証券口座狙いのサイバー攻撃は収まる気配なし　結局やるべき5つの対策とは？

　フィッシング攻撃が引き続き激化しています。金融庁によると、2025年4月だけでも不正な売却取引で約1481億円の被害が発生しており、皆さんのメールボックスにも、取引がないはずの証券会社から偽のメッセージが届いているのではないかと思います。詐欺メールの中にはセキュリティの強化をかたる非常にずる賢い内容のものも含まれています。

【画像】金融庁の注意喚起で記載されている5つのフィッシング対策【全1枚】

　さまざまなところから被害報告が上がっている証券会社を狙う不正取引ですが、現時点ではその手口ははっきりしていません。SNSではさまざまな対策が飛び交っていますが、不正確もしくは適切な恐れ方ではないホラーストーリーも含まれているようです。原因が分からない以上、最大限の脅威の姿を想定することは間違ってはいないものの、正しく恐れるという基本に立ち返るためにも、もう少しできること、考えるべきことを捉え直してみましょう。

●クロ現でも取り上げられた証券口座狙いの攻撃　やるべき“5つの対策”

　以前、NHKが放送した「クローズアップ現代」で、証券口座を狙う攻撃が取り上げられていました。ご覧になった方も多いのではないでしょうか。

　この中では、大変興味深い事実が浮かび上がっていました。番組によると、被害者は「なぜ乗っ取られたか分からない」というコメントをしていましたが、デジタルフォレンジックの結果、不正ログインが実行される直前になりすましの電子メールをクリックしてしまっていたということが明らかになっています。つまり、この事案ではストレートな「フィッシング詐欺」だったといえるでしょう。

　番組によると、この他の要因として、被害者が認証情報を奪う「インフォスティーラー」と呼ばれるタイプのマルウェアに感染していたことなどが挙げられていました。

　しかしインフォスティーラーについては決定的な証拠となる検体が見つかったという話も出てきていません。ターゲットごとにカスタマイズし、証拠を残さず消えるタイプの攻撃が実行された可能性も考えられますが、「不正なリンクをばらまいて誰か一人でも引っ掛かればいい」という手法の方がコストパフォーマンスも優れているはずです。NHKのレポートを見ると、やはり基礎的なフィッシング対策こそが、私たち利用者レベルでできる何よりの対策になるのではないかと、筆者は考えています。

　では、その対策はどのようにしていけばいいのでしょうか。金融庁による注意喚起では下記の5点が挙げられています。

・電子メールやSMSのリンクは開かない

・Webサイトのアクセスはブックマークから

・ネット証券のセキュリティ強化策は有効にする

・パスワードを使い回さない

・頻繁に口座状況を確認する

　筆者がこれに付け加えるなら、PCからではなくスマートフォンのアプリから全ての処理を実行するというくらいでしょうか。

●新たな攻撃手法「ClickFix」を知っておこう

　今回の件と直接関係があるかどうかは分かりませんが、インフォスティーラー対策も考えていきましょう。インフォスティーラーはマルウェアの一種であるため、通常のランサムウェア対策と同様に「余計なアプリはインストールしない」ことが重要です。OSやブラウザのアップデートを実施し、OS付属のマルウェア対策ツール（Defenderなど）を有効にし、こちらもアップデートする必要もあります。

　ここで頭の片隅に入れておいてほしいのは、この連載で以前も触れた「ClickFix」と呼ばれる、新しい手法についてです。

　ClickFixとは画面の指示通りにキーを押していくと、知らぬ間にマルウェアに感染しているというタイプの攻撃です。知らぬ間にといっても、インストールしているのは自分自身なのですが、それを感じさせないように工夫された人の脆弱（ぜいじゃく）性を突いた巧妙な攻撃である点に注意が必要です。

　もし画面に、あなたが人間であるかどうかを判断するようなメッセージとともに「Windowsキー+Rキーを押す」（「ファイル名を指定して実行する」画面を出す）ような指示があったとしても、決してそのまま「Ctrlキー+Vキーを押す」（ペーストする）、「Enterキーを押す」（実行する）を押さないようにしましょう。既にそのタイミングでクリップボード内にマルウェアを呼び寄せるコマンドがあり、それを自らの手で実行してしまうことになります。

　ClickFixについては、セキュリティベンダーのラックからも注意喚起が公開されています。個人に対しては、「Webサイト閲覧時にコマンド実行へ誘導された場合には、速やかにブラウザを閉じる」こと、そして組織に対してはこのような攻撃を周知しつつ、「業務影響を考慮した上で、当該手法によって悪用される可能性が高いPowerShellの実行や「ファイル名を指定して実行」を禁止するグループポリシーを設定する」ことが対策として述べられています。詳細な攻撃手法がまとめられていますので、管理者はぜひチェックしてみてください。

　個人でも組織でもフィッシングから逃れるのは難しく、今後攻撃自体が消えることはないでしょう。攻撃側は一人ではなく、それぞれが得意な分野を持ち寄り、分業体制で仕事をし、恐ろしい速度でPDCAを回しています。いわば“悪のデジタルトランスフォーメーション”を確立しているといっていいでしょう。

　私たちももはや、何もしないで安全というのを望むことは難しいと理解し、少しずつでも歩み寄ることが必要です。注意喚起がさまざまなところから出ています。全て見るのは難しくても、気になるものはぜひ自分ごととして捉え、できる対策を始めてみましょう。本コラムでもなるべく、自分ごととして考えることの助けになればと思っています。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。