証券口座への不正アクセス被害の実態とその手法について、これまでの記事（1回目、2回目、3回目）でも詳しく紹介してきましたが、実際にはどのような対策が有効なのでしょうか。今回は、フィッシングやInfostealerなどのマルウェアにどう対処していくべきか、個人・企業のそれぞれの観点で紹介します。

Webサイトへのログインは｢ブックマークかアプリ｣から

【個人としてのフィッシング対策】

フィッシングへの対策として最も有効で確実な対策は、そもそもフィッシングサイトにアクセスしないということです。ログインが必要なWebサイトは、初期登録時にURLをブラウザにブックマークしておいて、毎回そこからアクセスするか、もしくは公式提供されているスマートフォンのアプリからのみアクセスするなど、アクセス経路を限定してください。



なお、SMSやメールで送信されてくるURLからのアクセスにはフィッシングリスクが発生します。極力避けて、どうしても開かなければならない場合も、最大限警戒するようにしましょう。

以前はフィッシングサイト対策として、「怪しい日本語が使われていないか確認する」「URLを正規サイトと見比べる」「ブラウザの鍵マークの有無で判断する」などの方法が紹介されていました。しかし、いずれも現在では有効ではなくなっています。

また利用するWebサービスにおいて、IDとパスワードによるログインに加え、ワンタイムパスワードや多要素認証などの「追加認証機能」を設定できるなら、それを有効化するのもおすすめです。リアルタイムフィッシングの場合、2回目の記事で解説したように回避されてしまうケースもありますが、それ以外のフィッシング攻撃や総当たり攻撃（IDやパスワードを探り当てられて不正ログインされる手法）には有効な対策となります。

フィッシングとInfostealerについて、「個人の対策」「一般企業の対策」「WEBサービス提供事業者の対策」をそれぞれ図で見る

現在証券各社は、フィッシング攻撃に強く、生体認証などと組み合わせてログイン操作も省力化できる「パスキー」の導入準備を進めています。例えば、SBI証券や楽天証券は2025年秋頃の導入予定を、野村證券や松井証券は導入予定であることを表明しています。この機能が提供されたら、いち早く設定することをおすすめします。

【個人としてのInfostealer対策】

Infostealerは、感染そのものを防ぐアプローチが非常に重要となります。Infostealerはステルス性がとても高いマルウェアなので、感染に気づくのはかなり難しいこと、また、一度感染して流出してしまった情報には個人情報も含まれ、その変更や削除もできないためです。

主な感染経路は「ClickFix」が現在の主流であり、3回目の記事で解説したように、この手口には十分注意が必要です。また、Webサイトや動画などで紹介された不正なツール（ゲームチート情報、海賊版ソフト）、Web検索でヒットした偽ソフトからの感染も多くなっています。そして、利用するOSやブラウザは常に最新版に更新し、アンチウイルスソフトの定義ファイルは「自動更新設定」にして利用するようにしましょう。Infostealerへの感染を防ぐ機能が不定期に提供されています。

最後に、Infostealerは、主にブラウザに保存された情報をターゲットにしており、これらは容易に盗まれてしまいます。そのため、ブラウザに標準搭載されたパスワードマネージャ（サイトログイン時にIDとパスワードを自動入力する機能）は利用せず、「1Password」や「Bitwarden」などのパスワード管理専用ソフトを利用するのも1つの手です。盗まれる情報量を減らすことで、万が一感染した場合の被害を小さくすることができます。



パスキーなど｢FIDO2に基づいた認証｣の導入を推奨

さて、これ以降は企業視点での対策を考えていきましょう。これは、自社が「一般消費者向けに何らかのWebサービスを提供しているか否か」で対策する範囲が変わってきます。まずは、Webサービスを提供していない、一般的なBtoB企業の観点からの対策です。

【一般企業のフィッシング対策】

Webサービスを提供していない一般企業の場合は、「従来からあるWebプロキシ」「メールセキュリティの製品による保護」「社員の教育」を通じて、とにかくフィッシングサイトにアクセスしないことが基本となります。

自社で利用するグローバルシェアの高いSaaS、特に、2回目の記事で紹介したAiTMなどの高度なフィッシングのターゲットになりやすい「クラウド型のメールサービス」「顧客情報管理を行うCRM」「開発ツール」については、ワンタイムパスワードやアプリでの承認などの多要素認証ではなく、パスキーなどのフィッシング耐性の高いFIDO2に準拠した認証方式の導入をおすすめします。

難しい場合は、デバイスの状態・アクセス場所・利用アプリなど任意の基準を設けて、サービスにアクセスできる条件を厳しくする「条件付きアクセス機能」の設定や、「クライアント証明書」による認証を行うことも、犯罪者の不正アクセスを防ぐために有効です。

【一般企業のInfostealer対策】

Infostealerについては、自社端末への感染を防ぐ観点では、従来のマルウェア対策と同様で特別なことはありません。しかし、Infostealerは数年前から急激に流行しているマルウェアであり、すでに自社の端末が感染していて、過去に何らかの情報が漏洩しているという可能性もあります。

特に、国内外に拠点を持ち、社員数も多い企業ではそのリスクが高まるため、過去に一度も自社の漏洩状況調査をしたことがないのであれば、一度調査してみるのがいいかもしれません。ただ、Infostealer経由でダークウェブ上に漏洩した情報を調査するのは、各企業が独自で行うには極めて困難なため、セキュリティサービスベンダなどから提供されているダークウェブ調査サービスの利用をおすすめします。

調査後は漏洩件数自体には一喜一憂せずに、自社の特に重要な資産（メール、VPN、CRM等）へのログイン情報が漏れていないか、漏洩が確認されたシステムで多要素認証が設定されているかを確認するとともに、漏洩原因を特定して再発防止を検討してください。



ダミーの認証情報で事前に脅威シナリオを検討しておく

【Webサービス提供企業のフィッシング対策】

証券会社をはじめ、一般消費者に対して何らかのWebサービスを提供している事業者であれば、自社社員がフィッシング被害を受けないための対策だけでなく、自社サービスをかたるフィッシングサイトの調査も行うことが望ましいです。

自社サイトをかたるフィッシングサイトが存在するかどうかの調査に加えて、万が一それが発見された場合は、実際にサイトへアクセスし、ダミーで作成した「有効なログイン情報」を投入し、そのフィッシングサイト上でどのような情報が収集されているかを確認します。

完全なダミーではなく、正規の有効な認証情報を用いる理由としては、入力情報は犯罪者によってチェックされており、不正な認証情報だと次の画面に遷移しない構造になっていることも多いためです。

さらに、投入したダミーの認証情報を利用したアクセス状況を確認しておき、実際にアクセスが確認されたら、自社サービスが標的にされる予兆なので、最大限警戒してください。

以前は、利用者が多い配送会社のサイトやECサイトをかたるフィッシングサイト上でクレジットカードの情報が盗まれるケースが多かったですが、昨今では模倣されるサイトの種別や企業が広がりつつあるため、これも注意が必要です。

フィッシングサイトで収集されている情報が確認できたら、その情報を用いて起こりうる「脅威シナリオ」を検討し、あらかじめ対策を考えておくのがよいでしょう。事前に対策まで実行できればベストですが、考えられるあらゆるリスクに対応できるリソースや予算を持ち合わせた組織はそうありませんので、そのシナリオが発生する可能性と生じる影響の度合いに応じて、優先度を設定しましょう。

例えば証券会社のフィッシングサイトの例では、ログインID・パスワードに加えて、「取引用暗証番号」が収集されていました。この情報が悪用されると、実際に不正取引が発生しうるため、追加認証を設けたりリスクベース認証を強化するなどの対策が必要となります。

長期的な視点でのフィッシング対策としては、FIDO2に準拠したフィッシング耐性のあるパスキーなどの導入です。不正アクセス対策として多要素認証自体は標準的な機能となりつつありますが、SMSやメールでワンタイムパスワードを送付したり、アプリによる承認を求める方式では、リアルタイムフィッシングやAiTM型フィッシングへの有効な対策にはなりません。これらの方式は非推奨の流れとなっているため、将来的にはパスキーなどFIDO2準拠の認証機能が強く求められると予想されます。

フィッシング対策協議会よりWEBサイト運営者におけるフィッシング対策を包括的にまとめたフィッシング対策ガイドラインも公開されているためご一読をおすすめします。

国内外の多様なWebサービスの認証情報が漏洩している

【Webサービス提供企業のInfostealer対策】

Webサービスを提供している事業者のInfostealer対策では、サービス利用者のPCがInfostealerに感染して情報が漏洩していることを考慮する必要があります。マクニカの調査では、ランダムで選定した国内外のさまざまなジャンルのWebサービスの認証情報が、ダークウェブ上に漏洩していることを確認しています。

そのため、自社サービスに関してどのような情報が漏洩しているかを確認し、その情報によって生じる不正アクセスシナリオを想定し、あらかじめ対策を打つ必要があります。犯罪者が知ろうとしている、もしくはすでに知られている情報からどのような脅威シナリオが発生しうるかを考え、事前に対処を検討するというアプローチは、フィッシング対策と同様の考え方です。



セキュリティ対策は､個人や組織の資産を守る｢砦｣

さて、ここまで4本の記事を通じて、証券不正アクセス事案をもとに、最近の脅威動向とその対策をお伝えしてきました。

本事案では、サイバー攻撃・サイバー犯罪が我々にとって非常に身近になっていることが改めて示されたようにも思えますが、その脅威は今回の証券不正アクセスだけではありません。

個人を狙ったITを通じた詐欺や金銭の窃取や、企業に対する高度なサイバー攻撃も、この数年間で非常に深刻な被害状況となっています。今回はその一端が注目を集めたにすぎず、警戒が必要な領域は、ITの社会的な普及とともに大きく広がっています。

セキュリティ対策はコストや手間につながってしまうこともありますが、一方で、私たちのビジネス・個人情報・大事な資産を守る砦でもあります。現在の厳しい状況に備えるため、各個人や組織がセキュリティの重要性を見直し、対策を進めていくきっかけになればと願っています。

またサイバー攻撃・サイバー犯罪は、意外にも同じような手口が繰り返し広く使われます。その手口を知るだけでも、自身がそれに対峙したときに気づくことができ、有効な対策となるため、本記事のような動向解説はぜひ継続して情報収集いただくことをおすすめします。

（瀬治山 豊 ： マクニカ セキュリティ研究センター センター長補佐）