IPA、情報セキュリティ 10 大脅威 2019 発表


■IPA、情報セキュリティ 10 大脅威 2019 発表

ちょっと時間がたってしまっているが、

IPA が、

情報セキュリティ10大脅威 2019

を発表していたので、取り上げる。

個人に対する脅威の順位は以下の通り。

  1. クレジットカード情報の不正利用
  2. フィッシングによる個人情報等の詐取
  3. 不正アプリによるスマートフォン利用者への被害
  4. メール等を使った脅迫・詐欺の手口による金銭要求
  5. ネット上の誹謗・中傷・デマ
  6. 偽警告によるインターネット詐欺
  7. インターネットバンキングの不正利用
  8. インターネットサービスへの不正ログイン
  9. ランサムウェアによる被害
  10. IoT 機器の不適切な管理

中にはちょっとどうしようもないものもあるが、

個人として被害にあわないような対策や、

被害発生時に取るべき行動など、

個人的に考えられる対策を述べてみたいと思う。
*絶対的なものではなく、
*あくまで参考程度としてとらえて頂きたい



クレジットカード情報の不正利用

クレジットカード番号の流出はなかなか止まらない。

ちょっと調べただけでも、

NHK からの流出
チケットぴあからの流出
ヤマダ電機からの流出

など、登録したサイトからの流出は

枚挙にいとまがない状態。

他にも、

・フィッシングによって盗られる
・不正ログインされて盗られる
・不正アプリの利用により盗られる

など、様々な手法が存在している。

少し古い情報ではあるが、

クレジットカード番号が

取得される経路に関しては、

クレジットカード情報はどうやって盗まれるのか?

などにまとめられている。

個人として対応できるものは

やっておくべきだが、

登録したサイトがサイバー攻撃を受けて

盗られてしまった!などは

個人として対応のしようがない。

また、一度盗られてしまうと、

これを回収したり、

出回らないようにしたりするのは、

現実不可能となり、

個人レベルでできることは、

不正利用されないことを祈る

ぐらいだろう。

被害にあわないようにするには?

前述の通り、取得されること自体を

完全に防ぐことは、個人レベルでは不可能。

ただ、取得されにくくするためには、

・不用意にカード番号を登録しない
・サイトのログインパスワードを強固にする
・不正アプリを利用しない
・フィッシングに注意する

など、できる努力をしておくべきだと思う。

とはいえ、取得されてしまうことはある。

そういった場合に備え、最も有効なのは、

「常に利用明細・利用履歴をチェックする」

ということだと思う。

利用明細や利用履歴を頻繁にチェックしておけば、

不正利用されたとしても、すぐに発見できる。

不正利用と思しき内容が発見できれば、

カード会社に連絡し、調査してもらえる。

不正利用であることが確認できれば、

こちらは請求されることがなくなる、

もしくは不正利用分の払い戻しを受けられる。

これが最も有効な対応策だと思う。

私の場合、随分昔のことになるが、

二度ほど不正利用の被害にあったことがある。

いずれも海外での利用時だが、

一度目はどうもスキミングされたらしい。

帰国後、カード会社から電話がかかってきて、

「〇月×日に△△国のどこどこで

20 万のブランドバックを買ったか?」

と確認が入った。

非常に驚いて、買ってない!と伝えると、

恐らく不正利用なのでこちらキャンセルしておく、

と対応してもらえた。

このように、通常利用とはかけ離れた

高額利用など、カード会社側で不正を

見抜いてくれることはある。

一方、二度目の事例では、

お土産店で買い物をした結果、

二重請求されていたのだが、

明細を確認していて発覚。

カード会社に連絡したものの、

・正規請求であり、こちらでは対応できない
・調査するとなると 1 ヶ月以上かかる

といわれ、自分で請求元に連絡することとなった。

結果的に、請求元はまともな企業であったこと、

処理ミスを認めてキャンセルしいてくれたこと、

から、二重請求問題は解消できたが、

明細書を確認していなかったら、

普通に請求されて終わっていたと思う。

ということで、カードの不正利用に関しては、

やはり明細や利用履歴の確認が一番重要だと思われる。



フィッシングによる個人情報等の詐取

第二位には、

フィッシングによる被害

が上がっている。

フィッシングの語源は、

魚釣り。そのまんま。

ただ、通常の魚釣りと区別するため、

綴りは phishing となっている。

まぁ、被害者を一本釣りするわけだ。

その手法としては、仕事上の取引先や、

契約している銀行、登録している SNS サイトなど、

一件信頼がおけそうな相手を装って

被害者に URL 付きメールなどを送り付け、

不正サイトに誘導して、

ID、パスワードやクレジットカード番号、

暗証番号などを盗み取る、というもの。

その概要や被害事例については、

フィッシング詐欺まとめ | 被害・実例・対策

などにまとまっているので、

一度見ていただくのがよいだろう。

被害にあわないようにするには?

こちらは、標的型攻撃として、

攻撃側が特定の被害者を狙って

仕掛けてくることが多々ある。

このため、一度引っかかってしまうと、

ほぼ確実に被害にあってしまうことが

十分に想定される。

よって、被害にあわないようにするためには、

フィッシングに引っかからない

しかないだろう。

では、どうやったら引っかからずに済むのか。

これは結構難しい問題で、

意識を高めて、フィッシングかどうかを見抜く

というぐらいしかないと思う。

となると今度は、

どうやったら見抜けるのか、

が問題となる。

これに関しては、

1. 自分も対象となりえるという自覚を持つ
2. ちょっとでも怪しいと思ったら確認する
3. より多くの手口(事例)を知る

というぐらいしかないように思える。

これを実現するには、

先ほどのノートンのサイトだったり、

フィッシング対策協議会

などを確認し、手口を知っておくのが有効。

常日頃からこういった事例を収集しておき、

自分も対象となりうるという意識をもって、

ちょっとでも怪しいと思ったら確認する、

が重要だと思われる。



不正アプリによるスマートフォン利用者への被害

第三位は不正アプリによる被害。

これも多分なくならない脅威。

不正アプリの種類としては、

・正規人気アプリの偽物
・正規人気アプリの周辺アプリ
・消費電力を抑える!等パフォーマンス向上系
・出会い、アダルト系

などなど、利用者が思わず

使いたくなるようなものが多い。

こういうものは、利用者自身が使いたいと思って

ダウンロード、インストールするものなので、

なかなか抑止が難しいように思える。

被害にあわないようにするには?

こちらも、結局のところ、

・不正アプリかもしれない

と思えるかどうか、が重要。

不正アプリのリスクがある、

と思えさえすれば、

例えば以下のような対処法・確認法を実践できる。

不正アプリの予防策ともしも感染した場合に取るべき対処法

セキュリティアプリといっても、

結局後追いになってしまい、

最新の脅威には対応できないことが

ままあるので、

脅威を認識し、意識を高く持っておくことが

重要だ、と言わざるを得ないだろう。



メール等を使った脅迫・詐欺の手口による金銭要求

今回の Top 10 としては、

New!

ということで新たにランクインしているが、

昔からよくある手口ではある。

少し違う所は、

・ハッキングした!お前のことは知っているぞ!

など、恐怖心をあおる手段が少し進化したことだろう。

一般の人にとっては、

自分なりにセキュリティ対策をやっていたとしても、

それで十分かどうかなんてわからないだろうし、

ハッカーとか言われたら、

なんか自分がわからないすごい技術を使って

なんでもできてしまう人、

という風に思えてしまうだろう。

なので、ハッキングした、などと言われると、

えっ!?どうしよう!

と動揺するのは、致し方ない話だと思う。

しかも、

・アダルトサイトを見ている動画をとらえた!

とか、

・あなたのパスワードはこれです!

とか言われて心当りがあったら、

まぁ動揺することは間違いないだろう。

脅威としては昔からある話だが、

手口が巧妙化してきている。

根本的には、通常の詐欺と同じだが、

詐欺がなくならないのと同様に、

まぁ厄介な脅威である。

被害にあわないようにするには?

被害にあわないようにするためには、

結局のところ、

・詐欺と同じ対策

になると思う。

まぁ簡単にいうと、

・無視するのがよい

かと。

アダルトサイトを見ていたことがあるから、

ドキッとする、パスワードが当たってるから

ドキッとする、というのはあると思う。

が、詐欺師側にしてみれば、

いろんなメールアドレスに何千万通と

同じような文面を送信し、

一人、二人でも当たればもうかるのだ。

なので、標的型攻撃とは異なり、

本当にハッキングされて、

自分のことがばれて脅迫されているわけではない、

と考えて、まず間違いないだろう。

本当にハッキングされていたら、

そんな脅迫などせず、

バレないようにこっそり悪行を行うはず。

わざわざ脅迫してくる、ということは、

即ちだまそうとしている、ということで

間違いない。

ただ、パスワードがばれている可能性がある場合には、

即座にパスワードを変更したほうがよいだろう。

なお、フィッシングでも同様なのだが、

こういったメールを受け取った際には、

インターネット上における犯罪に関する情報提供

などに情報提供するとともに、

IPA の

情報セキュリティ安心相談窓口

に相談するとよいだろう。



ネット上の誹謗・中傷・デマ

これは難しい。

デマはまだ確認の使用もあるが、

誹謗・中傷は

個人でコントロールできない場合が大きい。

これも厄介な脅威。

被害にあわないようにするには?

デマに関しては、

・複数の情報源を確認する
・信頼のできる情報源を確認する

などでおおよそ防げると思う。

一方、誹謗中傷は防ぎようがない。

こちらは、先ほども記載したが、

都道府県警察本部のサイバー犯罪相談窓口等一覧

などを使って、警察に相談するのが一番だろう。

どこまで動いてくれるのか、という懸念はあるが…。



偽警告によるインターネット詐欺

これも確かに最近出だしている脅威。

ウィルス感染しているから、

急いでこのアプリを買え!

とか言って脅かすもの。

ただ、結局これも、第四位の

メール等を使った脅迫・詐欺の手口による金銭要求

と同じ。

落ち着いて、他の情報源を

当たったりするのがよかろうと思う。



インターネットバンキングの不正利用

これは結局、

・ID/パスワードが露呈した

ということに尽きる。

露呈の手段としては、

・他サイトから漏洩したパスワードの利用
・パスワードの推測

などがあげられる。

一旦ログインされてしまうと、

もう後はやりたい放題されてしまうので、

非常に注意が必要な脅威だといえる。

被害にあわないようにするには?

対応策としては、大きく分けて二つあると思う。

1 つめは、

そもそも不正利用されないようにする

ということ。

前述の通り、ID/パスワードが露呈すると、

もう何でもできてしまうため、

これを防ぐことが重要となる。

具体的には、

・二要素認証を使う
⇒ これは銀行側で対応してくれないとどうしようもないが、
昨今のネットバンキングでも、ハードウェアトークンなどは
発行されていることが多い。
これを利用しておけば、仮に ID/パスワードがわかっても、
ハードウェアトークンを持っていないとログインできない。

・パスワードの使いまわしをしない
⇒ 基本中の基本ではあるが、他サイトでも利用しているような
パスワードを使っていると、そのサイトから漏洩してしまって
インターネットバンキング用のパスワードも露呈することが
考えられる。よってこれは厳禁。

・簡単に推測可能なパスワードにしない
⇒ なるべく長いパスフレーズにするとか、
文字数制限がある場合は複雑なパスワードにする等、
そもそもパスワードが推測できなくするのも重要。

・パスワードを不用意に教えない、入力しない
⇒ フィッシングで抜き取る、不正アプリで抜き取る、
とかもあるので、上位脅威への対策も必要。

・パスワードを不用意に教えない、入力しない
⇒ フィッシングで抜き取る、不正アプリで抜き取る、
とかもあるので、上位脅威への対策も必要。

・PC、スマホを最新の状態に保つ
⇒ ウィルス感染等で情報を抜き取られないように、
こういった基本的対策も重要。

あたりかと思う。

二つ目は、それでもログインされてしまった場合の対応。

これも、クレジットカードの不正利用と同じく、

こまめに利用履歴をチェックする

ということが重要。

どこまで被害を回復できるかは不明だが、

被害が発生したときにいち早く気づく、

というのは、その後の対応も含めて

非常に重要。

発見したらすぐに銀行に連絡すべき。



インターネットサービスへの不正ログイン

7 位のバンキングだって

インターネットサービスじゃないか、

と思うのだが、まぁそれは置いとくとして、

結局これもインターネットバンキングの場合と同じ。

パスワードが何らかの形で露呈することが

主要因となっている。

ということで、対策としては第七位の

インターネットバンキングの不正利用

と同じになると思うので、省略。



ランサムウェアによる被害

これは結局ウィルス感染。

ただ、感染時の挙動が、

・利用している PC の暗号化等による利用不可能化
・利用可能にするための身代金要求

というだけの話。

とはいえ、

一時大流行した WannaCry の元となった

エクスプロイトである、

エターナルブルー

による攻撃試行はまだまだ続いている。

少し古いデータだが、

1年の時を経てもなお、「エターナルブルー」エクスプロイトは「ワナクリプター」勃発時以上に活動中

などもある。

ということで、依然として大きな脅威だろう。

被害にあわないようにするには?

これ自体は非常に簡単。

・不審なファイルは開かない
・パソコンやスマホは常に最新の状態を保つ
・ウィルス対策ソフトなどを導入し、最新の状態にする

個人レベルでできることは、

基本これ以外ないだろう。

あと、万が一感染したとしても、

慌てずに、情報を調査しよう。

場合によっては、復号用の鍵が既に

公開されている場合がある。

IPA の特設ページ

ランサムウェア対策特設ページ

などを確認するとよい。



IoT 機器の不適切な管理

企業のパソコンやサーバーに対する攻撃は

まだまだ継続して行われているが、

対策が進んできて、容易に侵入できない

サーバーなども増えてきている。

そんな中、次にターゲットとされているのが、

インターネットにつながる家電製品等の、

いわゆる IoT 機器。

開発用の telnet が残っていたり、

脆弱性のある状態だったりして、

攻撃者にとっては恰好の獲物となっている。

攻撃の目的は様々で、

監視カメラなどであれば、

単純にのぞき見目的で攻撃される。

攻撃者には、本当にのぞき見したい人もいるだろうが、

「こうすればのぞき見できますよ!」

「のぞき見されるといやでしょう?」

といって成果をアピールしたい

セキュリティ企業等もいる。

また、パソコンよりも性能は低いとはいえ、

Linux パソコンみたいなものだったりもするので、

これをたくさんのっとって、

DDoS 攻撃を仕掛けるボットネット化したり、

仮想通貨のマイニングに利用したりもされる。

ということで、数年前からホットな

攻撃対象となっているため、

気を付けなければならない脅威だ。

特に、ルーターやカメラ系などが狙われやすいが、

これに限った話でもないので、やっかい。

被害にあわないようにするには?

こちらも基本的には、

・ファームウェアを最新版にする
・パッチが出たらすぐに当てる

というのが根本対策になるだろう。

しかしながら、古いものだったりすると、

企業側がパッチや新しいファームウェアを

提供しない、またはできない場合も多々存在する。

そんな時には、

・FireWall などで通信先を限定する

など、ネットワーク側での対応が必要になる。

とはいえ、これもパソコンの脆弱性と同じで、

基本的には常に最新版にアップデートする

というのが一番有効な対策だと思われる。



まとめ

ということで、超長くなってしまったが、

IPA 提供の、

情報セキュリティ 10 大脅威 2019

について、

各脅威と基本的な対策や対応策を書いてみた。

いずれの脅威に関しても、

私たち自身がセキュリティに高い意識を持ち、

自分たちでできることをしっかりやっておくことが、

被害を受けない・軽減する上で非常に重要となる。

なのでこれからもアンテナを張って

いろんな情報を集めて把握しておきたいと思うし、

本サイトでもなるべく発信していこうと思う。

また、不幸にも被害にあってしまった場合、

またはそこまでいかずとも不安に思う事態が

発生した場合には、

IPA の

情報セキュリティ安心相談窓口

や、

都道府県警察本部のサイバー犯罪相談窓口等一覧

などに相談されることをお勧めする。

こんな脅威を感じずに済む世の中であるのが

一番だが、形は違えどどんな時代でも

人を騙して儲けようという人間はいるもの。

被害にあわないためにも、

自分でできることは可能な限りやっておくのが

やっぱり重要だと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ タグ: , パーマリンク