情報セキュリティ10大脅威の2021年版がIPAのページで公開されています。
いい機会なので、1位から10位までを眺めて、攻撃手口や対策を並べてみます。
情報セキュリティ10大脅威 2021とは?
情報セキュリティのトピックとして、前年に発生した事案からIPAが選出した脅威候補のことです。
その年のセキュリティ対策方針を考えるうえで重要なインプットとなるものです。
以下、IPAのサイトに記載されている紹介文。
「情報セキュリティ10大脅威 2021」は、2020年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
https://www.ipa.go.jp/security/vuln/10threats2021.html
IPAでは、2006年から毎年実施しています。
すでに15年以上がたっているので、全部をふりかえるとすごい数になります。
この10大脅威は、脅威に対する立場や場面がそれぞれ異なるので、
「個人」と「組織」に分かれて掲載されています。
本稿では、「個人」について。
2021年10大脅威について眺める
1位から10位までをざっくりと。
1位:スマホ決済の不正利用
スマホの普及によって、キャッシュレス決済にスマホが多く使われるようになりました。
これは2020年からの動きではないですが、コロナ禍において現金を避けることがあったり、
各サービス提供会社がこぞってポイント還元などのキャンペーンを行ったことで、急速に広がりを見せました。公共料金なんかも払えて便利ですよね。
しかし、利便性が高まる一方で、実際に被害も発生しています。
攻撃手口
- パスワードリスト攻撃による不正ログイン
→過去に漏洩したパスワードなどをもとにした不正アクセス - サービス上の不備を利用した攻撃
→決済システムの脆弱性や、連携先システムの脆弱性、不備を利用される可能性がある
事例
開始4日で停止した7Pay
セブン&アイのサービスとして注目を集めましたが、結果的に不正利用が発覚して早期にサービス終了に。
PayPayで他人の口座から不正に引き出し
PayPayのアカウントと他人の口座番号などの情報と紐づけて不正に入金。
LinePayでゆうちょから不正引き出し
口座振替サービスの利用時における認証情報の不足によって、不正引き出し。
対策
- 予防
- 複雑で長いパスワードの利用
- パスワードの使いまわしをしない
- 認証に不備がある銀行口座と連携しない(二要素認証を必須にするなど)
- パスワード窃取に注意する(不審なWebサイトに安易に認証情報を入力しないなど)
- 早期検知
- 利用履歴の確認
- 銀行口座の出金履歴確認
2位:フィッシングによる個人情報の詐取
実在する公的機関や有名企業を騙ったメールなどを送信して、フィッシングサイト(偽のサイト)へ誘導することをフィッシングと呼称します。
偽のサイトに誘導したうえで、認証情報などを入力させる手口ですね。
1位のスマホ決済に限らず、ECサイトなどの利用が一般化し、ネット上で買い物をするユーザが増え、
お金にまつわる認証情報を入力する機会も増えました。
結果的に公式ページと勘違いしてフィッシングサイトにアクセスしてしまうケールも増えているということでしょうか。
攻撃手口
- 有名企業を騙ったメールのバラマキ
→メールをばらまいて、フィッシングサイトに誘導する。 - 検索エンジンの検索結果に偽の広告を表示
→Googleなど、検索エンジンの検索結果に表示される広告の仕組みを使ってフィッシングサイトに誘導する。
事例
Googleアカウントを狙ったフィッシング
Google Docsを装ったサイトを構築し、Docs上にある文書を確認するように促す。
入力してしまうと、Googleアカウントの認証情報を詐取されるので、多くのサービスに影響があると思われます。
偽のページはGoogleのサーバ上にホストされており、SSLを介しているなど、ぱっと見本物のように見えるという凝りようです。(参考)
特別定額給付金を騙ったフィッシングサイト
コロナ禍で特別定額給付金が給付されることがありましたが、給付に関するサイトを作成し、
メールで偽のサイトをばらまくという事案がありました。
ニュースなどで連日取り上げられるトピックについて、政府からのメール(に見える)が送られてきたら勘違いする可能性は高そうですね。
対策
- 予防
- 二要素認証の利用
- メールなどのURLを安易にクリックしない。(SNSなども同様)
- 早期検知
- Webサイトのログイン履歴確認
- クレジットカードやネットバンクの利用明細確認
- 身に覚えのない履歴がないか。
3位:ネット上の誹謗・中傷・デマ
ネットの匿名性を笠に着て、特定の個人に対して誹謗・中傷することですね。
情報モラル、リテラシーの欠如や、ネット上の情報を安易に信じてしまうことが原因の一要素。
色々議論されたりもしますが、完全になくすのは難しいでしょうね。。
事例
テラスハウス
テラスハウスに出演されていた方が、ネット上の中傷がきっかけで自殺してしまった件です。
Twitterなどでコメントを載せていた方が逮捕されるなどの事態に及びました。
新型コロナ感染という虚偽の書き込み
コロナ感染とネット上に虚偽の記載を行って、業務妨害をしたという件です。
噂などをもとに、あまり考えずに書き込んでしまうことで結果的に業務妨害になるということもあったようです。
対策
- 情報モラルやリテラシーの向上
- 家庭や教育機関での教育活動
- 特に身近な事例で伝えること
- みんなが発信者・閲覧者になりうる(加害者・被害者になりうる)ことを意識する
4位:メールやSMS等を使った脅迫・詐欺の手口による金銭要求
4位と5位は攻撃手口と対策について簡単に。
攻撃手口
- メール等で脅しや騙しの内容を送り付けて金銭を要求する。
→ハッキングしたように見せかけたり、メールや電話の併用したりすることで、脅しの信ぴょう性を高めたりします。 - 周囲に相談しにくいセクストーション(性的脅迫)
対策
- 予防
- 受信した脅迫・詐欺メールを無視。
- メールに記載されている電話番号には電話しない
- パスワードを使いまわさない
5位:クレジットカード情報の不正利用
攻撃手口
- フィッシング詐欺による情報詐取
→2位の手口と同様です。 - 正規の決済画面を改ざんして情報窃取
→正規のサイト上で偽画面が現れるため、気づきにくいことが多いです。 - メールを利用したウイルス感染
対策
- 予防
- パスワードの使いまわしをしない
- メールや閲覧ウェブサイトの十分な確認
- クレジットカード情報を安易にWebサイトに保存しない
- 早期検知
- クレジットカードの利用明細確認
- サービス利用状況の通知機能の利用
6~10位
疲れてしまったので、ここからは順位の紹介のみ。。
6位:インターネットバンキングの不正利用
7位:インターネット上のサービスからの個人情報の窃取
8位:偽警告によるインターネット詐欺
9位:不正アプリによるスマートフォン利用者への被害
10位:インターネット上のサービスへの不正ログイン
まとめ
スマホ決済やネットバンキングなど、お金に関する情報をネット上で取り扱うことが増えたことで、
お店での支払いが簡単になったり、家でいろいろな手続きができるようになったりなど、
利便性が増えた一方で、月並みですが認証情報管理の重要性や、漏洩のリスクが高まっています。
結局はパスワードや個人情報を流出させないようにすることが重要であり、
対策の多くは、パスワード管理やフィッシングサイトに引っかからないようにしよう、といった
個人の情報リテラシーにかかわるところが多分にありました。
サービス利用者として必要なのは、
- パスワード管理方法の見直し
- 複雑で長いパスワードを利用する
- 安易に送られてきたURLにアクセスしない
- 十分な対策をとっていないサービスは利用しない(多要素認証のないネットバンクなど)
などのような対策を取っていく必要があり、
これらを徹底していれば予防になり、被害にあっても最小限に収めることができるんじゃないかと思います。
コメント