【 2019年 情報セキュリティ10大脅威 】
2019年のセキュリティ10大脅威一覧が発表されたので確認したあみですが...
- 毎年IPA(情報処理推進機構)から発表されている
「セキュリティ10大脅威」を今回もひととおり見てきたの。 
- 毎年、大きな動きが見られるからね。
- 今年はこんな感じの順位だったみたい。
- わからなかったから聞きたいんだけれど、昨年度の1位が3つランクインしてるわ。
これってどういうことなのかな。 - ああ、それは昨年1位だった
「インターネットバンキングやクレジットカード情報等の不正利用」
という脅威が、動向の変化でネットバンキング、クレジットカード、
仮想通貨関連、それぞれの被害件数に差が生じていたために
項目を細分化することになったんだよ。 
- なるほど。その結果仮想通貨関連の脅威はランク外に移ったのね。
去年注意したところは引き続き気を引き締めて、
個人情報は自分たちでしっかり守らないといけないわ。
- しかし分割しても去年の1位の脅威が複数ランクインしている、ということは
金銭目的とする脅威は絶えず僕らを脅かしているということだ。 
- 確かに、ネットバンキングや仮想通貨についての脅威は
ランキング外なのに、それでも個人のランキングには
金銭に関わる脅威がとても多いのね。 - そのとおりだね。そんな中、今回ランクインした新たな脅威、
「メール等を使った脅迫・詐欺の手口による金銭要求」だけど
これは候補に追加されて早くも4位にランクインしている。
いま最も警戒すべき脅威のひとつだろうね。 
- 毎年何度も注意喚起されてきた迷惑メールが、
今年になってついに10大脅威に選ばれるほどに被害が拡大してしまったって感じね。
- 4位だけじゃなく、個人のランキングの多くが利用者を脅迫したり
欺くことで金銭・情報を窃盗する手口のものとなっている。
これらは具体的な手口を学習することがもっとも有効な対策だね。 
- つねに金銭被害につながる脅威に晒されているという自覚が大事なんだね。
自分自身を守るためだから、しっかり学んでいこう! - 新たにランクインしたこの脅威だが、被害額はとても大きい。
昨年末に逮捕された犯行グループを例に上げると、
1件あたりの被害は数十万にとどまるものの、
被害総額は約1億4000万にのぼるとまで言われている。 - 各都道府県で広く被害を与えてるし、相当だね・・・
- メールにパスワードなどの個人情報が記載されていても、
その他の情報までが知られていると断定するのは早い。
慎重に行動して、パスワードを変更するなどの対策を取ろう。 - 私たちにもすぐできる対策だね。
- 電子マネーをコンビニなどで気軽にすぐ購入できるからこそ、
こういった犯罪の手口が増えているのかもしれない。
金銭のやり取りが発生する行為という自覚を持たねばいけないね。 
- 脅迫・詐欺メールの指示に従うことはしないようにね!
いざとなったら警察に被害を訴えよう。 - 組織から見たセキュリティ的脅威の4位に新たにランクインした脅威だね。
- 大本の組織からすれば、委託先のセキュリティまでは手が回らないことは
あるだろうし、これは難しい問題だね・・・ - これは、委託した側の組織と、された側の組織、両方の問題だからね。
両方の責任範囲と負担について契約上で明示しなければいけない。
信頼できる委託先であることを常に明らかにしなくてはならないんだ。 - 個人のほうでも、組織のほうでも、意識から改革することが必要だね!
| 昨年順位 | 個人 | 順位 | 組織 | 昨年順位 |
| 1位 (*1) |
クレジットカード情報の不正利用 | 1位 | 標的型攻撃による被害 | 1位 |
| 1位 | フィッシングによる個人情報等の詐取 | 2位 | ビジネスメール詐欺による被害 | 3位 |
| 4位 | 不正アプリによるスマートフォン利用者への被害 | 3位 | ランサムウェアによる被害 | 2位 |
| NEW | メール等を使った脅迫・詐欺の手口による金銭要求 | 4位 | サプライチェーンの弱点を悪用した攻撃の高まり | NEW |
| 3位 | ネット上の誹謗・中傷・デマ | 5位 | 内部不正による情報漏えい | 8位 |
| 10位 | 偽警告によるインターネット詐欺 | 6位 | サービス妨害攻撃によるサービスの停止 | 9位 |
| 1位 | インターネットバンキングの不正利用 | 7位 | インターネットサービスからの個人情報の窃取 | 6位 |
| 5位 | インターネットサービスへの不正ログイン | 8位 | IoT機器の脆弱性の顕在化 | 7位 |
| 2位 | ランサムウェアによる被害 | 9位 | 脆弱性対策情報の公開に伴う悪用増加 | 4位 |
| 9位 | IoT 機器の不適切な管理 | 10位 | 不注意による情報漏えい | 12位 |
(*1)
クレジットカード被害の増加とフィッシング手口の多様化に鑑み、2018年個人1位の「インターネットバンキングやクレジットカード情報等の不正利用」を本年から、(1)インターネットバンキングの不正利用、(2)クレジットカード情報の不正利用、(3)仮想通貨交換所を狙った攻撃、(4)仮想通貨採掘に加担させる手口、(5)フィッシングによる個人情報等の詐取、に分割。
PCやスマートフォン利用者に
「アダルトサイトを閲覧している姿を撮影した」
「有料サイトの利用料金を支払う義務がある」等の嘘のメールを送信し、
金銭をだまし取る特殊詐欺です。
以下のような点が、詐欺メールの注目すべき点です。
自分のパスワードが記載されている場合がある
実際に受信者がウェブサービス等で設定したことのあるパスワードが
メールの件名や本文冒頭に記載されている場合がありました。
「これがあなたのパスワードであることを知っている」と思わせることで、
「現在個人情報をハッキングされている」ということに
信憑性をもたせる手口です。
流出経路とその詳しい原因は不明ですが、何らかのデータ漏えいや
個人情報の窃盗などが原因であると考えられています。
詐欺メールに、被害者のパスワード等が記載されていても、
実際にハッキングされている可能性は低いと考えられます。
電子マネーを購入させて金銭を詐取する
カード型の電子マネーを購入させ、その番号を伝えさせる形で金銭をだまし取る手口が増加しています。
電子マネーカードの本来の使い方では、カードを送る側は暗証番号を知りません。
カードを受け取った人が、自分で番号を確認して入力するのが本来の使い方です。
相手「電子マネーカードを買ってきて、その番号を教えろ」と言われたら、詐欺を疑いましょう。
原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、
およびこの商流に関わる複数の組織群をサプライチェーンと呼びます。
組織が特定の業務を外部組織に委託している場合、この外部組織も
サプライチェーンの一環となります。
委託先組織がセキュリティ対策を適切に実施していないと、
そこを攻撃者に狙われ、被害が発生してしまいます。
攻撃者はサプライチェーン内のセキュリティ対策が不十分な組織、
箇所を的確に見抜き、攻撃の糸口に侵入しようとします。
そして、最終目的である標的への攻撃を試みることが指摘されています。
その手口は多様で、脆弱と考えられる子会社や委託先を突破口にし、
親会社や委託元を狙います。
その結果、製品やサービス、そしてその利用者である顧客にも被害が及ぶことがあります。
今や企業経営においては、サプライチェーン全体でセキュリティ対策を
実施することが求められています。
※参考:IPA 独立行政法人 情報処理推進機構
次回をお楽しみに!