数年前ではありますが、筆者はサイバー攻撃の被害にあったことがあります。
普段通りに仕事をしていると、突然クレジットカード利用を知らせるメールが立て続けに届きました。内容はオークションサイトでの利用で、1回あたり数千円~数万円でした。まったく身に覚えのない利用であったため、カード会社に確認しようとした矢先にカード会社から電話がかかってきました。即座にカードを停止し、再発行の依頼をしながら、後日利用していないことを示すための書類のやりとりをして事なきを得ました。
クレジットカード不正利用の現状と対策
筆者の被害のような、クレジットカード情報の不正利用に関する脅威はどのくらいあるのでしょう? 被害額の面から見てみるとこの10年で右肩上がりの状況で、2023年には約540億円に達しています。この金額はかなりの攻撃が成功してしまっている証左ですし、Webを検索してみると被害に遭った人の事例が多数見つかります。
図 クレジットカード不正利用被害額の推移
※「クレジットカード不正利用被害の発生状況」(日本クレジットカード協会)をもとに筆者作成
https://www.j-credit.or.jp/information/statistics/download/toukei_03_g.pdf
情報処理推進機構(IPA)が毎年公開している「情報セキュリティ 10大脅威」においても、クレジットカード情報の不正利用は10年連続で10位以内に入っています。セキュリティ専門家たちの実感としても、クレジットカードに関する脅威は無視できない状況にあると言えます。
表 IPAによる情報セキュリティの10大脅威(五十音順)
| 「個人」向け脅威 |
初選出年 |
10大脅威での取り扱い(2016年以降) |
| インターネット上のサービスからの個人情報の窃取 |
2016年 |
6年連続9回目 |
| インターネット上のサービスへの不正ログイン |
2016年 |
10年連続10回目 |
| クレジットカード情報の不正利用 |
2016年 |
10年連続10回目 |
| スマホ決済の不正利用 |
2020年 |
6年連続6回目 |
| 偽警告によるインターネット詐欺 |
2020年 |
6年連続6回目 |
| ネット上の誹謗・中傷・デマ |
2016年 |
10年連続10回目 |
| フィッシングによる個人情報等の詐取 |
2019年 |
7年連続7回目 |
| 不正アプリによるスマートフォン利用者への被害 |
2016年 |
10年連続10回目 |
| メールやSMS等を使った脅迫・詐欺の手口による金銭要求 |
2019年 |
7年連続7回目 |
| ワンクリック請求等の不当請求による金銭被害 |
2016年 |
3年連続5回目 |
※出所:情報セキュリティ10大脅威 2025[個人](IPA)
https://www.ipa.go.jp/security/10threats/10threats2025.html
クレジットカードをオンラインサービスで使う以上、自身が気を付けるだけでは不正利用のリスクはゼロにはなりません。不正利用を予防することに加え、不正利用が発生した際に気付けるような対策が可能なサービスやカードを利用することをお勧めします。少し詳細に説明すると、以下が可能であるかを確認すると良いでしょう。
【予防】
- 本人認証サービス(3Dセキュア2.0など)の利用および対応しているサービスの利用
- むやみにWebサイトにクレジットカード情報を保存しない(クレジットカードを利用するサービスを少なくする、バーチャルクレジットカードなど自身で無効化しやすいサービスの利用も有効)
- フィッシング攻撃への備え(メール、SMS、Webサイトなど多岐にわたる)
【早期発見】
- 利用明細(日付、利用先、金額、店舗名)の定期的な確認
- 決済時の通知機能の利用
【被害にあった際の対応】
- クレジットカード会社への連絡、利用停止
- 被害のきっかけとなった原因への対応(クレジットカードを登録しているサービスのパスワード変更など)
なお、上記は個人での対策に着目していますが、クレジットカード情報を取り扱うサービスの提供者(事業者)が守るべき基準もあります。気になる方は「クレジットカード・セキュリティガイドライン」「ECサイト構築・運用セキュリティガイドライン」「PCI-DSS」などのガイドライン参照、不正利用対策の導入を検討してください。
巧妙化するサイバー攻撃への備えが重要
社会全体でデジタル化が進み、便利なサービスが次々と登場する中で、サイバー攻撃も巧妙化が進んでいます。たとえばクレジットカード情報を狙う脅威に注目すると、ある意味で生成AIは相性抜群です。
フィッシングメールによる攻撃は、過去には不自然な日本語や崩れた構造など、「メールの怪しさ」が攻撃かどうかを見分けるポイントになっていました。ところが生成AIの利用によって、自然な日本語でフィッシングメールや誘導先のサイトを作成することが可能です。生成AIという便利な技術が、攻撃の質や効率を高めるなど、攻撃者の利便性に寄与してしまうことになります。
なお、単純に「フィッシングメールの作成」を依頼すると、違法行為の助けになるとして生成AIに拒否されるようになっていますが、その回避策も存在しています。
このように、技術の進歩とともにサイバー攻撃も進化、巧妙化し続けるため、常に最新の情報をキャッチし、適切な対策を講じることが必要になります。
セキュリティエンジニアはデジタル社会を守る正義の味方!
ここまでで紹介したような脅威に対抗するために、セキュリティに関連した業務や研究に取り組む職業である「セキュリティエンジニア」の役割がますます重要になっています。
セキュリティエンジニアは、サイバー攻撃を行う攻撃者と直接対峙するわけではありませんが、企業や組織がサイバー攻撃から身を守れるように活動します。防御策の設計や実装をしたり、攻撃者が利用する手段を調査したり、何か事件が発生した場合は対応に奔走したり、セキュリティ製品を作ったり、安全なシステムが開発されるようにセキュリティ観点を考慮したりと、その活動は多岐にわたります。このような活動を通じて、便利なサービスやそのサービスを提供する企業・組織を守ることで、デジタル社会を支えていると言っても過言ではありません。
セキュリティエンジニアは、常に最新の脅威に対抗できるよう、最新の情報やスキルを習得しながら業務に取り組む必要があります。修行と戦いを繰り返し、攻撃者から企業や組織を守るために活動する様子は、まさにデジタル社会の「正義の味方」と言えるでしょう。
キャリア検討にお勧め 『セキュリティエンジニアの知識地図』
筆者が著者の一人として執筆した『セキュリティエンジニアの知識地図』は、セキュリティエンジニアを目指す方や、今後のキャリアを検討しているセキュリティエンジニアの方に向けて、著者たちで話し合いながら、役立つ情報を集めて構成した書籍です。書籍の中では以下のような内容を紹介しています。
- セキュリティエンジニアの仕事
- セキュリティエンジニアを目指すための基礎知識、技術分野
- セキュリティエンジニアになるためには、活躍するためには
- 今後の注目領域やトレンド
セキュリティエンジニアを目指すには、セキュリティを適用する先であるシステム自体やネットワークに関しても学ぶ必要があります。もちろん、分厚い専門書を読むことで得られる知識量が充実するのは確かではあるものの、読むだけで大変です。
本書では「本当に基礎だけ知るのであればこの辺り」を抜粋するなど、読みやすさに工夫を凝らしています。また、セキュリティエンジニアの職種についても、ただ紹介するのではなく、どのようにしたら活躍できるのか、どのようなキャリアの選択肢があるのかを含めることで、キャリアプランの検討に繋げることを意識しています。
セキュリティエンジニアとしてのキャリアを考えている方は、ぜひ『セキュリティエンジニアの知識地図』を手に取ってみてください。この本が、あなたのキャリアの道標になることでしょう。また、同僚やご家族、ご友人にセキュリティエンジニアがいるのであれば、その人が普段どのような仕事をしているのかを知るきっかけにもなります。ぜひ手に取ってみてください。
