shimiminの日記

IT系のメモ書きです。

情報セキュリティ10大脅威2019の解説を、ギュッと要約してみる

セキュリティ

 先日IPAさんから発表された情報セキュリティ10大脅威の、解説が公開されました。公開もとはこちら。

www.ipa.go.jp

 本日は、70ページからなるこの解説資料を材料に話を進めます。

資料の構成

 70ページというと長いように見えますが、10大脅威(個人、組織)それぞれ、1件あたり2ページずつで簡潔に解説されているものなので、さっと目を通すだけでも傾向がわかります。構成は次のようになっていますが、順次要約していきましょう。

  1. 概要(+コラム) 7ページ
  2. 個人の脅威 20ページ(2ページx10件)+コラム1ページ
  3. 組織の脅威 20ページ(同)+コラム1ページ
  4. AIとオリパラ 2ページx2

概要の概要

  前半は昨年との違いについて書いてあります。まずは10大脅威の傾向をチェック。

  • 個人向け脅威は、金銭目的が多い。クレジットカード、メール詐欺、偽の警告など。
  • 組織向け脅威は、外部犯行だけでなく内部犯行にも注意

 また、資料を読む上での注意が3点、書いてあります。

  • 脅威の順位ではなく、自分のおかれた環境を考慮して優先順位を考える
  • ランク外でも重要なものがあるので、バックナンバーも読んでほしい
  • 基本的な対策が重要(ソフトウェアの更新、セキュリティソフトの利用、パスワードの管理・強化、システム設定のチェック、手口を学ぶこと)

個人の脅威

 一位から順にみていきます。

  1. クレジットカードの不正利用 : 主な手口はウイルス感染とフィッシング。代表的な被害は、偽の旅行代理店(不正トラベル)や、PayPay悪用。対策は、信頼できるサービスを使うこと、怪しいポップアップ画面に重要な情報を入力しない、など。個人的には、安すぎるものには警戒したほうが良いと思う。
  2. フィッシングによる個人情報搾取 : その名の通り、フィッシング。有名な会社を騙って、偽サイトに誘導し、IDやパスワードを窃取Amazonを騙るものも。「今すぐ更新」などのボタンは、クリックする前にどこに飛ぶのか、URLをチェックすべし。大学のメール管理者を騙り、学生を狙う例も。よくわからないリンクはクリックしない、を徹底。
  3. 不正アプリのインストール : 有名な会社を騙って、ダウンロードサイトに誘導したり、公式アプリストアに不正アプリを紛れ込ませたり。不正アプリをインストールすると、スマホの情報を抜かれてしまう。対策は、アプリの評価や開発者をよく見て、怪しそうなアプリはインストールしない、「提供元不明のアプリのインストール」を許可しない、など。
  4. メールなどによる脅迫・詐欺 : 主な手口は金銭の脅迫。アダルト関係が多い。メールのパスワードを記載してハッキングしたぞ、とか、電話をかけてきたら「裁判するぞ」とか言って脅す。対策は、脅迫メールを無視すること。実際に被害を受けてしまったら、警察に相談。2月のOUCH!にも載ってましたね。
  5. ネット上の誹謗・中傷・デマ : モラル、リテラシーの教育、一次情報に当たる癖をつける、被害を受けたら公的機関に相談する、など。嫌な世の中になりました。
  6. 偽警告によるインターネット詐欺 : 「ウイルスに感染しています」とかのポップアップを出して警告。偽のセキュリティソフトをインストールさせたり、サポート契約へ誘導し、代金を要求。基本的には、変なポップアップが出たら、あやしいサイトだと判断してブラウザを閉じるのが良いでしょう。
  7. インターネットバンキングの不正利用 : こちらも手口はウイルス感染とフィッシング。偽のメール請求書など。メール添付のPDFやWordにウイルスが仕込まれている場合がある(PDF内のURLからサイトにジャンプしてファイルをダウンロードしたり、Wordマクロが走ったり)。どんなに重要そうなタイトルであっても、知らないファイルを開かないリンクをクリックする前に確認する、を徹底。
  8. インターネットサービスへの不正ログイン : IDとパスワードが盗まれて不正ログインされ、なりすましやSNSスパムに使われてしまう。複数のサービスで同じIDとパスワードを使いまわしている、推測されやすいパスワードを使っていると危険。パスワード管理ソフトを使う、使いまわしをしない、フィッシングに注意する、など地道な対策が必要です。
  9. ランサムウェアによる被害 : ご存知、「あなたのファイルは暗号化された。もとに戻してほしければ金を払え」的なウイルス。PCだけでなくスマホもやられる。手口はメールからの感染(添付ファイル、本文中リンク)、ウェブサイトからの感染。バックアップを取ることも対策の一つ。
  10. IoT機器の不適切な管理 : 初期設定のままのIoT機器(主に監視カメラが多い)に不正ログインして乗っ取り。盗撮や、bot化の被害を受ける。最近総務省がNOTICEという調査を始めたのも、これを防ぐためですね。対策は、パスワードを工場出荷の初期値から変更すること。

www.soumu.go.jp

 

組織の脅威

 次は組織の脅威です。こちらも、1位から順にみていきましょう。

  1. 標的型攻撃による被害 : 本当っぽいウソのメールに添付されたファイル、仕込まれたリンク水飲み場攻撃(よく閲覧されるウェブサイトの改竄)、そして不正アクセスが主な手段です。組織の重要情報を狙う産業スパイが主役。対応はリテラシー向上ということになりますが、普段から訓練するなど、怪しいメールやリンクを見抜く眼力を鍛える必要があります。でもこれが難しい...
  2. ビジネスメール詐欺 : 取引先とのメールの間に入って、中間者攻撃をし、偽の請求書や偽の振込先を駆使して取引を横取り。経営者に成りすまして「緊急に資金が必要なので振り込んでくれ」というパターンも。事前にメールアカウントなどが乗っ取られ、準備されている場合も。直接的な対策は、オレオレ詐欺と一緒で、本人に確認する、メール以外の方法で事実を確認する、「急げ」と言われた時こそ、しっかり調べて対応する、などです。これも、巧妙に仕掛けられた罠をいかに見破るか。日ごろから従業員教育や訓練を実施するのがポイント。
  3. ランサムウェア : これは個人の脅威と一緒ですね。怪しい添付ファイル、リンク、アプリ、怪しいサイトなどが感染源。バックアップをきちんととることも重要です。
  4. サプライチェーンの弱点 : 今年新しく脚光を浴びたもの。自分の会社だけ守っても、業務を委託しているような場合は、委託先もしっかり守らないとやられるという話。委託先がほかの会社に再委託、ということもあります。業務委託の契約には、「情報セキュリティ対策」についても明確にし、責任範囲を明らかにしておく必要があるとのこと。経営者を対象にした「サイバーセキュリティ経営ガイドライン」も、改めて確認しておきましょう。

    www.meti.go.jp

  5. 内部不正 : USBや電子メールで持ち出す、退職する前のアカウントを悪用する、など。必要以上に強い権限を持っていたりすると、欲に目がくらむことがあるようです。対策は、内部けん制、異動や離職に伴う権限の棚卸、操作履歴の監視、早期検知。クレッシーの「不正の三要素」を潰しましょう。MOMとも略され、動機(Motivation)、機会(Opportunity)、手段(Measure)の三つです。こちらの記事も参考になります。

    www.itmedia.co.jp

  6. DDoS攻撃 : 言わずと知れたサービス妨害。迷惑な話ですが、ボットネット、リフレクター、DNSフラッド、そして、これらを安く請け負う代行サービスなどが脅威となります。ロシアの悪い人に頼むと1時間2ドルとか、1日60ドルとかで請け負ってくれるそうですが...せめて自分が踏み台にならないように、セキュリティパッチなど頻繁にあてましょう。
  7. インターネットサービスからの個人情報窃取 : SQLインジェクションとか、Webサービスの不備によるものや、各種の脆弱性(OpenSSLとか)が悪用されるもの。セキュアプログラミングのスキルアップ、WAFやIPSの導入などが対策とのことです。
  8. IoT機器の脆弱性 : IoT機器へのウイルス感染は、監視カメラがボットになるとか、無線ルーターDNS設定を不正に書き換えて怪しいサイトへ誘導するなどの被害例があります。最近はSHODANにビルオートメーションのカテゴリができているとかで、脅威は広がっているようです。
  9. 脆弱性対策情報の悪用 : 脆弱性が発見され公表されると、すぐに悪用しようとする輩がいます。近年では、Apache Struts2Drupal など、有名なソフトウェアで発見された脆弱性が悪用されるまでに数日しかかからないとのことで、時間の競争になっています。対策情報を毎日チェックして、すぐに対応するチームが必要ですが...
  10. 不注意による情報漏洩 : メールの誤送信や、PC、USBメモリの紛失など。PDFの黒塗りが簡単に外れる、という事例もあるようです。リテラシーの向上だけでなく、携帯端末の紛失や盗難にどう対処するか?という点も問われます。

 個人と比べて組織に対する脅威は、どちらかというと被害額もインパクトも大きいものが選ばれているようです。わかっちゃいるけど、できてない...という組織も多いと思いますが、教育は地道に、気長に、何度でもという感じでしょうか。

AIとオリパラ

 最後に、AIを用いた攻撃と、AIを用いた対策のAI対決について書かれています。チャットボットによる詐欺とか、AIに対するジャミングも攻撃として考えられるとのこと。

 また、オリパラに向けて気を付けたいものとして DDoS攻撃、偽ウェブサイト(チケット販売詐欺、フィッシング)、詐欺メール(チケット、ホテル、関連商品販売)のほか、重要インフラ、メディアプレスセンターへの攻撃、フェイクニュース・デマなどが脅威として挙げられています。

まとめ

 というわけで、70ページあるPDFをギュッと圧縮してみました。様々な攻撃が日々行われていますが、対策は「パッチあて」「セキュリティリテラシーの向上」など地味なものが多いです。でも、油断するとやられてしまうわけですから、訓練を繰り返すなどして備えておく必要がありますね。