こんにちは、副業ブロガーのたくす(@taksBLOG)です!
あなたのブログ、セキュリティ対策していますか?
ブログアフィリエイターとしては、ネット環境やブログデータを壊されると大打撃です。
身を守るためには、無料のセキュリティプラグイン導入だけでもしておきましょう。
最近猛威を奮っているウィルス「Emotet(エモテット)」を紹介しつつ、初心者ブログアフィリエイターが最低限しておくべきセキュリティ対策をお話します。
ウィルスEmotet(エモテット)に注意喚起〜【初心者ブロガーは基本的セキュリティ対策でサイバー攻撃対策】
2021年の秋に猛威をふるったロシア発祥と言われる「Emotet(エモテット)」という自己増殖するウィルスが、2022年3月に再燃しています。2月では、世界でも日本でもマルウェア(ウィルスを使って広告を強制的に表示するようなもの)で第1位になっています。
攻撃方法はフィッシングメール形式で、ついつい読まなければならないようなメールで配信されます。URLをクリックしたり添付ファイルを開くと感染。よくある手口ではあります。
ただ、そのメール本文がかなり巧妙になっていることが特徴で、公的機関のIPA(独立行政法人情報処理推進機構)が注意喚起しているほどです。
例えば、マイクロソフトやアップルマークが表示されたメールに以下のような文章が書かれています。
お世話になっております。
添付いたしますのでご確認ください。
内容に齟齬がございませんでしたら、黒線太枠内をご記入いただき
社判を捺印の上、下記住所までご郵送くださいませ。
よろしくお願いいたします。
(添付ファイル:請求書の件です【文字列】.doc)
ブログはサーバーにWordPress(ワードプレス)のデータがありますが、自分のPCが感染してしまえばWordPress(ワードプレス)も無事とは言い切れません。なによりパソコンが使えなくなったり、身に覚えのない請求を受けることになります。
《参考:IPA》「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて」
Emotet(エモテット)は巧妙な手口で感染させるトロイの木馬型ウィルス
プレスリリースによると、Emotet(エモテット)は高度な技術で作られたウィルスで、もともとは銀行口座番号やクレジットカード番号を盗むためのもの。
現在は開発者だけでなく、ウィルスを買って拡散する人もいるため、世界中でフィッシングメールが観測されています。
日本では2022年2月に、前月比4倍以上の着信が観測されています。自己増殖するので、あなたもメールを受ける可能性があります。次章でメールの実例を紹介します。
エモテットのメール実例【添付ファイルやURLに触らない】
エモテットを拡散しているフィッシングメールの特徴は、本文が読まなければならないような気になるように書かれているところです。
IPAのホームページから、実際のメールの例を転載します。
本文:
日頃より大変お世話になっております。
請求書を確認後、3営業日後の返金(着金)となります。
しかしながら、頂きましたご請求書ですが、3点修正が必要です。
- 手数料が反映されておりませんでしたので、請求書に追記ください。(5%)
- 請求書の発行日を記載してください。
- 弊社名は××××××です、ご修正御願いします。
請求書到着日より3営業日後の着金となります。
宜しくお願いいたします。
転載元:IPAホームページより
以下のようなものもあります。
- 支援機能は、添付のリストから選定願います。以上、よろしくおねがいします。
- おはようございます。謄本及び公図をお送りします。どうぞよろしくお願い申し上げます。
- おはようございます、約款について送らせていただきます。取り急ぎご連絡いたします。
- 受ける機能についても明確にしてください。
- 予定です。取り急ぎご連絡いたします。
差出人が、あなたの知っている企業名や知人のメアド(実際は別のメアド)から送信されてくるため、つい読まなければならない気になります。添付ファイルがなく、URLとなっているパターンもあります。
特徴は、日本のビジネスシーンで通常使われている言い回しや慣例的表現を多用しているところ。受信者としては誤送信メールかなと「確認するために」クリックしてしまいそうな文面です。
ブロガーのウィルス対策はプラグインと「自分自身」
フィッシングメールは受信しただけではウィルスに感染しないので、削除すればOKです。
しかし、次のような人は要注意です。
- 流れ作業的にメールチェックしてしまう人
- ビジネスマナーのリテラシーが高い人
- 指摘に動揺してしまう人
「流れ作業的にメールチェック」する人を狙って文章が考えられています。
フィッシングメールかどうかを判断するとき、送信元だけを確認すると、表示とリンク先が違う(偽装されている)場合にクリックしてしまいます。
「ビジネスマナーのリテラシーが高い人」は、丁寧な文体を信用しがちです。
「こんな丁寧なビジネスメールだから問題ない」と判断し、クリックしてウィルスに感染してしまいがちです。
「指摘に動揺してしまう人」は、メールに「手続きが完了していません、再度ご確認の上、正しく設定ください」などと書かれるとついクリック、マルウェアに感染してしまうというもの。
古くからある架空請求のバージョンアップで、真面目な人ほど確認してしまう傾向があります。
怪しいかもと思ったら、メールに記載されている内容をGoogleで検索しましょう。
検索すれば、フィッシングメールかどうかはすぐに分かります。メール本文の下にある企業名などをGoogleで検索してみましょう。
- 住所を検索してみる
- 電話番号を検索してみる
- 企業名を検索してみる
フィッシングメールなら、上記のどれもが出てきません。たまに、電話番号だけ当たるときがありますが、ほとんどは関係ない会社や秘書代行業者です。
ぼくは東京タワーの住所だったり、国会議事堂だったときもありました。
ブログのセキュリティにはまず無料の有名プラグインで対応
フィッシングメールだけでなく、ネット上にWordPress(ワードプレス)を置いている限り、攻撃されるリスクが消えることはありません。
しかし、初心者ブロガーでも最低限のセキュリティ対策はしておいて損はありません。以下、超有名なプラグインで、基本的な対策ができます(無料プラグイン)。
スパムメール対策プラグインAkismetスパム保護
怪しいメールを削除したり、迷惑メールに振り分けてくれます。WordPress(ワードプレス)に標準で入っているのでインストールしなくてもOK。無料でAPIキーを取得して有効化しておくだけです。
Akismet Spam Protection (Akismet スパム保護)
ログインをロボットにさせないSiteGuard WP Plugin
WordPressのダッシュボードに、ランダム表示されるひらがな4文字を入力しないとログインできないようにするプラグインです。これも無料で詳細に設定できるスグレモノです。初心者は設定変更せず、そのまま使えばOK。
この他、セキュリティ対策としてはサーバ側の設定、WordPress(ワードプレス)のインストールディレクトリの変更、.htaccessの調整など色々あります。
初心者のうちは難しいことはせず、上記のプラグイン2つを有効化しておくだけでも十分です。ほんの少しの手間なのでやっておきましょう。
もちろん、一般的にはノートンなどが安心です。
ノートン 360 月額1日あたり約19円!
世界の4億人ユーザーを守るセキュリティソフト【アバスト】
もしも毎月5万円や10万円くらい利益が出るブログなら、しっかりとしたセキュリティサービスをしておかないと大変なことになります。自動車の任意保険のように、必要経費と割り切っておくと安心です。
Webサイトの脆弱性診断なら【SiteLock(サイトロック)】 
エモテットのようなメール添付型はブロガー自身が最高のセキュリティ
Emotet(エモテット)のように、高度なウィルスは少々のセキュリティならくぐり抜けてきてしまいます。
最終的には、あなた自身があやしいメールの添付ファイルやURLをクリックしなければ感染しません。ちょっとでもおかしいと思ったら…
- 未読のままにしておく
- 明らかにおかしいものは削除
- 不明なものは開いて検索
この流れで対処してください。