Column 22年12月 2022年のセキュリティ事件

2022年の10大セキュリティ事件

12月14日、サイバーセキュリティ会社のTrellix(トレリックス)が、2022年の10大セキュリティ事件を発表しました。
https://japan.zdnet.com/article/35197416/

2021年は、東京オリンピック・パラリンピック期間中の大会運営に関わるサイバー攻撃(合計4億回)が2位に入っていました。2022年は、ロシアのウクライナへの軍事侵攻に伴うサイバー攻撃が3位に入っています。世界的な出来事にもサイバー攻撃が関係していることがわかりますね。そのほかにも、2022年にニュースなどで聞き覚えのある事件がランキング形式で掲載されています。

ドッペルゲンガー・ドメインへの送信による個人情報流出

ここから、2022年の10大セキュリティ事件には掲載されていませんが、筆者が直近で気になったセキュリティ事件を2つ紹介します。1つ目は、11月下旬に公表された個人情報流出についてです。
https://www.itmedia.co.jp/news/articles/2211/21/news144.html

要約すると、個人情報関連のメールを「@gmail.com」のドメインではなく、「@gmai.com」というドメイン宛に送ってしまっていた、という内容です。「ドッペルゲンガー・ドメイン」とは入力間違いや誤認識を起こしやすいドメイン名のことで、ユーザが誤ってメールを送信したり、サイトにアクセスしたりすることをねらい取得されています。小文字の「l」(エル)が抜けてしまった「だけ」と思うかもしれませんが、このような重大な問題を引き起こしかねないのです。人為的ミスを狙った手口が存在する、ということを認識しておきましょう。

SEOポイズニングにより偽サイトが検索トップに表示

2つ目は、12月中旬に起きた「えきねっと」の偽サイトについてです。
https://www.itmedia.co.jp/news/articles/2212/14/news169.html

要約すると、JR東日本ネットステーションが運営する「えきねっと」のサイトを模倣してつくられた偽サイトが、検索結果のトップに表示されていた、という内容です。SEOポイズニングとは、検索結果の上位に偽サイトを表示させるなど不正に検索エンジンの結果を操作する手法のことをいいます。もし、「検索して一番上に出てきたから大丈夫!」と偽サイトにクレジットカード情報などを入力してしまっていたら……考えるだけでもおそろしいですね。今回の場合、URLのトップレベルドメイン(TLD)を見ると偽サイトであることに気づくことができました。URLの構成など、情報技術に関する知識の大切さがわかります。「トップレベルドメインって?」と思われた方は、ぜひこの後調べてみてください。

最後に……

筆者が直近で気になった2つのセキュリティ事件について、ご存じの方もいらっしゃるかと思いますが、実はこれ以前にも同様の事件が起きています。また、サイバー攻撃は年々巧妙化しているといわれています。今回紹介したセキュリティ事件に関わらず、何事も自分事としてとらえ、「明日は我が身」と危機感をもち行動・対策をしていくことが大切ですね。