オフィス・宮島は中高校生向けのパソコン指導及び学習支援、中小企業向けのITサポートおよびホームページ作成の代行をする会社です

情報セキュリティ十大脅威

• 情報処理推進機構(IPA)が、このほど個人および企業における情報セキュリティ十大脅威を発表しました。

• この表より、個人における最大の脅威はネットバンキングおよびクレジットカードの不正利用となっており、組織における最大の脅威は情報流出になっております。

個人における情報セキュリティ十大脅威

• 個人における情報セキュリティの十大脅威を見てゆきましょう。

第1位　ネットバンキングおよびクレジットカードの不正利用

• IPAによると、2014年下半期には一旦下火になったが、2015年上半期にはネットバンキングだけでなく信用金庫や信用組合といった、金融機関にまで対象が及ぶようになりました。
  これは、信用金庫や信用組合でもインターネットを経由して振り込みなどができるようになったためです。
  
  

第2位　標的型攻撃による個人情報流出

• 標的型攻撃とは、標的(ターゲット)のパソコンにメールなどでウィルスを送り込み、外部からターゲットのパソコンを遠隔操作して個人情報などの重要情報を抜き取るものです。
  
  

第3位　ランサムウェアを使った詐欺・恐喝

• ランサムウェア(Ransomeaware)というのは、画面に公的機関(FBIやICPOといった海外の捜査機関を名乗る)から「48時間以内に罰金を支払わないと刑事訴訟を行います」という内容の警告メッセージが表示され、パソコンや特定の拡張子のファイルをロックします。

• それを解除するためのキー(しかも使えないケースがほとんど)を買うよう恐喝し、代金を詐取しようとたくらむコンピュータウィルスです。現時点ではウィルス対策ソフトで駆除することができません。パソコンがロックされた場合は速やかに再インストールし、ファイルがロックされた場合は削除するしか手段がありません。

• 2014年に日本で初めてランサムウェアによる被害が確認されて以降、急増しています。
  
  

第4位　ウェブサービスからの個人情報の窃取

• ウェブサイトの脆弱性(ログインパスワードの変更を初期状態のまま行っていない、編集ツールのアップデートを行っていないなど)をついて、ウェブサーバに侵入し、ウェブサービスが所有している個人情報が抜き取られたり、病状など個人のプライバシーに関わる情報がさらされる…という被害が出ています。
  
  

第5位　ウェブサービスへの不正ログイン

• 第4位のウェブサービスからの個人情報の窃取と同じく、ウェブサイトの脆弱性をついてウェブサーバに侵入し、ログインアカウントやパスワードを抜き取ります。それを使ってAmazonなどの通販サイトで「本人」に成りすまして勝手にクレジットカードを使って買い物をしたり、ネットバンキングから預金を窃取したりすることが行われています。
  
  

第6位　ウェブサイトの改竄

• 第4位、第5位と同じくウェブサイトの脆弱性をついてウェブサーバに侵入し、勝手にホームページを書き換えてしまうというものです。さらにウェブサーバを見ただけでウィルスに感染するように書き換えて、閲覧者を通じてウィルスを拡散したり、感染させたパソコンから個人情報を抜き取ろうとしたりします。

第7位　審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ

• ウィルス対策がほとんど施されていないスマートフォン(スマホ)をウィルスから守るには、「公式サイトからアプリをダウンロード」するのが有効※でした。しかし、2015年、公式サイトに「悪意のあるアプリ」が紛れ込み、それをダウンロードしたスマホがウィルスに感染する…という被害が相次ぎました。

※iPhoneやiPadにダウンロードするアプリは、Appleで著作権などの厳しい審査を受けて合格しなければApp Storeに登録することができない

• マルウェアを仕込んだアプリが公式サイトに登録できたうえ、ダウンロード可能だったのかというと…それらはApple社のエンタープライズ証明書を持っていたためです。これがあると、どんなソフトでもApp Storeからダウンロードできてしまうのです。
  
  

第8位　内部不正による情報漏えい

• 企業などの組織に属する人間が、職務上与えられた権限を悪用・濫用して内部の機密情報にアクセスし抜き取ったり、資料などの作成をしているときにできた書き損じなどの「ゴミ」を持ち帰ったりして情報を抜き取られたりする被害が相次いで発生しています。
  
  

第9位　巧妙・悪質化するワンクリック請求

• 昔のワンクリック詐欺は「請求画面が表示」されるだけで済みましたが、最近のワンクリック詐欺は請求画面と同時にシャッター音が出たり、自動的に電話に発信できるように細工されております。それを利用して利用者の不安をあおり、お金を詐取しようとたくらんでいます。

• 「シャッター音が…」とありますが、これは最近のパソコンにはWebカメラが搭載されているため、カメラを通じて顔が分かるようになっております。それを悪用したものです。
  また、昔流行った「ワン切り」は「ひたすら無視」することで防ぐことができましたが、この2つを併用することで、「ちゃんと見ているぞ」という不安を相手に与えています。
  
  

第10位　対策情報の公開に伴い公知となる脆弱性の悪用増加

• 脆弱性の対策情報の公開は、「脆弱性の存在を公に知らせること」となるため、攻撃者にとっては「抜け道を堂々を教えてくれてありがとうございます」ということになります。IPAは2015年にFlash Playerの緊急対策情報を14件、注意喚起を8件行ったが、公開から数日以内に悪用が確認された事例がありました。

これらの脅威に対する対策は？

• ここに挙げた十大脅威に対し、私たちはどのように対処すればよいのでしょうか？

• ネットバンキングおよびクレジットカードの不正利用の対処法
  • ネットバンキングの不正利用を防ぐには、ネット口座に入金があり次第直ちに全額引き出し、「ネットにつながっていない」口座にすべて移しましょう。
    
    
  • クレジットカードの不正利用に対しては、Amazonなどのサービスを使用した後必ずクレジットカード情報を消去しましょう。

• ウェブサイトの脆弱性をついた攻撃による個人情報の流出の対処法
  • 個人でウェブサイトを運営している方および企業のサーバ管理者は、定期的にパスワードを変更したり、WAF(ウェブアプリケーションファイヤーウォール※)設定を有効にする必要があります。
    ※不正なアクセスをシャットアウトする機能

• スマホアプリのダウンロードについての対処法
  • スマホの利用者は「スマホはパソコンと違いウィルスに感染しない」と思い込んでいることが多いと思います。スマホもインターネットに接続しているということを忘れないでください。だからこそ、必ず有料のウィルス対策ソフトやキャリアが提供しているウィルス対策サービスを入れておきましょう。

• 内部不正による情報流出の対処法
  • これに関しては次に示す対処法が非常に効果的です。
    1. USBポートを「物理的」にふさぐ
    2. USBメモリや外付けハードディスクの持ち込みを禁止する
    3. BYOD(個人のパソコンを仕事場に持ち込んで仕事をする)を禁止する
    4. WinnyやShereといったファイル共有ソフト、フリーソフトの使用を禁止する
  • また、上司が権限を乱用してデータを見ようとする行為は、職権乱用およびパワハラにあたるので、それをもって処分するのも有効です。

• ワンクリック詐欺の対処法
  • 次のように対処してください。
    1. 無視する
    2. 電話などがかかってきた場合は電話番号を控え、ここでそれがどこからかかってきたのかを確認する
    3. 確認でき次第、警察に通報する
    4. その番号を迷惑番号登録し、着信拒否する
  • ここまで行っても、相手側がしつこく電話してくる場合は、電話番号を変更しましょう。

• 対策情報の公開に伴い公知となる脆弱性の悪用増加
  • これに関する対処法は、ウィンドウズやマックOS、リナックスおよびウィルス対策ソフトを常に最新版にアップデートしたうえで、定期的にウィルススキャンを行いましょう。