こんにちは。
先端技術事業部 IoTソリューションセンターのオノナーツです。
最近のショックだったことは、がっつり勉強を済ませ合格確実まで鍛え上げ備えていたメンタルヘルス・マネジメント検定試験が、新型コロナウィルスの影響で中止となったことです。
若干 心の傷が拭い切れませんが、ここは無理やり気を取り直して、今日はIPAが提唱している “情報セキュリティ10大脅威” についてご紹介していきたいと思います。
IPA(独立行政法人 情報処理推進機構)が、直近1年間でのセキュリティ脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したもので、社会的に影響が大きかったと考えられる情報セキュリティにおける事案について考察したものです。
先週公開されたばかりの “情報セキュリティ10大脅威 2020” がこちらです。
データと本文を引用しています。
| 順位 | 昨年 順位 |
個人 |
|---|---|---|
| 1位 | NEW | スマホ決済の不正利用 |
| 2位 | 2位 | フィッシングによる個人情報の詐取 |
| 3位 | 1位 | クレジットカード情報の不正利用 |
| 4位 | 7位 | インターネットバンキングの不正利用 |
| 5位 | 4位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 |
| 6位 | 3位 | 不正アプリによるスマートフォン利用者への被害 |
| 7位 | 5位 | ネット上の誹謗・中傷・デマ |
| 8位 | 8位 | インターネット上のサービスへの不正ログイン |
| 9位 | 6位 | 偽警告によるインターネット詐欺 |
| 10位 | 12位 | インターネット上のサービスからの個人情報の窃取 |
| 順位 | 昨年 順位 |
組織 |
|---|---|---|
| 1位 | 1位 | 標的型攻撃による機密情報の窃取 |
| 2位 | 5位 | 内部不正による情報漏えい |
| 3位 | 2位 | ビジネスメール詐欺による金銭被害 |
| 4位 | 4位 | サプライチェーンの弱点を悪用した攻撃 |
| 5位 | 3位 | ランサムウェアによる被害 |
| 6位 | 16位 | 予期せぬIT基盤の障害に伴う業務停止 |
| 7位 | 10位 | 不注意による情報漏えい(規則は遵守) |
| 8位 | 7位 | インターネット上のサービスからの個人情報の窃取 |
| 9位 | 8位 | IoT機器の不正利用 |
| 10位 | 6位 | サービス妨害攻撃によるサービスの停止 |
近年のスマートフォンの普及に伴い、スマートフォンを利用した決済(スマホ決済)がキャッシュレス決済の手段として利用できるようになりました。
その後も類似のスマホ決済サービスは次々と登場し、それらの利用者が増加しています。
一方、利便性の反面、アカウントに不正アクセスされたことにより、第三者のなりすましによるサービスの不正利用も確認されています。
フィッシング詐欺は、金融機関、ショッピングサイト等の実在する有名企業を騙るメールを送信し、偽のウェブサイト(フィッシングサイト)へ誘導することにより、銀行口座情報、クレジットカード情報、ID、パスワード、氏名等の重要な情報を詐取する詐欺です。
詐取された情報を悪用されると金銭的な被害が発生することもあります。
キャッシュレス決済の普及に伴い、クレジットカードの利用機会が増えています。
さらに、スマートフォンを使った決済サービスも登場し、様々なデバイスからクレジットカードが利用されています。
一方、そのクレジットカードを狙ったフィッシング詐欺、ショッピングサイトの改ざんによる偽決済画面への誘導等により、クレジットカード情報が詐取され、攻撃者によって不正利用されるという被害が発生しています。
企業や民間団体そして官公庁等、特定の組織に対して、機密情報等を窃取することを目的とした標的型攻撃が発生しています。
2020年初頭には、複数の防衛関連企業が不正アクセスを受けていたという報道がありました。
組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや悪用等の、不正行為が発生しています。
また、組織の情報管理のルールを守らずに情報を持ち出し、さらにはそれを紛失し、情報漏えいにつながることもあります。
内部不正は、組織の社会的信用の失墜、損害賠償による経済的損失等により、組織に多大な損害を与えます。
ビジネスメール詐欺(Business E-mail Compromise:BEC)は、海外の取引先や自社の役員等になりすまし、巧妙に細工された偽の電子メールを企業の出納担当者に送り、攻撃者が用意した口座へ送金させる詐欺の手口です。
海外だけではなく日本国内でも高額な被害が確認されています。
初登場でトップにランクインされた「スマホ決済の不正利用」。
2019年はスマホ決済サービス元年ともいえる年で、多くの企業がスマホ決済市場に新規参入を行いました。
近年人気が増加傾向にあったキャッシュレス志向との相乗効果で、一大ムーブメントとなりましたが、一部企業にてシステム不備を原因とした不正利用の被害が広がり、多大な金銭的損害やサービス自体の停止が起こったことは記憶に新しいですね。
企業の対策としては、既存に運用していたサービスを安易に決済サービス対応としない、決済サービスを導入する場合は十分な推敲をもって、あらゆるシーンを想定した実装を行っていくことが重要です。
また、消費者の立場としても、対策をサービス企業任せにするだけではなく、新たなサービスを利用する際には、提供されているセキュリティ機能の利用と共に、不正利用されていないか決済情報や利用明細をしっかり確認することを怠らない姿勢をもつことが大切です。
また、「組織」への脅威として1位にランクインされた「標的型攻撃による機密情報の窃取」ですが、様々な手法の中でもメールでの攻撃が代表的です。
標的型攻撃に使われるメールは、似たような内容が繰り返し届くスパムメールとは異なり、一様にフィルタリングできるものではなく、本物のビジネスメールと見分けのつかない文面になっています。
受信者が まったく不審に思わないまま添付ファイルを開いたため、知らないうちにウイルスに感染することも多く、その後のウィルス拡散や情報漏えい、不正アクセスの許容といった被害に広がっていきます。
対策としては、セキュリティソフトを導入するのが基本ですが、ソフトウェアによる対策には限界がありますので、従業員に対し「標的型メール訓練サービス」を行い、個人の意識を高めていくことが大切です。
クレスコでも折に触れて標的型メール受信訓練を行っています。
リアルな文面でメールが届くので、私も毎度ひやっとしながら報告と排除を行っているのですが、この緊張感はとても有用だと感じています。
以上、駆け足になってしまいしましたが、”情報セキュリティ10大脅威”の引用と一般的な対処法のご紹介でした。
現在の情勢を正確に把握して、脅威への対策を練ることが大切ですね。
次回は、より具体的な対策手法をお調べして記事にしていければと考えています。
それではまた~
