ネット犯罪は人々にどのような被害を及ぼすのでしょうか。ここでは実際の被害例を紹介します。ネット犯罪の被害に遭わないように、オンライン防御の基礎知識を身に付けてください。

サンドラの例

サンドラは、フロリダ州マイアミに住む人事のプロフェッショナルです。彼女は仕事で 10 年以上パソコンを使っています。彼女の仕事用のパソコンは勤め先の IT 部門によって管理されており、これまで彼女が職場でパソコンのセキュリティに関する問題に遭遇したことはありませんでした。

サンドラにはパソコンに詳しいという自負があり、次のような理由から自分がオンライン詐欺に遭う可能性は低いと考えています。

• クレジットカード情報を公開する危険を避けるため、また購入履歴が保存され自分の嗜好の予測に使用されたりしないように、オンラインショッピングはしないことにしています。
• 自宅のパソコンは、友人や家族との個人的な電子メールのやり取りと、ウェブで自分の専門分野における新しい動向を調べることと、毎月 1 回だけ銀行のオンライン口座を利用することにのみ使用しています。
• ウェブでそれ以外のことを調べることも時々ありますが、あまり頻繁ではありません。

サンドラの使用状況は十分安全なように見えます。

しかし残念ながら、見かけはあてになりません。 去年の夏のある日、勤め先で、彼女が使っているインターネットブラウザに固有の新たな脆弱性のことを聞きました。これは、IT 部門がその日のうちに、彼女の勤め先の仕事用パソコンのすべてに緊急パッチを配布するほど、重大なことでした。 彼女は自宅のパソコンも保護しようと考え、帰宅後にその脆弱性についてインターネットで調べて自宅のパソコンが保護されているかどうかを確認しました。

一般的な検索エンジンで見つけたウェブサイトには、その脆弱性の説明に加え、必要なパッチをパソコンに自動的にダウンロードするオプションが表示されました。しかし、信頼できるサイト以外からはデータをダウンロードしないように以前教わっていたので、説明だけを読みパッチはダウンロードしませんでした。 その後、インターネットブラウザの公式サイトにアクセスしてパッチをダウンロードしました。

さて、以上の何が問題だったのでしょうか。

不運にもサンドラは、最初のサイトで脆弱性に関する説明を読んでしまったため、彼女のパソコンが実際に脆弱性を持っていることがサイトを作成した犯罪者に知られ、その脆弱性に付け入られてしまったのです。実際、彼女はダウンロードを求めるメッセージが表示されたときに ［いいえ］ をクリックしたのですが、知らないうちに小型の (しかし強力な) クライムウェアプログラムの自動インストールがすでにパソコン上で実行されていました。

そのプログラムはキーロガーでした。 その時点でウェブサイトの所有者には、キーロガーが秘密裏にサンドラのパソコンに正常にインストールされたことがすでに通知されていました。このプログラムはそれ以降彼女が入力したあらゆる情報を記録するとともに、その情報をすべてウェブサイトの所有者に送信するように作られていました。これが完璧に機能して、サンドラが入力したあらゆる情報が記録されました。彼女がアクセスしたすべてのウェブサイトと、彼女が送信したすべての電子メールが、ネット犯罪者に渡されました。

その日の夜、サンドラは毎月利用しているオンライン銀行口座にアクセスしました。 口座にログインするときに彼女が入力した機密情報 (銀行名、ユーザー ID、パスワード、社会保障番号の下 4 桁、母親の旧姓など) は、キーロガーによって記録されました。この銀行のシステムではセキュリティが確保されており、入力データはすべて暗号化され通信途中で誰も解読できないようになっていました。しかしキーロガーは、彼女が入力した情報を、それが暗号化される前に、リアルタイムで記録していました。このようにしてキーロガーは、適切に設定されていたセキュリティをバイパスできたのです。

彼女の取引銀行名、ユーザー ID、パスワード、母親の旧姓がネット犯罪者の手に渡るのは、もはや時間の問題でした。ネット犯罪者は、疑いを抱かないその他のユーザーの長いリストに、サンドラの名前と情報を加えました。その後ネット犯罪者は、インターネットで知り合った、盗んだ銀行情報を使って不正に預金を引き出すことを専門にしている者に、そのリストを売りました。 数週間後、入金のために銀行を訪れた時、サンドラは口座の残高がほとんどゼロになっていることに気付き大変なショックを受けました。サンドラはこのようにしてネット犯罪の被害者になりました。