セキュリティ対策とは？【2024年_最新情報】まず知っておきたい基本

【セキュリティ対策を怠ると生じるリスク（一例）】

• 個人情報の流出：不正アクセスにより個人情報が漏れると、プライバシーの侵害はもちろん、詐欺やアイデンティティ盗用（個人の身分情報を不正に利用する犯罪）への道を開くことになります。
• 金融詐欺：オンラインバンキングの認証情報が盗まれた場合、金融詐欺に悪用される恐れがあります。
• SNSの不正利用：SNSアカウントが乗っ取られると、偽情報の拡散や詐欺に加担するなどの被害に遭う可能性があります。
• データの改ざん：企業の重要なデータが不正に改ざんされた場合、ビジネスに甚大な影響を及ぼすことがあります。
• システムのダウン：サイバー攻撃によってシステムが停止すると、企業活動が滞り、多大な経済的損失をもたらします。

【窃取される個人情報の例】

• ログイン情報（IDとパスワード）
• クレジットカード情報
• 住所、電話番号などの連絡先情報
• サービス利用に関連するその他の個人データ

【個人情報摂取の手法（一例）】

• サービス側のセキュリティ上の欠陥を突いた攻撃：技術的な脆弱性を悪用した攻撃によって、不正に情報を抜き取ります。
• フリーWi-Fi（公衆無線LAN）の不正利用：安全でないネットワークを通じて、データを傍受・盗聴します。
• ソーシャルエンジニアリング：デジタル技術は使わずに、心理的な隙や行動のミスに付け込んで、アナログな手法で情報を聞き出します。（*1）

*1：ソーシャルエンジニアリングの例として、電話でパスワードを聞き出す、肩越しにキー入力を見る（ショルダハッキング）、ゴミ箱をあさる（トラッシング）などがあります（参考：総務省「ソーシャルエンジニアリングの対策」）

インターネット上のサービスからの個人情報の窃取の被害に遭わないためには、このような犯罪の存在を知り、警戒心を持つことが大切です。

【セキュリティ対策のポイント】

• 利用するサービスを選別する：信頼性が不確かなインターネットサービスは利用しないようにします。
• フリーWi-Fiに注意する：安易にフリーWi-Fiに接続しないようにします。
• ログイン情報を管理する：IDやパスワードは慎重に管理し、他人に教えないようにします。

【不正ログインの手法（一例）】

• パスワードの推測：よくあるパスワードや推測可能なパスワードを試みてアクセスします。
• セキュリティ質問（秘密の質問）の突破：ユーザーの公開情報をもとにセキュリティ質問の答えを推測し、アカウントへアクセスします。
• データベースへの不正アクセス：セキュリティが甘いWebサイトのデータベースからユーザー情報を盗み出します。

このような不正ログインの脅威に対抗するためには、以下のセキュリティ対策が有効です。

【セキュリティ対策のポイント】

• 強力なパスワードを使用する：複雑で予測しにくいパスワードを設定し、定期的に更新します。
• セキュリティ質問を適切に選ぶ：推測や調査が不可能な質問（自分しか知り得ないもの）を答えとして設定します。
• 多要素認証を利用する：パスワードだけでなく、SMSやアプリを通じた認証コードによる認証や、生体認証（顔認証や指紋認証）を併用してセキュリティを向上しましょう。

【クレジットカード情報の不正利用の手法（一例）】

• フィッシング攻撃：本物にそっくりな偽のメールやWebサイトを通じてユーザーを騙し、クレジットカード情報を入力させます。（*2）
• スキミング：オンラインではなく物理的な手法ですが、スキミング（クレジットカードから情報を不正に読み取る犯罪行為）された情報が、オンラインで不正利用されるケースがあります。
• 不正アクセスによるデータベース攻撃：セキュリティが不十分なオンラインショップなどのデータベースから、クレジットカード情報を盗み出します。
• フリーWi-Fi経由のデータ傍受：安全でないフリーWi-Fiを利用している際に、通信データを傍受され情報を窃取されます。
  *2：フィッシングに関しては、この後に出てくる「3-7. フィッシングによる個人情報等の詐取」の項目で詳しく解説します。

クレジットカード情報の不正利用を防ぐには、信頼性の低いサイトを避けることや、定期的なカード利用明細の確認など、セキュリティ対策を講じることが推奨されます。

【セキュリティ対策のポイント】

• 信頼性の低いサイトは利用しない：オンラインでのサービス利用時には、サイトの信頼性を常に確認します。不審な点があれば、そのサイトの利用を避け、安全性が確認されたサイトを選択します。
• カード情報の直接入力を避ける：信頼性が万全とは確認できないサイトでやむを得ず入金する必要がある場合は、カード情報を直接入力せず、銀行振込またはPayPalやApple Payなどの決済代行サービスを利用します。
• カード明細を定期的に確認する：クレジットカード会社のサイトなどを利用して、こまめに利用明細を確認し、不審な取引がないか監視します。
• フリーWi-Fiで決済しない：フリーWi-Fiを利用中に、クレジットカードを利用したオンライン決済をしないようにします。

【スマホ決済の不正利用の手法（一例）】

• デバイスの物理的な紛失や盗難：紛失または盗まれたスマートフォンを通じて、登録された決済情報が不正に使用されます。
• マルウェア感染：スマートフォンにインストールされた悪意のあるアプリが、バッグクラウンドで決済情報を盗み出します。
• セキュリティ設定の不備：スクリーンロックの設定や、決済アプリのセキュリティ設定が不十分な場合、それを突いて不正利用されるリスクがあります。
  
  

スマホ決済の不正利用を防ぐためには、まずは物理的なセキュリティ対策（スクリーンロックの設定、紛失時のリモートロックやデータ消去機能の活用）が大切です。

同時に、決済アプリのセキュリティ設定（二段階認証の利用、定期的なパスワード変更）も、徹底しましょう。

【セキュリティ対策のポイント】

• スマートフォン紛失時の対応を迅速にする：スマホを紛失した際は、速やかに電子マネーの利用停止手続き（*3）、デバイスの追跡、（必要に応じて）ログインパスワードの変更などの措置を講じます。
• 物理的なセキュリティ対策を十分に行う：スクリーンロックの設定、紛失時のリモートロックやデータ消去機能の活用など、事前にできる設定をしておきます。
• マルウェア対策を徹底する：不審な送信元からのメールを開く・URLをクリックする・アプリをダウンロードするといった行為は、マルウェアに感染するリスクを高めます。危険な行動をしないように注意します。

*3：たとえばモバイルSuicaの場合、「JR東日本：モバイルSuica＞各種手続き＞端末の紛失・盗難」にて利用停止手続きの手順が解説されています。

【偽警告による詐欺の手法（一例）】

• 偽のセキュリティ警告ポップアップ：ウイルス感染を警告し、セキュリティソフトウェアのダウンロードを促します。
• 詐欺リンク：セキュリティの問題を解決するためと偽って偽サイトへ誘導し、ログイン情報やクレジットカード情報を盗み出します。
• 偽のセキュリティアップデート：システムやソフトウェアの更新を装い、マルウェアをインストールさせます。
• 技術サポート詐欺：セキュリティ問題の解決を名目に、リモートアクセスを求めたり、費用を請求したりします。
• 偽のセキュリティアプリケーション：セキュリティ向上を謳うアプリをダウンロードさせ、実際には個人情報を盗み出すマルウェアをインストールします。

攻撃者には、ユーザーを急かして冷静さを失わせる狙いがあります。

たとえば、ウイルス感染を警告するポップアップが突然出ると、ユーザーは動揺して、個人情報を入力したり、不要なソフトウェアをインストールしたりすることがあります。

このような状況では、冷静に対応することが重要です。

【セキュリティ対策のポイント】

• 警告メッセージに即座に反応しない：セキュリティ警告が表示された場合でも、焦ってリンクをクリックしたり、推奨されるソフトウェアをダウンロードしないようにしましょう。
• 公式サイトからソフトウェアを入手する：セキュリティソフトウェアやその他のプログラムをダウンロードする際は、公式サイトや信頼できるアプリストアから入手するようにしてください。不明なサイトからのダウンロードは、マルウェアに感染するリスクを高めます。
• ブラウザのセキュリティ設定を強化する：ブラウザのセキュリティ設定を見直し、強化しましょう。ポップアップブロッカーやフィッシング詐欺保護機能を活用することで、偽の警告や詐欺リンクから自身を守ることができます。

【ネット上の誹謗・中傷・デマの特徴】

• 匿名性：ネットの匿名性が、加害者に責任感の欠如をもたらし、罪の意識なく行動させる原因となります。
• 即時性：情報技術の進展により、誤情報や悪意あるコメントであっても一瞬にして広範囲に拡散します。
• 永続性：一度ネットに掲載された情報は、削除が困難であり、長期間にわたって影響を及ぼすことがあります。
• グローバル性：地理的な制約がなく、日本中・世界中に情報が広まってしまいます。
• 多様な手法：テキストだけでなく、画像や動画を含む多様なメディアを通じて、誹謗・中傷が行われます。

この問題への対応には、情報の真偽を見極めるリテラシーの育成、プラットフォームの監視と規制の強化、法的措置の実施など、個人・社会・法制度の各レベルでの取り組みが求められます。

個人ができる対策のポイントとしては、以下が挙げられます。

【セキュリティ対策のポイント】

• 情報の出所を確認する：ネット情報は、その出所や信頼性を慎重に確認します。公式ソースからのものか、信頼できる第三者による検証があるかを確かめる必要があります。
• SNSのプライバシー設定を見直す：自身のSNSアカウントのプライバシー設定を定期的に見直し、不要な情報共有を避けることで、誹謗・中傷のリスクを減らします。
• 法的措置を検討する：誹謗・中傷やデマによる被害が深刻な場合、法的措置を検討することも大切です。専門家や相談窓口へ相談し、適切な対応を準備しましょう。

【フィッシング詐欺の手法（一例）】

• 偽メール送信：実在する企業を偽装したメールで、ユーザーを偽のログインページに誘導して情報を盗みます。
• 偽サイトの作成：オンラインバンキングやネットショップなどに酷似した偽サイトを作り、訪れたユーザーから情報を詐取します。
• スピアフィッシング：スピア（spear）とは槍のことで、槍で狙うように特定の個人や組織をターゲットにし、その相手専用に作成された文面のメールで信頼を得て、情報を盗み出します。
• スミッシング：スミッシングはSMSを通じたフィッシングのことで、巧妙なショートメッセージ（SMS）で送信したURLをクリックさせて情報を盗む手法です。

フィッシング詐欺から自身を守るためには、上記のような例が多発していることを知って警戒し、慎重に行動しなければなりません。

【セキュリティ対策のポイント】

• メール内のリンクや添付ファイルを信用しない：知らない送信者からのメールには慎重に対応し、リンクや添付ファイルの開封を避けます。
• メールの差出人を確認する：メールが正規の企業から送られたものかどうかを、差出人のメールアドレスを確認して検証します。
• セキュリティ対策ソフトを利用する：信頼できるセキュリティ対策ソフトをインストールし、常に最新の状態に保つことで、フィッシング詐欺を含むさまざまな脅威を回避できます。
• 多要素認証を活用する：設定できる多要素認証はすべて設定し、パスワードだけでなく、追加の認証手段（SMS認証や生体認証など）を用いてアカウントのセキュリティを強化します。

【不正アプリの手法（一例）】

• 過剰なアクセス権限の要求：正当な理由なく、電話帳や位置情報などの不必要な権限をユーザーに要求します。
• 個人情報の収集と送信：ユーザーの知らない間に個人情報を収集し、外部のサーバーへ送信します。
• マルウェアの配布：デバイスに悪意のあるソフトウェアをインストールし、さらなる不正アクセスの道を開きます。
• 広告の過剰表示：使用中に頻繁に広告を表示し、ユーザーの利便性を奪います。
• フィッシング詐欺の実行：偽のログイン画面を通じて、ログイン情報を盗み取ります。

不正アプリによる被害を防ぐためには、アプリのインストール時に提供元の信頼性を確認し、アクセス権限の要求内容を慎重に検討することが重要です。

【セキュリティ対策のポイント】

• アプリの信頼性を確認する：インストールするアプリの開発者情報やレビューを確認し、信頼できるかどうかを検討します。
• 公式アプリストアを利用する：アプリは、Google Play StoreやApple App Storeなどの公式アプリストアからダウンロードします。
• アクセス権限は慎重に承認する：アプリによるアクセス権限の要求には慎重に対応し、必要以上の権限をアプリに与えないようにします。

【メールやSMS詐欺の手法（一例）】

• 個人情報漏えいの脅迫：被害者の個人情報が漏えいしたと偽り、その解決のために金銭を要求します。
• 偽の法的トラブル：法的な問題に巻き込まれていると主張し、その解決費用として金銭を要求します。
• 緊急の金銭請求：家族や友人が事故やトラブルに巻き込まれたと偽り、緊急の手術費用や解決金などの名目で金銭を要求します。
• 偽の賞金・返金詐欺：宝くじの当選や過払い金の返還を装い、手数料名目で金銭を要求します。

この種の詐欺から身を守るためには、まず疑う姿勢を持つことが重要です。

【セキュリティ対策のポイント】

• 知らない送信元からのメッセージに反応しない：メールやSMSが知らないアドレスや番号から届いた場合、リンクをクリックしたり、添付ファイルを開いたりしないようにしましょう。金銭を要求された場合はとくに警戒が必要です。
• 直接確認を行う：親しい人物や知っている企業を名乗っている場合、直接その人物や企業に連絡を取り、情報の真偽を確認します。届いたメールやSMSで提示された連絡先ではなく、公式サイトなどで独自に調べた連絡先を使用することが重要です。

【ワンクリック請求の特徴】

• 偽の契約成立通知：ユーザーが何かをクリックしただけで契約が成立したと偽り、確認画面や同意のプロセスを経ずに請求します。
• 高額な請求：実際にはサービスを利用していないにもかかわらず、不当に高額な料金を請求します。
• 法的な脅迫：支払いを拒否すると法的措置を取ると脅迫し、ユーザーの不安をあおります。
• 個人情報の要求：料金の支払いにあたり、さらなる個人情報を要求することがあります。
• 解約の困難さ：実際には存在しないサービスのため、解約手続きが不明確であったり、解約を困難にする設計がなされています。

ワンクリック請求詐欺から身を守るためには、以下の対策が有効です。

【セキュリティ対策のポイント】

• 警戒心を持つ：疑わしいサイトやリンクには注意を払い、安易にクリックしないようにします。
• すぐに支払いをしない：請求が来た場合でも、すぐに支払うことなく、サイトの信頼性や契約の正当性を確認します。
• 個人情報は提供しない：個人情報は慎重に扱い、不要な情報提供は避けます。
• 公的機関に相談する：不当な請求に対しては、消費者センターや警察などの公的機関に相談します。

（1）OSやソフトウェアは常に最新の状態にしておこう

最新の攻撃情報に対抗するため、OSやソフトウェアメーカーが提供している修正用アップデートを常に適用しましょう。

（2）パスワードは長く複雑にして、他と使い回さないようにしよう

パスワードは長く複雑にし、機器やサービス間で使い回さないことを徹底して安全性を高めましょう。

（3）多要素認証を利用しよう

サービスへのログインを安全に行うために、認証用アプリや生体認証を使った多要素認証を利用しましょう。

（4）偽メールや偽サイトに騙されないように用心しよう

フィッシング詐欺メールは年々手口が巧妙になっています。心当たりがあるものでもメールやメッセージのURLには安易にアクセスしないようにしましょう。

（5）メールの添付ファイルや本文中のリンクに注意しよう

心当たりのない送信元からのメールに添付されているファイルやリンクはもちろん、ファイルやリンクを開かせようとするものには注意しましょう。

（6）スマホやPCの画面ロックを利用しよう

スマホやパソコン（PC）の情報を守るには、まず待ち受け画面をロックすることが第一です。短時間であっても端末を手元から離す際はロックを忘れないようにしましょう。

（7）大切な情報は失う前にバックアップ（複製）しよう

大切な情報を失っても、バックアップから復元することで被害を軽減することができます。普段からバックアップして攻撃や天災に備えましょう。

（8）外出先では紛失・盗難・覗き見に注意しよう

（9）困ったときは1人で悩まず、まず相談しよう

インターネットでの被害に遭遇したら、1人で悩まず各種相談窓口に相談しましょう。
出典：内閣サイバーセキュリティセンター「インターネットの安全・安心ハンドブック」