2014年版 情報セキュリティ10大脅威 IPA
2014/03/31に、IPA(独立行政法人 情報処理推進機構)より、『情報セキュリティ10大脅威』が発表されました。
10大脅威とは、IPAが2004年から毎年発行している資料で、100名以上のセキュリティ専門家の知見を集め、年間の脅威の動向や対策についてまとめたものです。情報セキュリティ全般についてのランキングのため、家庭での生活の中ではあまり関係ない、企業を対象として脅威なども含まれています。
早速ランキングを見てみましょう。
1 位 「標的型メールを用いた組織へのスパイ・諜報活動」
2 位 「不正ログイン・不正利用」
3 位 「ウェブサイトの改ざん」
4 位 「ウェブサービスからのユーザー情報の漏えい」
5 位 「オンラインバンキングからの不正送金」
6 位 「悪意あるスマートフォンアプリ」
7 位 「SNS への軽率な情報公開」
8 位 「紛失や設定不備による情報漏えい」
9 位 「ウイルスを使った詐欺・恐喝」
10 位 「サービス妨害」
この中で、家庭での生活、こどもの生活やネット利用に直接関係があるものについて、解説していきたいと思います。
9 位 「ウイルスを使った詐欺・恐喝」
ウィルスにより、パソコンに金銭を要求する画面を表示させます。これに従い、お金を送金してしまう被害が後を絶ちません。不正なアダルトサイトや違法情報サイト経由や、メールによって感染することが考えられます。
特に最近は、「ランサムウェア」というウィルスが流行しています。これは、ウィルスがパソコンをロックし、パソコン、およびパソコン内のデータを『人質』にします。ロックを外し、通常通り利用したければ、お金を振り込みなさい。というメッセージを提示します。
直近では、このウィルスが日本語に対応したものも出てきており、日本でも被害が広がっているようです。被害の11%は日本のユーザであるというデータもあります。ちなみに、振り込んでも解除されないようです。
対策としては、やはり不用意に怪しいサイトにアクセスしない、メールは開かないこと、が重要です。ウィルス対策ソフトなども、ウィルスが発見されて、当日~数日以内には対応します。これらも大変有効です。
7 位 「SNS への軽率な情報公開」
この項目は、当メディアでも何度かお伝えしている、『炎上』に関連する脅威です。SNSなどに、他人の個人情報であったり、名指しの批判であったり、軽犯罪行為をしている写真であったりを公開することで、急激に注目を集めます。その結果、多数の批判、避難、誹謗中傷などのコメントを受けるようになります。この状態を『炎上』と呼びます。
炎上すると、多くの関係者にも迷惑をかけることとなり、損害賠償に発展するケースもあります。
近年は、従来から存在した携帯・スマートフォンのカメラと、手軽に画像・動画を投稿できるSNSが絡み、深く考えず、軽率にその情報を公開してしまうケースが多くなっています。特にこどもたちの間では、仲間内での『悪ノリ』による投稿などが多く、その場、状況でのノリが、判断を誤らせています。
対策としては、『写真や動画は投稿しない』というルールを設定するだけでも、効果は大きいのではないかと思います(守って意味のあるものですが)。投稿の際に、「これは投稿しても大丈夫か?」という問いかけが重要ではありますが、冷静にそうできればそもそもあまり問題は起きません。
企業や有名人の間では、これらの対策ツールの導入が進んでいます。個人向け利用に適するツールは無く、弊社Filii(フィリー)では、対応を進めていきたいと考えています。
6 位 「悪意あるスマートフォンアプリ」
有用な機能やコンテンツを提供すると見せかけた、悪意あるスマートフォンアプリです。このスマホアプリは、端末に保存されている電話帳等の情報を、知らぬ間に収集してしまいます。収集された個人情報は、スパム送信や不正請求詐欺などに悪用されるます。この二次被害は、実際に確認されているそうです。
対策としては、アプリの製造元を確認して利用する、利用する前に、そのアプリに不正な情報が存在しないかとネット上で検索する、ウィルス対策ソフトなどを導入する。といった方法が考えられます。ただ、アプリ自体は名前を変えて同じものをリリースするということはとても簡単にできるため、アプリ個別に押さえておく意味があまりありません。
『怪しいものは導入しない』という方法が最も効果的に思えます。
2 位 「不正ログイン・不正利用」
前回の記事で、取り上げた内容が、第2位にランクインです。
利用者のパスワードの設定・管理の甘さにつけ込んで、不正にパスワードを取得(実際には、パスワードを当てる、ということです)します。特に、インターネットショッピングのアカウントに不正アクセスされるケースが多いです。
不正にアクセスしたあとは、その情報を手掛かりに、不正送金、不正購入などが行われます。
よく言われることですが、基本的な対策は以下3点です。
- フィッシングサイトなど、あやしいサイトで個人情報やパスワードを入力しない。
- パスワードを適切に管理する。使い回しをしない、推測が容易なパスワードを避けるなど。
- コンピュータ・ウイルス等の不正プログラム対策ソフトなどの導入。
最近はこれらに加えて、2段階(2要素)認証や、ワンタイムパスワード、生体認証など、パスワードのみでは単純にアクセスできない、送金・決済などの被害に直結する操作をさせない、といった仕組みが導入され始めています。
少し面倒にはなりますが、積極的にこれらの方法を利用しましょう。
以上、いかがでしたでしょうか?
コンピュータ・ネット世界の脅威は、テクノロジーの進化に合わせて年々変化していきます。いたちごっこ感がありますが、しっかり対応していかない場合、金銭的な被害だけでなく、個人情報、評判なども危険にさらされます。
自分自身でその危機感を感じることはとても重要な一歩です。
この機会に、改めて考えていただければと思います。