IPA が「情報セキュリティ10大脅威 2020」を公開!今年注目の脅威はどれ?
こんにちは!
しなもんです。
さて、年に1度のサイバーセキュリティ月間が 2/1 に始まりました!
www.nisc.go.jp2/1 (土) ~ 3/18 (水) の間、内閣サイバーセキュリティセンター (NISC) が音頭を取って、イベントをはじめ様々な企画がなされます。
また、いくつかの組織では、期間中コラムなどを連載するそうです。
NISC (毎週)
マイクロソフト社 (毎週)
立場は違っても、サイバーセキュリティはプロから一般の方まで誰もが関わり、守っていくものです。
この機会にもう一度セキュリティについて考えてみませんか?
- 10大脅威 2020
- 脅威って何?
- 第 1 位:スマホ決済の不正利用
- 第 2 位:フィッシングによる個人情報の詐取
- 第 3 位:クレジットカード情報の不正利用
- 第 4 位以下の脅威
- まとめ:敵の手口を知って備えよう!
10大脅威 2020
前置きが長くなりましたがここから本題です。^^;
独立行政法人情報処理推進機構 (以下、IPA) が「情報セキュリティ10大脅威 2020」を公開しました。
本日はこれの紹介をします!
「情報セキュリティ10大脅威 2020」は、2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
つまり「2020」と名前がついていますが、どちらかというと昨年に起きたインシデント (事案) の総括的な意味合いが強いものです。
ただ、個別具体的な「〇〇の事件」を挙げるのではなく、2019年に起きた様々なインシデントをその原因である「脅威」に落とし込んで、それらの中での順位を決めるのが特徴です。
個人向けと組織向けの2つのランキングがあるのですが (個人と組織では扱う情報、機器、規模、悪い人から見た値打ち、いろいろ違って同列に語れませんから)、しなもんぶろぐは一般の方を想定していますので、ここでは個人向けランキングだけを扱います。
脅威って何?
さて、これまで何度も脅威と言ってきましたが、脅威っていったい何でしょうか。
まあ、何となくコワイものと考えていても間違いではないのですが。
「情報技術−セキュリティ技術−情報セキュリティ マネジメントシステム−用語」*1という長い名前の文書には、こう定義されています。
システム又は組織(3.50)に損害を与える可能性がある,望ましくないインシデントの潜在的な原因。
これは組織向けの文書なので、個人の方の場合には少し読み替えが必要です。
まず、システムというのは、大きくとらえれば資産のことです。
ここでいう資産とは、お金のほか、プライバシーや安全、「情報機器がいつも通り使えること」などいろいろな価値、守りたいものといっても構いません。
そして、組織の代わりになるのは皆さん一人ひとりですね。
まとめると、「皆さん自身やその大切な何かに害を与えるかもしれない要因、原因」ということになります。
脅威は必ずしも悪意のある人間とは限りません。
自然災害や野生動物だって脅威になることはあります。
ただ、「10大脅威」では特に情報のセキュリティについて考えていますので、脅威として挙げられているのは皆さんの情報や金銭を狙う悪意の人間の手口になっています。
ちなみに脅威は害を与える (かもしれない) 外的な要因ですが、その脅威にやられてしまう (かもしれない) 原因となる内的な要素、弱点のことを、「脆弱性」(ぜいじゃくせい) といいます。
前回の記事では脆弱性を「セキュリティの問題につながるソフトウェアなどのバグ」と説明しました。
これは情報セキュリティ分野に特化したやや狭い定義で、上のように広くとらえることもできるのです。
第 1 位:スマホ決済の不正利用
さて、それではいよいよランキングを見ていきます。
堂々の第 1 位は「スマホ決済の不正利用」です。
初登場で堂々の第 1 位、やっぱり来たか!という感じですね!!
スマホ決済、中でも QR コード決済は政府の後押しもあり昨年急速に普及しました。
しなもんは使ったことがないのですが*2、知人には活用している人が何人もいます。
一方で、QR コード決済をめぐって、大きなセキュリティインシデントも発生してしまいました。
7月~ 9月に発生した「7Pay」の不正アクセス事件は、小売大手セブン&アイが提供する注目サービスだっただけに、大きく世間の関心を集めました。
続々と報告される金銭被害、ずさんなシステム設計、経営層のセキュリティ知識の欠如とそれを記者会見で露呈してしまったこと、後手後手に回った対応、様々な要因が重なり、ついに 7Pay はわずか 3 か月でサービス終了に追い込まれてしまったのです。
この事件が社会に与えた衝撃は大きく、複数の団体・企業がこの事件を「2019年最大のセキュリティ事件」に選定しています。
よくも悪くも、この事件はスマホ決済のセキュリティに関する関心を引き起こす契機になりました。
7Pay の事件はサービス提供側の不備によるもので、利用者の方で対策するのは難しかったと思われますが、今後も個人のアカウント管理不備を突かれて不正利用されてしまうケースは出てくると予想されます。
スマホ決済は決して悪いものではなく、サービスがきちんとセキュリティに配慮されて提供され、利用者側でもきちんと気を付けていれば、便利に使えるはずのものです。
スマホ決済自体がどこまで浸透するかも含めて、今年要注目といえるでしょう。
第 2 位:フィッシングによる個人情報の詐取
第 2 位は「フィッシングによる個人情報等の詐取」です。
送られてきたメール*3 に URL が載っていて、サイトにアクセスして情報を入力すると盗まれてしまう、という手口ですね。
フィッシングについて詳しくはこちらをご覧ください。
フィッシング攻撃の恐ろしいところは、それ自体が情報を盗む攻撃でありながら、盗んだ情報を使ってさらに大きな被害を生むことです。
今年の 10大脅威の中でも、「第 3 位:クレジットカード情報の不正利用」「第 4 位:インターネットバンキングの不正利用」「第 8 位:インターネット上のサービスへの不正ログイン」などは、それらを行うためのパスワードなどの情報をフィッシングによって得ている場合が多いです*4。
金融サービスを悪用されて金銭被害が出るのも怖いのですが、Yahoo や楽天などのサービスの場合、一つのアカウント情報を奪われると、一度に様々なサービスを乗っ取られてしまうことになりかねず、これまた影響が大きいですね。
注目が大きいせいか、テレビ番組などでもよく取り上げられます。
それはいいのですが、対策として示された手段が間違っていて当てにならないことがよくあるので注意してください!
ちょっと長い記事ですが、こちらをどうぞ。
第 3 位:クレジットカード情報の不正利用
第 3 位は「クレジットカード情報の不正利用」です。
クレジットカードは買い物、とりわけ通販にはとても便利ですよね!
しなもんもよく使います。
便利に使えるだけに、悪い人に不正利用されたら被害は甚大です。
不正利用といってもいろいろありますが、カード番号などの情報を盗まれて、勝手に買い物などをされてしまうことが多いようです。
三井住友カード社が 2019年に行った調査では、不正利用された方法 TOP3 は上から「フィッシング詐欺」「なりすまし」「ネットショッピング詐欺」だそうです。
番号などが盗まれて悪用される例に限れば、やはりフィッシングが圧倒的ですね。
入力した情報を外部へ送信するタイプのマルウェア*5に感染させ、カード情報などを盗む例もあるようです。
第 4 位以下の脅威
第 4 位以下の脅威については名前だけ紹介します。
順位が高くないからといって危険が少ないわけではなく、どれもごく普通の個人が損害を受ける可能性が十分高いものです。
第 3 位までの脅威はすべて最終的には金銭的被害につながる場合が多い脅威でしたが、第 4 位以下にはそれ以外の脅威も含まれています。
- インターネットバンキングの不正利用
- メールやSMS等を使った脅迫・詐欺の手口による金銭要求
- 不正アプリによるスマートフォン利用者への被害
- ネット上の誹謗・中傷・デマ
- インターネット上のサービスへの不正ログイン
- 偽警告によるインターネット詐欺
- インターネット上のサービスからの個人情報の窃取
まとめ:敵の手口を知って備えよう!
10大脅威は、前年に起きたインシデントをもとに、影響の大きい脅威をランキングしたものです。
守るためには、敵の手口を知らなければなりません。
しかし、攻撃手法は世の中にたくさんあるので、そのすべてに詳しくなって対策するのは困難です。
その意味で、中でも重要なものに絞ってランク付けされた 10大脅威は、備えるべき脅威を明確にするうえで役立つはずです。
IPA は詳しい解説を 2月下旬に公開予定です。
ぜひチェックしてみてくださいね。