウェブ(*6)と一般のサイトで調査したサイバー犯罪行為に関する実態から、サイバー犯罪者がよく利用する手口と理由を挙げ、これに対して消費者向けのアドバイスを紹介しました。RSAは、ここに挙げた5つの手口は2019年にも引き続き、活用されると予測します。
1. パスワードの使いまわしを止める
知っていますか?:データ漏洩の発覚後にパスワードを更新する消費者は、たった28%です(*7)。この少なさゆえ、詐欺師にとってアカウントの乗っ取りが極めて容易になります。
理由があります:セキュリティとプライバシーの急所とは、パスワードの脆弱さ、推測しやすさ、そしてオンラインショップからeメールのアカウント、さらにはソーシャルメディアのアカウントまで、デジタル世界全体で同じ認証情報を使いまわしている人が多いという点です。大規模な情報漏洩の発生後、サイバー犯罪者が盗んだ認証情報をPastebin(テキストデータを保存、公開できるサービス)やダークウェブのフォーラム、ソーシャルメディア等に投稿することは珍しくありません。こうして認証情報は次の犯罪者の手に渡るのです。
あなたへのアドバイス:生体認証を取り入れたデバイスやサービスが普及し始めており、可能ならば利用すべきです。もしパスワードしか選択肢がない場合は、たやすくサイバー犯罪の被害者にならないために、どんなに不便だとしても同一のユーザー名とパスワードの組み合わせを使いまわすことは避けてください。全てのパスワードを記憶するのが難しいようであれば、パスワードマネージャー(IDやパスワードの管理ツール)の利用も検討してください。犯罪者にとってデータの価値がより高いサイト(例えば、銀行の口座情報や健康記録など)では、パスワード情報を解析されないように、強固で複雑、そしてユニークなものにしましょう。
2. 個人情報の公開に注意する
知っていますか?:1分間で21人が詐欺に遭っています(*8)。原因は、ソーシャルメディア上での過度な情報公開です。
理由があります:家族や友人、同僚があなたに連絡を取るための手段として、自身の個人情報を公開することは良い方法のように思えます。しかしながら、個人情報(生年月日、出身地、母校、勤務先)を過度に公開してしまうと、それがなりすましを行うサイバー犯罪者にとって、恰好の標的になります。特に昨今は、他人の名前を使って新規に口座開設する、新規口座詐欺が流行しています。また多くの組織が、個人の本人確認の際に依然としてこれまでと同じような経歴情報に依存しているため、サイバー犯罪者はSNSで得た情報を利用して口座のパスワードを変更してしまうのです。
あなたへのアドバイス:ソーシャルメディアではプロフィールの公開は最低限にし、面識のある友人や家族に限定しましょう。あなたを容易に特定できるような情報を過度に公開したり、拡散したりしないよう、十分に注意してください。
3. アカウントを乗っ取りから守る
知っていますか?:フィッシング詐欺は、2018年の第3四半期には全詐欺攻撃中の50% (*9) を占め、フィッシングの総件数は70%も増加しました。詐欺師がサイバーマンデー(*10)やホリデーショッピングシーズン中に詐欺を行うために新たな認証情報を収集(*11)しようとしていることから、フィッシングは依然としてデジタルチャネルにおける主要な攻撃となっています。
理由があります:貧弱なサイバー衛生の状態では、数百万人が影響を受けます。経済的な被害を受けることは無いかもしれませんが、出所が不明、あるいは知らないソース(メールの添付ファイルやネット広告など)を不用意にクリックすると、マルウェアがデバイス、さらにはネットワークに拡散される可能性があります。そこから、サイバー犯罪者は極めて重要な情報(*12)を得ることができ、被害者が知らないうちに、その情報をもとにしてアカウントの乗っ取りや個人情報の盗難を実行します。
あなたへのアドバイス:クリックに要注意です!メールでは、知っている人や信頼できる送付元からの添付ファイルのみ開きましょう。オンラインでは、華やかな広告や非常に魅力的な宣伝の犠牲にならないようにしてください。そのためにはウェブページから直接ソースにアクセスすると良いでしょう。疑わしいときは、ページを開いたりクリックしたりしないでください。
4. 不正なモバイルアプリをダウンロードしない
知っていますか?:RSAは、2018年の上半期で17,000以上の不正なモバイルアプリ(*13)を検出しており、詐欺攻撃全体の28%を占めています。この種の攻撃が増加しているということは、サイバー犯罪者がモバイルのデバイスにマルウェアをインストールする方法として、この方法をより広く採用していることを示しています。
理由があります:アプリをダウンロードする前に、そのアプリが提示するパーミッションを毎回読んでいる消費者は、たったの35%にすぎません。アプリには合法的なアプリの偽造版として公開されているものもあります。パーミッションを読むことを怠ると、犯罪者が決済情報やユーザー名、パスワードを盗むためにスパイウェアやウイルス、トロイの木馬などをデバイスにインストールしてしまう可能性があります。
あなたへのアドバイス:デバイスにはアンチウィルス・ソフトウェアをインストールしてあるからと安易に考えず、アプリプロファイルのパーミッションを読みましょう。そしてアクセス先がそのサービスにとって妥当であることを必ず確認してください。
5. クレジットカード情報を不用意に保管しない
知っていますか?:サイバー犯罪者は、あなたのお金を使いたがっています。米国では、eコマースの不正取引の平均価格($403)は、合法的な取引($221)のほぼ2倍です。連邦準備制度理事会によると、不正な非対面取引は2015年~2016年の間に31%増加しました。 詐欺による損失は、2015年の34億ドルから2016年には46億ドル近くにまで増加しました。カード提示式取引のEMV基準の実装により、POSでの詐欺は減少しましたが、代わりにオンラインチャネルでの詐欺が増加しました。eコマースの取引による詐欺リスクを管理するためには、カード発行会社、決済処理業者、小売業者による3D Secure 2.0プロトコル(*14)の採用が不可欠です。
理由があります:決済情報をeコマース取引サイトに残すことは、非常に便利ではありますが、たとえそれが安全で信頼できるサイトだとしても、あなた自身がリスクにさらされることになります。小売業者がデータ漏洩の被害に遭った場合、あなたの決済情報が不正にアクセスされ、窃取されて犯罪市場で販売される可能性があります。さらに、複数のサイトでパスワードを使いまわすという消費者の傾向を悪用して、サイバー犯罪者は他のサイトにもアクセスできることを期待し、盗んだ認証情報を複数のサイトで試すことが頻繁にあります。
あなたへのアドバイス:利便性より安全性を優先させましょう。次回オンラインで購入するときは「ゲスト」としてチェックアウトするか、少なくとも、「今後のショッピングのためにアカウントに決済カード情報を保存する」というオプションを選択しないでください。ゲストアカウントを使用すると、個人情報データの大部分は業者のサーバーに保存されません。
# # #
*1 感謝祭は米国とカナダの祝日で11月の第4木曜日(2018年は11月22日)
*2 出典:Holiday and Seasonal Trends https://nrf.com/insights/holiday-and-seasonal-trends
*3 出典 Holiday Shopping 2018 https://www.emarketer.com/content/holiday-shopping-2018-10
*4 出典Q3 2018 RSA Quarterly Fraud Report https://www.rsa.com/en-us/offers/rsa-fraud-report-q3-2018
*5 RSA® Anti-Fraud Command Centerとは、200名以上のフロード・アナリストが24時間365日体制で数カ国語を駆使し、マルウェア解析、犯罪手口の解明に従事している不正対策指令センター
*6 ダークウェブとは、Torのような特殊なネットワークを通じてアクセスできるサイト。詐欺関連のサービス、盗難情報の販売などの闇市場がある。
*7 出典:RSA 2017 Consumer Cybersecurity Confidence Index https://www.rsa.com/en-us/offers/resources-ebook-rsa-2017-consumer-cybersecurity-confidence-index
*8 出典:21 people defrauded every minute because of oversharing on social media https://www.actionfraud.police.uk/blog/21-people-defrauded-every-minute-because-of-oversharing-on-social-media
*9 出典:Q2 2018 RSA Quarterly Fraud Report https://www.rsa.com/en-us/offers/rsa-fraud-report-q218
*10 サイバーマンデーは感謝祭の次の月曜日
*11 出典:Q3 2018 RSA Quarterly Fraud Report https://www.rsa.com/en-us/offers/rsa-fraud-report-q3-2018
*12 出典: Beyond Your Bank Account: Ten Astounding Finds Uncovered by Financial Malware https://www.rsa.com/en-us/blog/2018-10/beyond-your-bank-account-ten-astounding-finds-uncovered-by-financial-malware
*13 出典:Q2 2018 RSA Quarterly Fraud Report https://www.rsa.com/en-us/blog/2018-08/rsa-report-rogue-mobile-apps-account-for-28-percent-of-fraud-attacks
*14 3D Secure は、クレジットカード決済時の本人認証サービス。2.0ではマルチチャネル対応、リスクベースが採用されている。出典 https://www.rsa.com/en-us/blog/2017-10/3ds-2-why-it-pays-to-be-ready
全米小売業協会(*2)は、2018年のホリデーシーズンの買い物は、少しだけ消費者の財布の紐が緩むだろうと予測しています。なかでも2桁成長(*3)が予想されるのはeコマース、特にmコマース(モバイルコマース)です。モバイルショッピングは32%増と予想されており、eコマース全体の売上の半分近くを占めるとみられています。2018年第3四半期の詐欺行為の73%(*4)がモバイルチャネルで行われていたことを考えると、モバイルベースのショッピングへの転換は、サイバー犯罪者にとって喜ばしいことなのです。
RSAは、RSA® Anti-Fraud Command Center(*5)が、ダークウェブ(*6)と一般のサイトで調査したサイバー犯罪行為に関する実態から、サイバー犯罪者がよく利用する手口と理由を挙げ、これに対して消費者向けのアドバイスを紹介しました。RSAは、ここに挙げた5つの手口は2019年にも引き続き、活用されると予測します。
1. パスワードの使いまわしを止める
知っていますか?:データ漏洩の発覚後にパスワードを更新する消費者は、たった28%です(*7)。この少なさゆえ、詐欺師にとってアカウントの乗っ取りが極めて容易になります。
理由があります:セキュリティとプライバシーの急所とは、パスワードの脆弱さ、推測しやすさ、そしてオンラインショップからeメールのアカウント、さらにはソーシャルメディアのアカウントまで、デジタル世界全体で同じ認証情報を使いまわしている人が多いという点です。大規模な情報漏洩の発生後、サイバー犯罪者が盗んだ認証情報をPastebin(テキストデータを保存、公開できるサービス)やダークウェブのフォーラム、ソーシャルメディア等に投稿することは珍しくありません。こうして認証情報は次の犯罪者の手に渡るのです。
あなたへのアドバイス:生体認証を取り入れたデバイスやサービスが普及し始めており、可能ならば利用すべきです。もしパスワードしか選択肢がない場合は、たやすくサイバー犯罪の被害者にならないために、どんなに不便だとしても同一のユーザー名とパスワードの組み合わせを使いまわすことは避けてください。全てのパスワードを記憶するのが難しいようであれば、パスワードマネージャー(IDやパスワードの管理ツール)の利用も検討してください。犯罪者にとってデータの価値がより高いサイト(例えば、銀行の口座情報や健康記録など)では、パスワード情報を解析されないように、強固で複雑、そしてユニークなものにしましょう。
2. 個人情報の公開に注意する
知っていますか?:1分間で21人が詐欺に遭っています(*8)。原因は、ソーシャルメディア上での過度な情報公開です。
理由があります:家族や友人、同僚があなたに連絡を取るための手段として、自身の個人情報を公開することは良い方法のように思えます。しかしながら、個人情報(生年月日、出身地、母校、勤務先)を過度に公開してしまうと、それがなりすましを行うサイバー犯罪者にとって、恰好の標的になります。特に昨今は、他人の名前を使って新規に口座開設する、新規口座詐欺が流行しています。また多くの組織が、個人の本人確認の際に依然としてこれまでと同じような経歴情報に依存しているため、サイバー犯罪者はSNSで得た情報を利用して口座のパスワードを変更してしまうのです。
あなたへのアドバイス:ソーシャルメディアではプロフィールの公開は最低限にし、面識のある友人や家族に限定しましょう。あなたを容易に特定できるような情報を過度に公開したり、拡散したりしないよう、十分に注意してください。
3. アカウントを乗っ取りから守る
知っていますか?:フィッシング詐欺は、2018年の第3四半期には全詐欺攻撃中の50% (*9) を占め、フィッシングの総件数は70%も増加しました。詐欺師がサイバーマンデー(*10)やホリデーショッピングシーズン中に詐欺を行うために新たな認証情報を収集(*11)しようとしていることから、フィッシングは依然としてデジタルチャネルにおける主要な攻撃となっています。
理由があります:貧弱なサイバー衛生の状態では、数百万人が影響を受けます。経済的な被害を受けることは無いかもしれませんが、出所が不明、あるいは知らないソース(メールの添付ファイルやネット広告など)を不用意にクリックすると、マルウェアがデバイス、さらにはネットワークに拡散される可能性があります。そこから、サイバー犯罪者は極めて重要な情報(*12)を得ることができ、被害者が知らないうちに、その情報をもとにしてアカウントの乗っ取りや個人情報の盗難を実行します。
あなたへのアドバイス:クリックに要注意です!メールでは、知っている人や信頼できる送付元からの添付ファイルのみ開きましょう。オンラインでは、華やかな広告や非常に魅力的な宣伝の犠牲にならないようにしてください。そのためにはウェブページから直接ソースにアクセスすると良いでしょう。疑わしいときは、ページを開いたりクリックしたりしないでください。
4. 不正なモバイルアプリをダウンロードしない
知っていますか?:RSAは、2018年の上半期で17,000以上の不正なモバイルアプリ(*13)を検出しており、詐欺攻撃全体の28%を占めています。この種の攻撃が増加しているということは、サイバー犯罪者がモバイルのデバイスにマルウェアをインストールする方法として、この方法をより広く採用していることを示しています。
理由があります:アプリをダウンロードする前に、そのアプリが提示するパーミッションを毎回読んでいる消費者は、たったの35%にすぎません。アプリには合法的なアプリの偽造版として公開されているものもあります。パーミッションを読むことを怠ると、犯罪者が決済情報やユーザー名、パスワードを盗むためにスパイウェアやウイルス、トロイの木馬などをデバイスにインストールしてしまう可能性があります。
あなたへのアドバイス:デバイスにはアンチウィルス・ソフトウェアをインストールしてあるからと安易に考えず、アプリプロファイルのパーミッションを読みましょう。そしてアクセス先がそのサービスにとって妥当であることを必ず確認してください。
5. クレジットカード情報を不用意に保管しない
知っていますか?:サイバー犯罪者は、あなたのお金を使いたがっています。米国では、eコマースの不正取引の平均価格($403)は、合法的な取引($221)のほぼ2倍です。連邦準備制度理事会によると、不正な非対面取引は2015年~2016年の間に31%増加しました。 詐欺による損失は、2015年の34億ドルから2016年には46億ドル近くにまで増加しました。カード提示式取引のEMV基準の実装により、POSでの詐欺は減少しましたが、代わりにオンラインチャネルでの詐欺が増加しました。eコマースの取引による詐欺リスクを管理するためには、カード発行会社、決済処理業者、小売業者による3D Secure 2.0プロトコル(*14)の採用が不可欠です。
理由があります:決済情報をeコマース取引サイトに残すことは、非常に便利ではありますが、たとえそれが安全で信頼できるサイトだとしても、あなた自身がリスクにさらされることになります。小売業者がデータ漏洩の被害に遭った場合、あなたの決済情報が不正にアクセスされ、窃取されて犯罪市場で販売される可能性があります。さらに、複数のサイトでパスワードを使いまわすという消費者の傾向を悪用して、サイバー犯罪者は他のサイトにもアクセスできることを期待し、盗んだ認証情報を複数のサイトで試すことが頻繁にあります。
あなたへのアドバイス:利便性より安全性を優先させましょう。次回オンラインで購入するときは「ゲスト」としてチェックアウトするか、少なくとも、「今後のショッピングのためにアカウントに決済カード情報を保存する」というオプションを選択しないでください。ゲストアカウントを使用すると、個人情報データの大部分は業者のサーバーに保存されません。
# # #
*1 感謝祭は米国とカナダの祝日で11月の第4木曜日(2018年は11月22日)
*2 出典:Holiday and Seasonal Trends https://nrf.com/insights/holiday-and-seasonal-trends
*3 出典 Holiday Shopping 2018 https://www.emarketer.com/content/holiday-shopping-2018-10
*4 出典Q3 2018 RSA Quarterly Fraud Report https://www.rsa.com/en-us/offers/rsa-fraud-report-q3-2018
*5 RSA® Anti-Fraud Command Centerとは、200名以上のフロード・アナリストが24時間365日体制で数カ国語を駆使し、マルウェア解析、犯罪手口の解明に従事している不正対策指令センター
*6 ダークウェブとは、Torのような特殊なネットワークを通じてアクセスできるサイト。詐欺関連のサービス、盗難情報の販売などの闇市場がある。
*7 出典:RSA 2017 Consumer Cybersecurity Confidence Index https://www.rsa.com/en-us/offers/resources-ebook-rsa-2017-consumer-cybersecurity-confidence-index
*8 出典:21 people defrauded every minute because of oversharing on social media https://www.actionfraud.police.uk/blog/21-people-defrauded-every-minute-because-of-oversharing-on-social-media
*9 出典:Q2 2018 RSA Quarterly Fraud Report https://www.rsa.com/en-us/offers/rsa-fraud-report-q218
*10 サイバーマンデーは感謝祭の次の月曜日
*11 出典:Q3 2018 RSA Quarterly Fraud Report https://www.rsa.com/en-us/offers/rsa-fraud-report-q3-2018
*12 出典: Beyond Your Bank Account: Ten Astounding Finds Uncovered by Financial Malware https://www.rsa.com/en-us/blog/2018-10/beyond-your-bank-account-ten-astounding-finds-uncovered-by-financial-malware
*13 出典:Q2 2018 RSA Quarterly Fraud Report https://www.rsa.com/en-us/blog/2018-08/rsa-report-rogue-mobile-apps-account-for-28-percent-of-fraud-attacks
*14 3D Secure は、クレジットカード決済時の本人認証サービス。2.0ではマルチチャネル対応、リスクベースが採用されている。出典 https://www.rsa.com/en-us/blog/2017-10/3ds-2-why-it-pays-to-be-ready
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像