電網通信あみあみ

【 セキュリティの脅威を学ぼう 】

セキュリティセミナーに参加したあみですが・・・。

ami
セキュリティのセミナーでいろいろと学んできたよ。
gen
熱心だね。
どんな事を学んできたんだい?
ami
主に「セキュリティ10大脅威」だよ。
今年は去年までと違って総合的な10大脅威とは別に「個人」「組織」2つの分類でも選出したんだって。
gen
なるほど、別の視点から比較することで違った点が見いだせるかもね。
ami
今回から、総合ランキングとは別に「個人」「組織」におけるランキングも発表されるようになったの。
その後に総合的な順位が発表されたわ。
個人 組織
1位 インターネットバンキングやクレジットカード情報の不正利用 標的型攻撃による情報流出
2位 ランサムウェアを使った詐欺・恐喝 内部不正による情報漏えいとそれに伴う業務停止
3位 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ ウェブサービスからの個人情報の窃取
4位 巧妙・悪質化するワンクリック請求 サービス妨害攻撃によるサービスの停止
5位 ウェブサイトの改ざん
6位 匿名によるネット上の誹謗・中傷 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
7位 ウェブサービスからの個人情報の窃取 ランサムウェアを使った詐欺・恐喝
8位 情報モラル不足に伴う犯罪の低年齢化 インターネットバンキングやクレジットカード情報の不正利用
9位 職業倫理欠如による不適切な情報公開
10位 インターネットの広告機能を悪用した攻撃 過失による情報漏えい

※出典:独立行政法人情報処理推進機構

gen
個人と組織で、違いの見えるランキングとなったんだね。
こうして比較してみるといろいろとわかることもあるなあ。
ami
へえー、例えばどんなことが?
gen
個人と組織では何を脅威と感じているかに、大きな差があるということさ。
共通でランクインしている事柄があっても、順番が前後しているだろう。
ami
あっ、確かに。
個人の上位のクレジットカード情報の不正利用に詐欺・恐喝・・・
比較的、生活に密着している情報セキュリティ関連の脅威が上位にあるわ。
組織でのランキングでは下の方にあるもんね。
gen
それらが上位にある、この結果から考えると・・・
僕らはネット犯罪の被害に実際に遭うまでは、脅威を認識できていない。
事件を防ぐのに充分な注意を払えていないんだ。
組織に比べれば、個人のセキュリティに対する意識はまだまだ低いんだね。
ami
うーん。
確かに自分には関係ないとか自分なら大丈夫とか・・・
そういうふうに甘く考えてしまうことはあるかもしれないね。
gen
そう考えてしまいがちな現状は、変えていきたいね。
いつか自分も被害者になるかもしれないという危機感を持つべきだよ。
ami
うん、気持ちを改めなきゃ!
それとね、「個人」と「組織」の両方をまとめた総合的な10大脅威はこっちのランキングだよ。
1位 インターネットバンキングやクレジットカード情報の不正利用
2位 標的型攻撃による情報流出
3位 ランサムウェアを使った詐欺・恐喝
4位 ウェブサービスからの個人情報の窃取
5位
6位 ウェブサイトの改ざん
7位 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ
8位 内部不正による情報漏えいとそれに伴う業務停止
9位 巧妙・悪質化するワンクリック請求
10位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
gen
上位は「個人」と「組織」両方のランキにグでの上位で埋まってるけれど、それ以外も興味深いランキングだね。
去年と比較すると、脅威の内容も変化し続けている。
ami
うーん、それぞれどう対策を立てればいいやら・・・
こんなにたくさんの脅威があったら対応しきれないよ!
gen
大丈夫、基本的な対策は今までにも教えただろう?
少しの対策を行うことで大丈夫だったりするんだ。
まとめてこのランキングの脅威に対しての解説をしてみるね。
それぞれに有効な対策を考えてみよう。
【インターネットバンキングやクレジットカード情報の不正利用】

組織・個人を問わずウィルスに感染することから被害に遭う。
OSやソフトウェア・ウィルス対策ソフトは常に最新の物に。
事例や手口の情報を確認し、認証方式を見直すことで万全な対策になる。

→ ネットバンキング利用者を狙う迷惑メール
【標的型攻撃による情報流出】

メールの場合、「ばらまき型」メール、もしくは「やり取り型」メールによる手口で情報流出を招くウィルスを送られる。
ウェブ上においてもURLリンクを開くことで同様に感染させられる。
関連会社を踏み台にする手口で被害を広め、日本年金機構を初めとする多くの組織から個人情報の漏洩を招いた。
感染を防ぐだけでなく、侵入されることを想定した対策が必要である。
組織の全体に体制の整えや教育を行き届くようにすることが重要。

→ 「ばらまき型メール」に要注意
【ランサムウェアを使った詐欺・恐喝】

メール・ウェブからランサムウェアに感染するとPCと共有サーバー等に影響が与えられ、ファイルが勝手に暗号化されてしまう。
ファイルの復元の代金として請求を行う手口が広まっている。
関連会社を踏み台にする手口で被害を広め、日本年金機構を初めとする多くの組織から個人情報の漏洩を招いた。
組織の経営者層、すべての担当従業員層に体制の整えや教育を行き届くようにすることが重要。

【ウェブサービスからの個人情報の窃取】

ハッキング等による被害で、ソフトウェアやアプリケーションの脆弱性を突き、情報を盗み出す手口。
ウェブサービス運営側は対策として、最新鋭なセキュアなウェブサービスを意識し、運営することを心がける。
利用する側としては、不要な情報を極力サイトに登録しないことが対策といえる。

→ SSL - サイトを守るだけじゃない?
【ウェブサービスへの不正ログイン】

複数のサービスでパスワードを使い回すなど、ユーザー側のセキュリティ意識の低さを狙った手口。
対策としては推測されにくく、長いパスワードを用いること等で、パスワードのセキュリティ性を高めること等があげられる。

→ IPフィルタ (国外IPアドレス遮断)
【ウェブサイトの改ざん】

ウェブサイトを改ざんされて、先述したウィルスの感染、ウェブサービスからの窃取などに利用されてしまう被害。
多くの組織が被害に遭い、意図せず加害者側となる事態を招いている。
管理されず放置されたウェブサイトが主に狙われている為、サイト運営側の頻繁な更新やセキュリティ関連の見直しが被害を防ぐ手立てとなる。

→ コンテンツ改ざん
【審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ】

悪意のあるアプリケーションをユーザーにダウンロードさせ、情報の窃取や盗聴・盗撮を行う手口。
アップデートによりアプリが悪意のあるものに変化するなど、審査をすり抜ける巧妙な手段が用いられている。
スマートフォンを利用する上で、アプリをダウンロードする際には慎重に確認することが求められる。

【内部不正による情報漏えいとそれに伴う業務停止】

従業員・職員による内部情報の持ち出しが原因の情報漏洩被害。
その原因は処遇面や怨恨であったり、時には意図しないミスから生じるなど様々。
組織側は教育面・セキュリティ管理や監視を怠らないようにする事で未然に防ぐ必要がある。
利用者側は信頼のできるサービスかどうかの見極めが肝心。

【巧妙・悪質化するワンクリック請求】

メールで送付されたURLや、ウェブ上のリンク等から悪意あるサイトに誘導、請求画面を表示させる手口。
かねてから利用されている手口であり、近年のマイナンバー制度に便乗して詐欺を行う手口も確認された。
防ぐには利用者側の意識が非常に重要であり、怪しいメールは開かない・怪しいサイトへアクセスしないことが対策となる。
仮に請求がされたとしても、冷静に対処することが最も重要。

【脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加】

情報が即座に拡散される現代では、広く利用されているソフトウェアの脆弱性もまた、すぐに加害者側の知ることとなる。
組織側としては、セキュリティホールを突く攻撃が利用者へと届く前に迅速なアップデート等で対策を徹底することが重要である。
利用者側もアップデートを怠らず、最新の情報を常に把握しておくことが攻撃を防ぐためには必要とされる。

ami
どんな脅威でも、然るべき対策はちゃんと存在するのね。
でも一つ一つ万全に対応するには大変そう・・・
gen
シンプルに、個人の利用者側の観点からどうすれば良いかをまとめてみたよ。
僕らにできる有効な対策はご覧のとおり、5種類にまとめられるね。
脅威 ソフトウェア
の更新
ウィルス
対策ソフト
パスワードの
強化
設定の
見直し
手口を
知る
インターネットバンキングやクレジットカード情報の不正利用 -
標的型攻撃による情報流出 -
ランサムウェアを使った詐欺・恐喝 - -
ウェブサービスからの個人情報の窃取
-
ウェブサイトの改ざん
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ - - -
内部不正による情報漏えいとそれに伴う業務停止 - - -
巧妙・悪質化するワンクリック請求 - - - -
脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加 -
ami
うん、これなら気をつけることはわかりやすいね!
使うソフトウェアは常に新しく!
ウィルス対策ソフトも常に新しく、そしてきちんと活用する!
パスワードは悪用されづらいものを!
自分がどんな設定を使っているのか、注意深く見直すこと!
そして何より、知識をつけること!
gen
よくできました。
やっぱり頼れるのは自分自身の日々の努力と注意力。
ネットを利用するなら気をつけておきたいね。

次回をお楽しみに!