「情報セキュリティ10大脅威 2019」から読み解く
気を付けるべきセキュリティ脅威とは
2019年1月30日に独立行政法人情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2019」を発表しました。このレポートは、2018年に社会的影響が大きかった情報セキュリティ上の脅威について、独立行政法人情報処理推進機構が32の候補を選出し、さらに情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーによる「10大脅威選考会」が投票を行い、個人及び組織に対する最も注視すべき10の脅威を選出しています。
毎年発表されているランキングですが、情報セキュリティの専門家が選びだしている現在最も脅威となりうる最新の脅威についての発表です。今回は、このレポートを詳細に分析して、2019年に脅威となる攻撃の傾向や分析、今後の動向について解説していきたいと思います。
個人に対する10大脅威
- クレジットカード情報の不正利用(1位)
- フィッシングによる個人情報等の詐取(1位)
- 不正アプリによるスマートフォン利用者の被害(4位)
- メールやSNSを使った脅迫・詐欺の手口による金銭要求(NEW)
- ネット上の誹謗・中傷・デマ(3位)
- 偽警告によるインターネット詐欺(10位)
- インターネットバンキングの不正利用(1位)
- インターネットサービスへの不正ログイン(5位)
- ランサムウェアによる被害(2位)
- IoT機器の不適切な管理(9位)
※括弧内は昨年の順位、NEWは今回初めてランクインした脅威
*引用:https://www.ipa.go.jp/security/vuln/10threats2019.html
1位は「インターネットバンキングやクレジットカード情報等の不正利用」
2018年の1位は「インターネットバンキングやクレジットカード情報等の不正利用」でした。今年からクレジットカード被害の増加とフィッシング手口の多様化を考慮して、これを①インターネットバンキングの不正利用、②クレジットカード情報の不正利用、③仮想通貨交換所を狙った攻撃、④仮想通貨採掘に加担させる手口、⑤フィッシングによる個人情報等の詐取として新たに細かく分類することになりました。それだけインターネットバンキングやクレジットカードといったオンライン決済を狙う手口も複雑化していることを示しています。これらの脅威は1位、2位、7位にランクインしています。
新たにランクインした「メールやSNSを使った脅迫・詐欺の手口による金銭要求」
また今回新たにランクインしているのが4位の「メールやSNSを使った脅迫・詐欺の手口による金銭要求」です。これは日本語他多言語でポルノサイトの閲覧履歴から個人情報を入手したといったような内容で脅迫を行い、金銭や仮想通貨を要求する脅迫メールなどで、下図のようにカペルスキーのサイトでもスパムメール例が掲載されています。
アダルトサイトの利用という後ろめたい気持ちを同僚や家族に知られたくないという心情を利用した脅迫でついつい要求されるまま金銭の支払いに応じてしまうケースもあります。
他にもメールでの脅迫の手口として、SNSのやり取りや相手のパソコンのウェブカメラを不正アクセスにより遠隔操作して撮影するなどの手法が観測されています。SNS
でやり取りしていた相手にやり取りの内容を記録されてそれを元に脅されてしまうケースの他、いつのまにか自分のPCやスマホのカメラが遠隔操作されてプライベートなショットを盗み撮りされてそれをばら撒くと脅迫してくる悪質なケールもあります。こうした相手の性的な写真や動画を入手しインターネットで公開したり、友人や知人に見せたりするなどと、脅迫する行為である「セクストーション」が問題になっています。セクストーションとは「sex(性的な)」と「extortion(脅迫)」とを組み合わせた造語です。
不審なアダルトサイトに安易にアクセスしないのはもちろん、怪しいメールは無視する、webカメラを利用しないときは取り外す、一体型のものであれば市販のセキュリティグッズを導入するといった対策も検討しましょう。
組織に対する10大脅威
- 標的型攻撃による被害(1位)
- ビジネスメール詐欺による被害(3位)
- ランサムウェアによる被害(2位)
- サプライチェーンの弱点を悪用した攻撃の高まり
- 内部不正による情報漏えい(8位)
- サービス妨害攻撃によるサービスの停止(9位)
- インターネットサービスからの個人情報の窃取(6位)
- IoT機器の脆弱性の顕在化(7位)
- 脆弱性対策情報の公開に伴う悪用増加(4位)
- 不注意による情報漏えい(12位)
1位は昨年同様「標的型攻撃による被害」
組織に対する10大脅威は昨年と同じく「標的型攻撃による被害」が1位となりました。標的型攻撃の攻撃者は、狙いを定めた組織からまずは様々な情報を窃取します。その手口は年々巧妙化・多様化し、目的を達するまでは執拗に繰り返し手段を選びません。
企業が標的型攻撃を受けてしまうと個人情報の流出といったような事件が発生してしまいますが、2018年も様々な流出事故が報じられてきました。そして今年も早速ファイル交換サービス大手の「宅ふぁいる便」で480万件分もの個人情報流出事件が報じられてしまいます。
「宅ふぁいる便」不正アクセスで480万件のユーザー情報流出 メアド・パスワードも (2019年01月26日)
大容量ファイル送信サービス「宅ふぁいる便」を運営するオージス総研は1月26日、同サービスの一部サーバが不正アクセスを受け、約480万件の顧客情報が流出したことを確認したと発表した。流出した情報には、メールアドレスやログインパスワードなどが含まれているという。23日からサービスを一時停止しており、再開のめどは立っていない。
流出したのは、ユーザーのメールアドレス、ログインパスワード、氏名、生年月日、性別、業種・職種、居住地(都道府県のみ)。対象者には個別にメールで連絡する。
22日午前11時、同社が認識していないファイルがサーバ内に作成されていることが分かり、午後1時、第三者機関を含めて調査を始めたところ、午後7時にサーバ内に不審なアクセスログを発見。23日午前10時50分にサービスを停止した。25日午後3時半、顧客情報の漏えいを確認したという。
引用:http://www.itmedia.co.jp/news/articles/1901/26/news015.html
標的型攻撃の主な手口はスパムメールだと言われていますが、2018年のIPAの調査では、標的型攻撃のメール数そのものは減少傾向にあったものの手口の巧妙化に警鐘をならしています。
新たにランクインした「サプライチェーンの弱点を悪用した攻撃の高まり」
サプライは供給、チェーンは連鎖の意味です。製品の原材料や部品の調達、生産されてから消費者に届くまでの製造、在庫管理、物流、販売といった一連の工程を指します。今回新たにランクインした「サプライチェーンの弱点を悪用した攻撃の高まり」は、子会社や委託先など、サプライチェーンにおいてセキュリティ対策が不十分な組織が侵害の契機となるおそれがあると言われています。このサプライチェーンを悪用したサイバー攻撃を「サプライチェーン攻撃」と言います。
サプライチェーン攻撃は、IT機器やソフトウェアの製造過程でマルウェアに感染させたり、バックドアを仕込んだりしておく方法と、ターゲット企業のグループ会社、業務委託先、発注先、仕入れ先などを攻撃し、それを足がかりにターゲット企業に侵入する方法とがあります。今回10大脅威に新しくランクインしたことで、企業は自社のセキュリティ対策の強化だけでなく、サプライチェーンも含めてセキュリティ対策の強化が強く求められている危機感を持つ必要があります。
最後に
「情報セキュリティ10大脅威」は毎年発表されていますが実は上位にランクインする脅威は毎年目新しいものというわけではなく、昔からある脅威が並ぶことが多いのです。例として2015年の脅威では、次のようなものが取り上げられました。
- インターネットバンキングやクレジットカード情報の不正利用
- 内部不正による情報漏えい
- 標的型攻撃による諜報活動
- Webサービスへの不正ログイン
- Webサービスからの顧客情報の窃取
- ハッカー集団によるサイバーテロ
- Webサイトの改ざん
- インターネット基盤技術の悪用
- 脆弱性公表に伴う攻撃
- 悪意のあるスマートフォンアプリ
この中には今年もあるようなクレジットカード情報の不正利用や、標的型攻撃、情報漏えいといった脅威が並んでいます。攻撃の手法はその時代で巧妙化はしていきますが、企業として普段からしっかりセキュリティ対策していくポイントは変わりません。いかに普段セキュリティに敏感で、基本的な対策を怠らないかが今後の脅威を防いでいくことになります。