近年、頻繁に話題に挙がる情報セキュリティの問題。2017年に世界中をパニックに陥れたランサムウェアの「WannaCry」など、情報の搾取だけではなく直接的に金銭を狙ったサイバー攻撃も増え、中小企業や個人の関心も高まっています。
多様化するサイバー攻撃の中でも、特に注意するべき要因である「情報セキュリティ10大脅威」が、毎年発表されています。
今回の記事では、今年(2018年)の10大脅威は何なのか?どんな新しい脅威が出てきているのかを説明します。この記事を読んで、情報セキュリティに関する知識を深めましょう。
情報セキュリティ10大脅威とは?
サイバー攻撃が多様化する中で、特に気をつけるべき脅威として挙げられるのが「情報セキュリティ10大脅威」です。
行政の立場から、情報セキュリティ対策の強化を推進している独立行政法人情報処理推進機構(通称:IPA)は、毎年情報セキュリティの「10大脅威」を発表しています。
「10大脅威」とは、前年に社会的影響が大きかった情報セキュリティの脅威について、識者を集め、「個人」向け脅威と「組織」向け脅威、それぞれに分けて順位付けしたものです。
出典:独立行政法人情報処理推進機構、情報セキュリティ10大脅威2018
https://www.ipa.go.jp/security/vuln/10threats2018.html
個人向け10大脅威
ここでは、2018年の情報セキュリティ10大脅威の中から、個人向けの悪意のあるサイバー攻撃の内容とその手口をいくつか見ていきましょう。
・1位 インターネットバンキングやクレジットカード情報等の不正利用
インターネットバンキングやクレジットカードのログイン情報を盗み取り、不正利用します。最近では、仮想通貨を狙った手口が増加してきています。
<手口>
・メールの添付ファイルや悪意のあるウェブサイトを通してマルウェアに感染させる
・金融機関などを装ったメールで偽のログイン画面に個人情報を入力させる(フィッシング詐欺)
・2位 ランサムウェアによる被害
画面ロックやデータの暗号化によって、パソコンや携帯電話の情報を人質にして、金銭を要求してきます。支払わなければ大切なデータが失われます。しかも、金銭を支払ったとしてもデータが復元される保証はありません。
<手口>
・メールの添付ファイルや悪意のあるウェブサイトを通して感染させる
・OSの脆弱性を悪用して感染させる
・ランサムウェアの機能を持つアプリをダウンロードさせる
・4位 スマートフォンやスマートフォンアプリを狙った攻撃
スマートフォンの公式アプリストアにも、不正なアプリが公開されている可能性があります。それらの多くは、人気のアプリに偽装しています。間違ってダウンロードしてしまうと、スマートフォンの中の連絡先、個人情報、ログイン情報、写真などを盗まれてしまいます。
<手口>
・公式アプリストアに、情報を盗む機能を持ったアプリを公開してダウンロードさせる
・人気のアプリの偽アプリを誤ってダウンロードさせる
・Wi-FiやBluetoothの脆弱性を使ってスマートフォンから情報を窃取
・5位 ウェブサービスへの不正ログイン
不正に入手した認証データを利用して、各種ウェブサービスへログイン。アカウントの乗っ取りや、金銭面での被害につながります。
<手口>
・パスワードを個人情報などから推測して不正ログイン
・ほかのウェブサイトから流出したログイン情報を活用して不正ログイン
・6位 ウェブサービスからの個人情報の窃取
個人の端末から情報を抜き取るのではなく、ウェブサービス自体を攻撃して利用者の個人情報を盗むサイバー攻撃です。クレジットカード情報を不正利用されたり、詐欺メールに悪用されたりします。
<手口>
・ソフトウェアの脆弱性を悪用した攻撃
・8位 ワンクリック請求等の不当請求
パソコンやスマートフォンでインターネット閲覧中に、請求画面が表示され、料金を支払うよう不当に請求してきます。特にアダルトサイトに関する請求が多いようです。
<手口>
・ウェブサイト閲覧中に請求画面を表示
・メールで不当な請求画面のURLを送付
・10位 偽警告によるインターネット詐欺
パソコンやスマートフォンを利用中に、ウイルス感染などの偽警告を表示することで、利用者の不安を煽り、悪意のあるアプリやソフトをインストールさせたり、金銭や個人情報をだまし取ります。
<手口>
・「ウイルスに感染している」などの偽警告を表示して利用者をコントロールする
組織向け10大脅威
次に組織に向けた悪意のあるサイバー攻撃の内容とその手口をいくつか説明します。また、ここでは個人向け10大脅威と重複する項目は省略しています。
・1位 標的型攻撃による被害
特定の組織や団体を狙ったサイバー攻撃です。個人情報を多く扱っている民間企業や官公庁などだけでなく、あらゆる組織・団体が狙われる可能性があります。
<手口>
・メール添付ファイルを使ったウイルス感染
・不正なWebサイトに誘導してウイルス感染
・サーバーの脆弱性をついて直接攻撃
・3位 ビジネスメール詐欺による被害
取引先になりすまして偽の請求書を発行し、金銭をだまし取ります。その前段階として、振込先口座の変更通知が届くこともあります。
<手口>
・類似メールドメインを利用して請求書を送付
・メールアカウントを乗っ取って請求書を送付
・4位 脆弱性対策情報の公開に伴う悪用増加
ソフトウェアに脆弱性が見つかった場合、ソフトウェアメーカーなどが情報と対策方法を公開しますが、対策が講じられるまでの間に脆弱性情報を悪用したサイバー攻撃を大規模に仕掛けてきます。百万件以上のWebサイトが改ざんされる被害も。
<手口>
・公開された脆弱性情報をもとに攻撃コードを作成
・対応が遅いWebサイトを狙って世界中に総当たりで攻撃を仕掛ける
・7位 IoT機器の脆弱性の顕在化
近年では、IoT機器の脆弱性を悪用して、DDoS攻撃の踏み台にされたり、IoT機器自体が乗っ取られ個人情報を盗まれる事件が起きています。
<手口>
・IoT機器の脆弱性を悪用しウイルス感染させる
・IoT機器を踏み台にしたDDoS攻撃によるインターネットサービス妨害
・8位 内部不正による情報漏えい
従業員や、元従業員が悪意を持って企業内部の情報を盗み出したり、悪意がなくても社外に情報を持ち出した際に紛失するケースです。
<手口>
・元従業員が、以前使っていたアカウント情報を利用して情報を不正に取得する
・USBメモリやノートパソコンなどで情報を持ち出し紛失する
・9位 サービス妨害攻撃によるサービスの停止
ウェブサイトやサーバーに対して、一度に大量のアクセスを行うことで高負荷状態にして、サービスが利用できないようにするサイバー攻撃です。
<手口>
・乗っ取ったIT機器をボット化して攻撃
・DDoS攻撃代行サービスも存在(不法サービス)
日本で起きている情報漏えい事故の数と被害規模は?
ここまで、情報セキュリティの10大脅威について説明してきました。では、情報セキュリティの事故の中でも重大な問題である情報漏えい事故は、日本ではどのくらいの頻度で発生しているのでしょうか?
◆頻度
2017年の日本国内企業の情報漏えい事故は386件でした。
(2017年 情報セキュリティインシデントに関する調査報告書 速報版より)
◆被害規模
事故1件につき、平均31,453名の個人情報が漏えい。平均損害賠償金額も、6億2,811万円と予想されています。
情報漏えい事故を防ぐには教育が必要不可決
IPAの報告によれば、個人情報漏えいの60%以上が、「管理ミス34.0%」「誤操作15.8%」「紛失・置き忘れ13.0%」などの“人為的なミス”によるものです。
その人為的なミスを減らすように、個人の情報リテラシーを高めることで、情報セキュリティに関する事故の抑止につながります。そのためには、今後、情報セキュリティに関する教育が重要になってくるでしょう。皆さんもぜひ今回の記事を参考に、自身や会社の情報セキュリティについて見直してみてはいかがでしょうか。