WEB業界で働く人や興味がある人に役立つ情報サイト“qam（カム）”

投稿者： たかし
カテゴリー： トレンド >TIPS

「クリックしていないのに攻撃される」なんて、にわかには信じがたい話かもしれませんが、実際に起こりうる脅威として注目されています。
スマートフォンが生活の中心になった今、安全にインターネット利用するためには、自分の情報がどのように狙われているのかを知る必要があります。
今回は、最近メディアでも取り上げられることが増えた「ゼロクリック攻撃」について解説します。

日本を狙うサイバー攻撃が急増中

最近のニュースを見ていると、日本を標的にしたサイバー攻撃が急激に増えているのがわかります。実際、今年4月には日本を狙った詐欺メールが世界全体の8割を占めたという報告もありました。
これまでのフィッシング詐欺は「怪しいリンクをクリックしなければ大丈夫」という認識が一般的でしたが、ゼロクリック攻撃はクリックをしなくても脅威に晒されてしまいます。メッセージを受信するだけ、場合によっては着信があるだけで攻撃が実行される可能性があるのです。

ゼロクリック攻撃とは何か？

ゼロクリック攻撃は、文字通り「ユーザーが何もクリックしなくても」実行される攻撃手法です。

従来のサイバー攻撃では、ユーザーが不審なリンクをクリックしたり、添付ファイルを開いたりする必要がありました。しかし、ゼロクリック攻撃では、メッセージアプリで画像を受信するだけ、通話アプリで着信があるだけで、デバイスにマルウェアがインストールされる可能性があります。
ユーザーが通話に出る必要すらありません。

この攻撃手法で有名なのが、イスラエル企業が開発した「Pegasus（ペガサス）」というスパイウェアです。
以前は政府機関や著名人が主な標的でしたが、最近では一般ユーザーも狙われるケースが増えています。

攻撃の仕組みを理解する

ゼロクリック攻撃は、主にOSやアプリの脆弱性を悪用して実行されます。
例えば、メッセージアプリの画像処理機能に欠陥があった場合、攻撃者は特別に細工した画像ファイルを送信します。

ユーザーがその画像を見ただけで、バックグラウンドでマルウェアがインストールされてしまうのです。

通話アプリの場合も同様で、着信処理の部分に脆弱性があれば、電話がかかってくるだけで攻撃が成立してしまいます。
一度マルウェアがインストールされると、以下のような情報が盗まれる可能性があります

• パスワードやアカウント情報
• メッセージの内容
• 写真や動画
• 連絡先リスト
• 位置情報
• カメラやマイクによる盗撮・盗聴

日常生活でできる対策

完全に防ぐのは困難ですが、リスクを大幅に減らすことは可能です。以下の対策を心がけましょう。

1. OSとアプリを常に最新状態に保つこれが最も重要な対策です。ゼロクリック攻撃の多くは既知の脆弱性を狙います。OSやアプリのアップデート通知が来たら、「後で」と思わずにすぐに実行しましょう。
2. 不審な連絡に注意を払う知らない番号からのSMSや、見覚えのないアプリからの通知には警戒しましょう。特に海外の番号からの連絡は要注意です。怪しいと感じたら、無視するのが安全です。
3. セキュリティソフトを活用するスマートフォンにもセキュリティアプリを導入しましょう。完全ではありませんが、マルウェアの検出や怪しい通信の監視に役立ちます。
4. 重要なアカウントに二段階認証を設定銀行口座や証券口座、メールアカウントなど重要なサービスには、パスワードに加えて認証アプリやSMSによる二段階認証を設定しましょう。
5. 定期的にアカウントの利用状況を確認各種サービスのログイン履歴を定期的にチェックし、身に覚えのないアクセスがないか確認しましょう。

もし被害に遭ってしまったら

不正アクセスに気づいた場合は、以下の手順で対応しましょう。

1. 即座にサービス提供者に連絡該当するサービス（銀行、証券会社など）に緊急連絡し、アカウントの一時停止を依頼しましょう。
2. パスワードの変更被害を受けたアカウントだけでなく、同じパスワードを使用している他のサービスのパスワードも変更しましょう。
3. 警察への届出実害が発生した場合は、最寄りの警察署に被害届を提出しましょう。サイバー犯罪相談窓口もあります。
4. デバイスのセキュリティチェックセキュリティソフトでフルスキャンを実行しましょう。

まとめ

ゼロクリック攻撃は確かに脅威ですが、基本的なセキュリティ対策を怠らなければ、リスクを大幅に減らすことができます。

特に重要なのは「OSとアプリを最新状態に保つ」ことです。
これだけでも多くの攻撃を防ぐことができます。

セキュリティは「面倒なもの」ではなく、個人情報を守るための「必要な習慣」と考えて取り組んでいけると良いですね。