2015/4/9

2016年版の情報セキュリティ10大脅威に関するブログについては、
情報セキュリティ10大脅威2016
をご覧ください。

先日、情報処理推進機構(IPA)から発表されている「2015年版 情報セキュリティ10大脅威」について紹介しましたが、その後、詳細な解説資料が公開されました。この中で、今後解決すべき課題や大きな脅威となると考えられる懸念等について解説されているので、今回はこちらの内容を紹介します。

IPAが考える今後の課題や懸念

IPAは選出された10大脅威を踏まえ、今年度以降対処すべき課題や懸念事項として、以下の3項目を掲げています。
1.迅速に対応できる体制の構築

~脆弱性対策情報の公表や事件発生に対応可能な体制作り~

2.ネットワーク対応機器の増加

~モノのインターネット(IoT)にもセキュリティ対策を~

3.拡大するネット犯罪の被害

~巧妙化するウィルスやネット詐欺による金銭被害~

「迅速に対応できる体制の構築」

まず、IPAの解説内容をまとめると、以下の通りです。

現在、企業・組織の活動や社会インフラはITへの依存度が大きく、これに伴って情報セキュリティの脅威も複雑化、多様化しています。こうした様々なセキュリティの問題に迅速に対応するためには、組織としての体制強化が求められています。
そのためには、以下の対策が重要だと考えています。

  • 経営層が対策の内容と実施について責任を持つ
  • 体制構築と継続的な対策の実施のために予算を確保
  • 企業・組織内に「CSIRT」を設置

※CSIRT:Computer Security Incident Response Team

上記から、IPAは各企業・組織に対して、情報セキュリティの脅威に対処することは経営層の責任の一つとし、CSIRTのような即応体制を整備するためにリソースを確保することを訴えているように感じられます。
ここまで読み進めていくと、わざわざCSIRTを設置しないと情報セキュリティ上の脅威に対処できないのか、と思われる方も多いのではないでしょうか。特にリソースも予算も少ない中小企業はどう対処すればいいのでしょうか。
これは考え方の一つですが、各企業・組織のリスクマネジメント体制や危機管理体制に、情報セキュリティに対処する要素を組み込むことで対処可能です。情報セキュリティを企業や組織の大きな課題の一つであると捉えれば、課題に対してトップが責任を持ち、そのために予算やリソースを配分するのは当然のことです。リスクに対する即応体制についても、顧客トラブルや製品トラブルと同様に、情報セキュリティに対しても危機管理体制を確立するのであれば、CSIRTの様な名称にこだわる必要もないでしょう。

ネットワーク対応機器の増加

ネットワーク対応機器とは、最近注目されているIoT(Internet of Things)を指しています。センサー機器やウェアラブルデバイス等のIoT は今後爆発的に増加すると予想されており、ガートナーの試算によれば2009 年の9 億台から、2020 年に260 億台に達するとされています。IPAでは以下の様に解説されています。

今後爆発的に増加するであろうIoTは、インターネットに接続されているため、世界中の攻撃者から狙われる可能性があります。特に制御システム、車載システムや医療機器等への侵害は人命が脅かされる危険性も指摘されています。
IoTの問題点として、IoT機器の多くは設計上セキュリティが考慮されておらず、インターネットへの接続によって意図せずに外部からアクセス可能な状態になってしまいます。また、多くの機器はセキュリティパッチの様な修正プログラムによる自動更新処理を行うことができず、脆弱性が放置される可能性があります。対策としては以下が考えられます。

  • 製品開発者:初期状態からセキュリティの高い設定で提供する
  • システム管理者:インターネットからのアクセスを制限する
  • 利用者:セキュリティが保たれるよう適切に設定して利用する

昨今のビッグデータの流れの中で、IoTによるセンサー情報やログ情報は大きな役割を担っています。また、ネット家電の様に、ネットワーク経由での操作を実現することで、利便性の向上をもたらします。しかし、ネットワークに接続する以上、PCやスマートフォンと同様、悪意のある攻撃を受ける可能性が存在することに留意しないといけません。
特にビッグデータ分析上の要求から、収集する情報を追加したり、修正したり、という場合は、IoT機器のソフトウェアを更新する必要が出てきます。こうした機器は数量自体膨大なので、ネットワーク経由で更新プログラムを送信することになります。もし、この送受信の仕組みにセキュリティ上の対象がされていない場合、悪意のある攻撃者がIoT機器に異常な動きをさせるような不正な更新プログラムを配信することも可能となります。それこそ、機械や車両が人間を襲ってくるというSF映画の様な事態が起こる可能性もあるということです。そこまでオーバーでなくとも、ネット家電の操作権限を乗っ取られた場合、自宅のネット家電に対して不適切な操作がされる可能性があります。
今後、IoTのカバーする範囲はどんどん広がっていきます。IoT機器を利用する場合は、利便性と同様に、情報セキュリティに留意して使用することが必要です。

拡大するネット犯罪の被害

2015年2月に警視庁が発表した資料によると、インターネットバンキングの不正送金事件が平成26年(2014年)の1年間で約29億円に上っており、前年に比べて2倍以上となっています。このように犯罪者や犯罪グループがIT を悪用して金銭を窃取する事件が増加しており、その手口も複雑化、巧妙化しています。IPAは以下のように注意喚起しています。

ITは生活に欠かすことのできない社会インフラとして普及していますが、犯罪者にとっても利便性の高いツールであることを忘れてはいけません。犯罪者はメールやウェブサイトを悪用して、コンピュータウイルスによるパスワード等の認証情報やクレジットカード情報を窃取したり、金銭の不当請求をしたりすることで、一般ユーザーから金銭を奪います。また、FacebookやLine等のSNSを利用する攻撃も増えています。
2014年の10大脅威で1位となった「インターネットバンキングやクレジットカード情報の不正利用」による不正送金以外にも、「ワンクリック請求」「偽ウィルス対策ソフト」「ランサムウェア」といった不正請求の手口が存在します。
こうしたネット犯罪の被害に遭わないためには、修正プログラムの適用やウィルス対策ソフトの導入等の基本的な対策を行うとともに、攻撃の手口や事例を知ることも防犯対策として重要です。以下のサイトには、代表的な手口の対処方法や最新の手口が紹介されています。

  • 警察庁のサイト
  • 利用している金融機関のサイト
  • IPAのサイト

ネット犯罪については常に犯罪の手口が新しくなるので、決定的な防止策はありません。昨年の不正送金の被害状況を見ると、

  • 都市銀行→地方銀行 : セキュリティレベルの高くない方を攻撃
  • 個人口座→法人口座 : 預金残高が大きい方を攻撃

というように、「取り易いところからたくさん取る」という動きにシフトしています。
被害金融機関の状況
被害金額の状況
口座別被害金額の状況

警察や金融機関も様々な対応をしておりますが、すべての被害を阻止できる訳ではありません。こうした攻撃への対策としては、何か特別なことが必要な訳ではなく、従来から言われている対策を行うことで多くの場合は対応できます。

  • PCにウィルス対策ソフトを導入し、パターンファイルを常に最新の状態に更新する。
  • コンピュータのOS(Windows、等)やブラウザなどのソフトウェアを、セキュリティパッチを含め、常に最新の状態に更新する。
  • インターネットを通じて利用する各種サービスにおいて、ID/パスワードを使い回さない。特にインターネットバンキング等の重要なサービスに使用するID/パスワードは個別に設定する。
  • 利用している金融機関の正規のURLやドメイン情報を確認しておき、メールや入力画面ではメール送付元のドメインや画面のURLを確認する。
  • インターネットバンキングにアクセスした際に、いつもと異なる不審な入力画面や、ログイン後に再入力を促す画面が表示された場合、IDやパスワード等の認証情報を入力せず、金融機関等に確認する。
  • ワンタイムパスワードをメールで受信している場合、PCで受信するメールアドレスではなく、携帯電話等、別の端末で使用するメールアドレスを登録する。(仮にPCがウィルス感染していても、ワンタイムパスワードが盗まれない)
  • 金融機関が提供する各種対策ソフトを導入する。

こうした日常的な対策に加えて、犯罪者の手口を知ることは、防犯対策としては有益なことです。インターネットバンキングを利用している企業担当者や個人は、常に新しい情報を確認するようにして、こうしたネット犯罪に対処することが重要です。

上記内容に関する相談や問い合わせについては、問合せフォームにてご連絡ください。
お問い合わせ