情報処理推進機構(IPA)は2月6日、「情報セキュリティ10大脅威 2015」を発表した。これは、2014年に起きたインターネット関連の事件や事故の中から、影響の多い順に選んだもの。自分だけは被害に遭わないとか、大丈夫とか思っていても、思わぬタイミングで引っかかってしまうもの。どんな事件が起きているのかを知っておけば、いざという時に被害を回避できる可能性が高まる。まずは、悪意のある輩たちの手段をチェックしてみよう。 第1位は「オンラインバンキングやクレジットカード情報の不正利用」。やはり、現金を盗むことができるので、ネット銀行やクレジットカードは狙われる。IDやパスワードに加え、セキュリティコードなどは自分でしっかり管理すること。また、最も多いのが、偽装サイトを用意し、DMを送ってくるケース。残高のチェックやパスワードの変更など、もっともらしい理由を付けて、偽のサイトにログインさせてIDやパスワードを盗むのだ。偽装サイトを見破るには、URLをチェックしたり、暗号化通信を行っていることを示す鍵のアイコンを確認するという手法がある。しかし、最新のウイルスは高度な手法で、これらも偽装する。日ごろからセキュリティソフトをきちんと運用していることが重要だ。 第2位は、内部不正による情報漏えい。企業の経営者にとっては頭痛の種だが、ITの運用ポリシーをきちんと決めて、重要なデータを運用する必要がある。ユーザーは手軽にアクセスできて、お金になりそうなデータでも盗んだり売ったりしてはいけない。莫大な損害賠償請求や窃盗罪・横領罪・不正アクセス罪といった刑事責任を問われるなど、想像以上のリスクを負うことになる。 第3位は「標的型攻撃による諜報活動」。特定の組織を狙ってウイルスを仕込んだURLが書かれたメールを送信し、不正アクセスしようとするものだ。映画みたいな内容だが、2013年の調査では、約2割の企業がこの攻撃を受け、その3割が実被害に遭っている。 第4位は「ウェブサービスへの不正ログイン」。この対策は、本連載で何度も伝えているように、自分のアカウント情報はきちんと管理・運用すること。IDやパスワードの使い回しなど、もってのほかだ。 第5位の「ウェブサービスからの顧客情報の窃取」は、ユーザーとしての対応策はない。とはいえ、IDとパスワードを使い回していなければ、万一漏えいしても、他のサービスに不正アクセスされるようなことはないので、被害は抑えられる。 第6位「ハッカー集団によるサイバーテロ」や、第7位の「ウェブサイトの改ざん」は、個人が標的にされることはほとんどないので、企業のセキュリティ部門の問題。 第8位の「インターネット基盤技術の悪用」は広い意味で、他の項目すべてに当てはまってしまう内容。第8位にランクインする理由は不明だが、とにかく悪意のある輩たちは、よくも考えると感心するほど、網の目をくぐるのがうまい。例えば、DNSを偽装する最新技術は、第1位や第4位の詐欺サイトに利用されている。 第9位の「脆弱性公表に伴う攻撃の発生」はサーバーソフトなどの脆弱性を突いて、不正アクセスされてしまうこと。これは、ソフトのメーカーやセキュリティベンダーに頑張っていただきたいところ。 第10位の「悪意のあるスマートフォンアプリ」は、主にAndroidで広がっている野良アプリのこと。連絡先の情報を盗まれるなど、実害が出ることもある。セキュリティアプリを利用したり、アプリをインストールする際に権限をキチンと確認するといった対策が必要だ。もしくは、iPhoneを使えば、この手の心配は激減する。 以上が、脅威トップ10。個人ユーザーとしては、セキュリティソフトをきちんと使い、IDとパスワードを使い回しせず、わかりにくいパスワードを付けることが重要。これだけで、ほとんどの脅威は避けられる。次に、メールやメッセージで届いたURLをうかつに開かないこと。相手が本物かどうか確かめる癖をつけておくと安心だ。 (文=柳谷智宣) ■情報セキュリティ10大脅威 2015(http://www.ipa.go.jp/security/vuln/10threats2015.html) 第1位 オンラインバンキングやクレジットカード情報の不正利用 第2位 内部不正による情報漏えい 第3位 標的型攻撃による諜報活動 第4位 ウェブサービスへの不正ログイン 第5位 ウェブサービスからの顧客情報の窃取 第6位 ハッカー集団によるサイバーテロ 第7位 ウェブサイトの改ざん 第8位 インターネット基盤技術の悪用 第9位 脆弱性公表に伴う攻撃の発生 第10位 悪意のあるスマートフォンアプリ ■2014年版 情報セキュリティ10大脅威(https://www.ipa.go.jp/security/vuln/10threats2014.html) 第1位 標的型メールを用いた組織への スパイ・諜報活動 第2位 不正ログイン・不正利用 第3位 ウェブサイトの改ざん 第4位 ウェブサービスからのユーザー情報の漏えい 第5位 オンラインバンキングからの不正送金 第6位 悪意あるスマートフォンアプリ 第7位 SNSへの軽率な情報公開 第8位 紛失や設定不備による情報漏えい 第9位 ウイルスを使った詐欺・恐喝 第10位 サービス妨害
↧
彼を知り己を知れば百戦殆からず ネットを介する悪意のある攻撃トップ10はこれだ!
↧