Cisco Japan Blog

Cisco Japan Blog / 脅威リサーチ / 年末年始のショッピングシーズンに、安全にオンラインで買い物をするための注意点

2019年12月3日 Leave a Comment
脅威リサーチ

年末年始のショッピングシーズンに、安全にオンラインで買い物をするための注意点

1 min read




年末年始のショッピングシーズンにマルウェア感染を回避するための大原則とは、「うまい話には罠があるので避ける」ことです。

小売店が小額のギフトカードを贈呈することはよくありますが、最新 iPhone が 5 万円引きで売られている場合、おそらく詐欺でしょう。詐欺であれば代金を支払っても新型 iPhone が手元に届きません。

ブラックフライデーとサイバーマンデーを間近に控える中、Talos の研究者がラジオやテレビに登場し、オンラインで安全に買い物をするための注意事項について注意を促しています。この時期に頻繁に見られる攻撃手段は、偽の Web サイト、クーポン、請求書などです。これらはすべてオンラインショッピングの利用客を騙して不正なリンクをクリックさせ、銀行のログイン情報や個人情報を盗み出す目的があります。

Talos 広報チームのディレクターである Craig Williams は先日、全国ネットのラジオ番組『This Morning with Gordon Deal』に出演し、よくある詐欺手口について説明しました。そこで話題に上ったのが、偽の小切手やギフトカードを送り付け、「秘密の買い物客」として行動するように依頼する手口です。

小切手やギフトカードを送り付けた後、金額の一部を店舗型の送金サービス(Western Union や MoneyGram など)から送るか、またはギフトカードを購入してその写真を送信するよう被害者に依頼します。残りの金額は被害者が「自由に使える」はずですが、それらの小切手やギフトカードは偽物です。送金した金額や写真で送ったギフトカードは攻撃者の懐に入り、被害者には損失だけが残ることになります。

もちろん、このような手の込んだ手口だけでなく、従来どおりのスパムメールやマルバタイジングも盛んに使われています。

Williams は、「悪意のあるページは、表示するだけでも感染する危険性が十分にあります。添付ファイルを開くことは、言うまでもなく非常に危険です。偽の請求書やクーポン、「特化情報」サイトへのリンクなどにも要注意です」と警告しています。

詳細についてはこちらの録音ファイルpopup_iconをお聴きください。Williams が登場するのは 8:05 頃からです。

別のよくある詐欺手口は、大手ショッピングサイトの URL 入力ミスを狙ったものです。カリフォルニア州のテレビ局 KTVU に登場した Talos の研究者、Matt Valites は、ナイキの例を出しました。ナイキの利用客は、通常であれば Nike[.]com を訪れます。そこで攻撃者は、酷似した URL(Niek[.]com など)で被害者を待ち構え、本物のサイトだと信じ込ませます。

そこで被害者がログイン情報やクレジットカード番号を入力して何かを購入すれば、それらの情報がそのまま攻撃者の手に渡るのです。

Valites は、「ショッピングサイトを訪れる際は、リンクなどから飛ぶのではなく、URL を入力して直接開くようにしてください」と警告しています。Valites が登場した場面の全編は、以下のビデオをご覧ください。

年末年始のショッピングシーズンに詐欺被害を回避するための注意事項は、以下のとおりです。

  • アプリをインストールする際は、必ず Google Play ストアや App Store などの信頼できる公式ストアからのみ入手する。
  • テキストメッセージ(SMS)、電話帳、保存されたパスワード、管理機能などへのアクセスを要求する疑わしいアプリには注意する。
  • 不正アプリが中身を偽っている可能性に留意する:偽装しているアプリを見分ける手掛かりは、アプリの説明やインターフェイス内の誤字脱字、動作の遅さ、デベロッパーの連絡先(Gmail などのフリーメールを使用)などです。
  • 迷惑メールをクリックしない:小売業者から受け取ったマーケティングメールは、自分が意図的に購読したものであることを開封前に確認してください。
  • ブラウザに広告ブロッカーをインストールして使う:オンラインショッピングの利用者を狙った不正広告の多くは、広告ブロッカーでブロックできます。
  • 支払時には、可能な限り Google Pay、Samsung Pay、Apple Pay などの支払サービスを利用する:これらのサービスではクレジットカード番号の代わりにトークンを使用するため、より安全に支払えます。
  • サイトごとに異なる、複雑なパスワードを使用する:他人のアカウントへ侵入を試みる攻撃者は通常、同じユーザ名とパスワードの組み合わせを複数のサイトで利用します。安全なパスワードを作成しても覚えきれない場合は、パスワードロッカーを使用することもできます。
  • 目的のサイトにはリンクから飛ぶのではなく、URL を手動で入力する。
  • 不正利用を避けるために、電子メールアカウントへのログインで二要素認証を使用する。

 

本稿は 2019年11月25日に Talos Grouppopup_icon のブログに投稿された「Best practices for staying safe online during the holiday shopping seasonpopup_icon」の抄訳です。

Authors

Avatar

TALOS Japan

コメントを書く