2017年版 情報セキュリティ10大脅威 IPA
少し前の話ですが、2017年3月30日にIPA 独立行政法人 情報処理推進機構から「情報セキュリティ10大脅威 2017」が発表されました。
10大脅威は過去には個人・組織で分類されていなかったようですが、2016年版以降は分類されるようになっています。今回の「個人」に絞って今年の順位を見てみましょう。
(「情報セキュリティ10大脅威 2017」はPDFで入手できます)
2017年版 情報セキュリティ10大脅威(個人編)
(カッコ内は昨年順位)
1位 インターネットバンキングやクレジットカード情報の不正利用(1位)
2位 ランサムウェアによる被害(2位)
3位 スマートフォンやスマートフォンアプリを狙った攻撃(3位)
4位 ウェブサービスへの不正ログイン(5位)
5位 ワンクリック請求等の不当請求(4位)
6位 ウェブサービスからの個人情報の窃取(7位)
7位 ネット上の誹謗・中傷(6位)
8位 情報モラル欠如に伴う犯罪の低年齢化(8位)
9位 インターネット上のサービスを悪用した攻撃(10位)
10位 IoT機器の不適切な管理(ランク外)
上位3つを見ていきましょう。加えて、本メディアとしては見逃すことのできない「8位 情報モラル欠如に伴う犯罪の低年齢化」についても触れたいと思います。
1位 インターネットバンキングやクレジットカード情報の不正利用(1位)
2015年から3回連続1位です。不正送金による被害額は2015年の15億円から2016年には10億円ほどまで減少していますが、不正送金の被害額 法人口座が9割減(毎日新聞)によると
東京都内で昨年発生したインターネットバンキングの不正送金の被害額が10億7100万円(前年比約32%減)と大幅に減少したことが、警視庁のまとめで分かった。
とのことで、これは企業などの法人口座被害が減ったためであり、個人口座の被害額は2015年、2016年共に10億円で変わっていないようです。具体的にどのような手口で騙されてしまうか。主な犯罪事例は以下の3つのようです。
(1)偽Eメール
いかにも銀行から来ているかのようなメールにURLが記載されており、そこをクリックすると銀行で使っているユーザ・パスワード入力画面。ここで入力してしまうと、その情報が犯罪者に渡ってしまいます。
対策としては、怪しいメールに騙されないこと。そしてワンタイムパスワードを利用するのも重要です。ワンタイムパスワードというのは、限られた時間内で一度しか使えないパスワードを発行してくれるものです。これを持っていれば通常のパスワードが第三者に知られても被害を抑えられます。三大メガバンクではワンタイムパスワードの利用ができるようになっているので、まだ設定していない人は是非しておいたほうがいいでしょう。
ただしニュース – ワンタイムパスワードでも危ない、警視庁が新型ウイルスの被害を確認:ITproによると、ワンタイムパスワードの偽の入力欄を表示してワンタイムパスワードを盗み取る詐欺も発生しています。それでもワンタイムパスワード利用は、やらないよりは絶対にやったほうがいいでしょう。
(2)偽画面型ウィルス
ウィルスに感染したPCを使って銀行サイトにアクセスすると、偽のポップアップ画面を表示し、そこにユーザ・パスワード情報などを入力させるタイプのものです。
対策としては、ウィルスに感染しないようにセキュリティソフトを入れることでしょう。あとは怪しいメールも見ないようにすること。メールの添付ファイルを開くのも注意です。
(3)自動送金型ウィルス
これもウィルスですね。やはりウィルス対策重要ということです。銀行サイトにログインした後に「ダウンロード中」などの画面にしておいて、待たされている間にウィルスが勝手に振込手続を進めてしまうとのことです。
2位 ランサムウェアによる被害(2位)
そもそも「ランサムウェア」という言葉が聞きなれないかもしれませんが、2016年に入って急激に増えたものです。
【セキュリティ ニュース】ランサムウェア攻撃が前年比167倍に – 「RaaS」普及が急増を後押し(1ページ目 / 全1ページ):Security NEXT
「167倍」ということでかなりの勢いで被害が拡大している模様。 その「ランサムウェア」というのがどんなものかというと
「ランサム」は「身代金」を意味する言葉で、これに感染すると身代金を支払うまで、PCやスマホの操作が全くできなくなったり、PC内のファイルを全て暗号化されて使えなったりします。(場合によっては身代金を支払っても解除されないということも起きています。)
対策としては、ウィルスソフトを導入してランサムウェアに感染した際にはすぐに検知できるようにしておくこと。感染しないように怪しいメールには気を付ける。OSや利用しているソフトのアップデートなどが重要となります。
3位 スマートフォンやスマートフォンアプリを狙った攻撃(3位)
これは主に不正アプリを用いた攻撃のこと。2016年は「ポケモンGO」や「スーパーマリオラン」に偽装したアプリをインストールし、個人情報を抜き取られるなどの被害がありました。
「マリオ」を名乗る不正・迷惑アプリが6000件–トレンドマイクロが注意喚起 – CNET Japan
今後も人気アプリが発表されるたびに同様の事件は起きていくと予想できます。iPhoneであればApp Storeから、Android端末であればGoogle Pleyからダウンロードしましょう。また、アプリに許可する権限設定は、アプリ利用に適したものかどうかを確認してから行うようにしましょう。(アプリをインストールするときに電話帳やカメラへのアクセスを求められたら簡単には許可しないこと。本当にそれが必要か考えましょう。)
8位 情報モラル欠如に伴う犯罪の低年齢化(8位)
最近では中高生が犯罪に手を染めるようになってきました。ふざけて行ったり自己顕示欲を満たすものが見られるようです。
オンラインゲーム会社にDDos攻撃 男子高校生を書類送検 滋賀
「患者の個人情報を金に」病院サーバーに不正アクセスした容疑で高1少年逮捕
(ちなみ最後の事例では筆者の地元高校生が逮捕されてしまっていました。。。)
自分の行為が犯罪だと分かっていながら犯行を行う「情報モラルの欠如」だけではなく、自分の行為が犯罪であると理解せずに行う「情報リテラシーの欠如」が原因になることもあるようです。また、悪用できるツールや手法の普及なども、犯罪増加の原因になっているとのこと。
こうした事件を起こさせないためにも、情報リテラシー・情報モラル教育がますます重要になっています。本メディアではそうした点に寄与できる内容を引き続き掲載し続けていきたいと思います。
まとめ
ここでは一部のみ紹介しましたが、被害者側にならないために必要な対策としては日々事例を確認して学び続けて怪しいサイトやメールに騙されないようにすることや、OS・アプリは最新版にしておくこと、セキュリティソフトを導入することなどだと考えられます。
情報セキュリティ10大脅威についてはこちらから。PDFにはより詳しい情報がまとめられています。
情報セキュリティ10大脅威 2017:IPA 独立行政法人 情報処理推進機構
