?????????????????????????????
寄稿: Vivek Krishnamurthi
2013 年 12 月 2 日はサイバーマンデーに当たります。ヨーロッパではメガマンデーとも呼ばれ、ホリデーシーズンのオンラインショッピング客が増えるため、インターネット上の小売店でトラフィックが急増する 1 日です。サイバーマンデーという考え方が始まったのは、2005 年のことです。小売業界によれば、感謝祭が終わった直後の月曜日になると、仕事に戻った人々が職場のコンピュータからクリスマスプレゼントを購入するのです。サイバーマンデーをマーケティング的な誇大広告にすぎないとして一蹴する向きもありますが、大手小売店の多くが競争を繰り広げてきた結果、この 1 日の意味は無視できないほど大きくなっています。2012 年のサイバーマンデーには、米国内の小売店大手 500 社が 2 億 680 万ドルを売り上げ、ヨーロッパでもおよそ 5 億 6,500 万ユーロが消費されました。今年は、実店舗からオンラインストアに移る消費者がさらに増え、サイバーマンデーの売上が 13.1% 増加するものと専門家は予測しています。
一方、サイバーマンデーをめぐる誇大広告や、電子商取引サイトでこの日に予想されるトラフィックを考えると、攻撃者がサイバーマンデーを悪用して消費者と小売店の両方を狙う恐れがあります。RSA Security 社と Ponemon Institute 社の最近の調査によると、小売業界の IT 専門家のうち 64% が、サイバーマンデーのようにトラフィックの多い日に攻撃や詐欺行為が増えることを経験しています。にもかかわらず、そうした IT 専門家の 3 分の 1 は、高可用性と Web サイトの整合性を保証する特別な対策を取っていないのが現状です。しかも、ホリデーシーズン中のサイバー攻撃による直接のコストは、1 分間当たり 8,000 ドルとも言われています。
小売店に対する攻撃
サイバーマンデーに攻撃者が小売店や消費者を狙うには、いくつかの方法があります。個人情報の窃盗はその代表的な脅威で、ここ数年多くの店舗と消費者に被害をもたらしています。サイバーマンデーのトラフィックが増加することを考えると、小売店のインフラの脆弱性を狙い、消費者の情報を盗み出すマルウェアを仕掛けようとする攻撃者も、つられるようにして増える可能性があります。シマンテックの調査では、シマンテックによってスキャンされた Web サイトの 53% に、悪用の恐れがある脆弱性がパッチ未適用のまま残っていることが判明しています。
サイバーマンデーに企業を狙う脅威としては、分散サービス拒否(DDoS)攻撃も想定されます。小売店の多くはこれまでに DDoS 攻撃の影響を経験しており、2012 年に DDoS 攻撃を受けた英国企業のうち 43% は小売業でした。サイバーマンデーは、攻撃者が小売店に DDoS 攻撃を仕掛けるのに格好の日と言えそうです。攻撃者は、重要な意味のある日付に DDoS 攻撃を仕掛けることで知られていますが、それはサイバーマンデーのようにトラフィックが増える日に自分たちの行為が耳目を集めるとわかっているからです。攻撃者が DDoS 攻撃を利用するのは、Web 管理者の注意をそらしておき、裏で別の悪質な行為を実行する目的かもしれません。DDoS 攻撃の頻度が高くなってきていることは、今年の第 2 四半期に攻撃が 54% 増加したという報告からも明らかです。
エンドユーザー
サイバーマンデーを控えて保護対策を考えなければならないのは、もちろん小売店だけではありません。消費者もオンラインショッピングの安全性に注意する必要があります。今年は、モバイルデバイス経由で商品を検索する消費者が増えるだろうとアナリストは予測しています。マーケティング調査企業の eMarketer 社によれば、今年の電子商取引による総売上 2,623 億ドルのうち、モバイルでの売上は 416 億 8,000 万ドルに達し、2012 年比で 68.2% も上昇するでしょう。ところが、スマートフォンユーザーの 38% が過去 12 カ月間にモバイル対象のサイバー犯罪を経験していながら、モバイルデバイス所有者のおよそ半数は、パスワードやセキュリティソフトウェア、データバックアップといった基本的な保護対策すら実装していないことが、最新の 2013 年ノートン レポートで示されています。消費者によっては、PC よりもモバイルデバイスでのオンラインショッピングを好むのかもしれませんが、サイバー犯罪の脅威に対しては依然として無防備だということです。
詐欺師がサイバーマンデーに企業を狙うにしても消費者を狙うにしても、そこで利用するのは、従来型の定番の手口でしょう。シマンテックは最近、サイバーマンデーで一儲けするのであればその日に備えるべきと言ってユーザーを誘うスパム活動を確認しています。この電子メールには、その方法についてのアドバイスと称して 2 つのリンクが含まれています。これらのリンクをクリックするとスパムの Web ページにリダイレクトされますが、そのページにはユーザーが正規のサイトと思い込ませるためのビデオが含まれています。
図. 受信したユーザーがサイバーマンデーで一儲けできると誘うスパムメール
安全のために
サイバーマンデーを安全に過ごすために、消費者と小売店は以下の注意点を守るようにしてください。
- Web 管理者は、サイバーマンデーに先立って、インフラの脆弱性がすべて修正されていることを確認し、攻撃者に脆弱性を悪用されないようにしてください。また、怪しい活動がないか、ネットワークトラフィックの監視を怠らないでください。
- 小売店は、システムへの侵入を狙ったソーシャルエンジニアリング攻撃に伴うリスクを従業員が理解するように教育する必要があります。攻撃が消費者にも影響を与える恐れもあります。同様に、小売業以外の企業も、従業員が職場のコンピュータからオンラインショッピングをする可能性に備えて、サイバーマンデーをめぐるフィッシング詐欺に注意するよう従業員を教育してください。
- 消費者は、オンラインショッピングに最新バージョンのブラウザを使うよう心掛け、ウイルス対策ソフトウェアを含めて各ソフトウェアを常に最新の状態に保つようにしてください。シマンテックは、PC およびモバイルデバイス向けに最新のノートン製品を提供しています。
- 消費者は、信頼できるオンラインショップだけから商品を購入し、ショッピングしている Web サイトが Secure Sockets Layer(SSL)で保護されていることを確認してください。保護されているサイトは、URL に「http」ではなく「https」が含まれているので区別がつきます。保護されていないサイトでは、口座情報を入力しないでください。
- 迷惑メールにあるリンクは決してクリックしないでください。特に、信じられないほどお得な商品を宣伝している場合には注意が必要です。正規の小売店の公式 Web サイトを常に確認しておけば、どのような商品が提供されているかわかります。重要な口座情報などを電子メールで送信することも厳禁です。
- 消費者は、ホリデーシーズンの間、銀行口座やクレジットカード情報を監視し、疑わしい購入記録や不正な送金記録があった場合にはただちに報告してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。