Web関連

あなたのパソコンは大丈夫?~サイバー攻撃の脅威とその対策~

0

日々報告されているサイバー攻撃。皆さんの対策は万全でしょうか。昨今の事例をもとにその危険性と対策を考えてみたいと思います。今回もどうぞお付き合いください。

情報セキュリティ10大脅威 2019

独立行政法人情報処理推進機構(IPA)が発表している「情報セキュリティ10大脅威 2019」では、個人の脅威として金銭被害につながるものが多く報告されています。一方、組織の脅威としては、企業情報の窃取や不正送金を目的とするものが上位を占めています。
この「情報セキュリティ10大脅威 2019」をもとにどのような手口があり、どのように対策を施していくべきかを頻度が高い脅威を中心に見ていきたいと思います。
<個人の脅威>
1位はクレジットカード情報の不正利用です。
ウイルス感染やフィッシング詐欺(※後述します)等により、クレジットカード情報が攻撃者に窃取され、不正利用が行われています。2018年も非常に多くの被害が発生しており、窃取されたクレジットカード情報と旅行サービスを組み合わせた悪用の手口(不正トラベル)による被害の増加も確認されています。
それでは、なぜ旅行サービスが悪用の手口として使われるのでしょうか。
クレジットカード会社側では、カード利用者の利用パターンのデータを蓄積していますので、普段使用しないような大きな買い物があった際、アラートがあがる仕組みを取り入れていますが、旅行サービスの利用は年間1、2回で高額になるケースもあることから、不正利用が発覚しにくい状況にあります。
攻撃者はこの点に目を付け旅行サービスを主な不正利用先としているとも考えられています。
※ウイルス感染とフィッシング詐欺
ウイルス感染とは、攻撃者が、悪意あるファイルを添付したり、悪意あるウェブサイトのリンクを記載したメール等を送信し、メール受信者に添付ファイルを開かせたり、リンクをクリックさせることで、端末をウイルスに感染させる方法です。
ウイルスに感染した端末でクレジットカード情報を入力すると、入力した情報を攻撃者に窃取されます。
攻撃者は窃取したクレジットカード情報を使用して、正規の利用者になりすまし不正に決済を行うのです。
フィッシング詐欺では、攻撃者は実在するショッピングサイト等を模した偽のウェブサイト(フィッシングサイト)を作成します。その後、フィッシングサイトのリンクが記載されたメールを送信し、メール受信者をフィッシングサイトにアクセスさせます。そしてフィッシングサイト上で入力したクレジットカード情報を窃取します。メール内では、実在する企業や組織をかたり、記載されているリンクも正規のURLを模しているものもあります。
これらへの対策としては、
-クレジットカード会社が提供している本人認証サービスを利用する
-受信メール、ウェブサイトの十分な確認をする
-添付ファイルやリンクを安易に開かない
-信頼できるインターネットサービスを利用する
-安易に個人情報等は入力しない
などが挙げられています。
<組織の脅威>
1位は標的型攻撃による被害です。
企業や民間団体そして官公庁等、特定の組織から重要情報を窃取することを目的とした標的型攻撃が発生しています。攻撃者はメールの添付ファイルや悪意のあるウェブサイトを利用し、組織のPCをウイルスに感染させるのです。その後、組織内部へ潜入し、組織内部の侵害範囲を拡大しながら重要情報や個人情報を窃取していきます。
標的型攻撃
標的型攻撃とは、添付ファイルやメール本文のリンク先にウイルスを仕込み、開かせることで組織のPCをウイルスに感染させる方法です。PCがウイルスに感染すると、そこを起点に組織内部へ潜入され、組織の重要情報の窃取や偵察が繰り返し行われます。また、組織の活動を妨害するデータ削除やシステム破壊が行われる場合もあります。
このメール本文や件名、添付ファイル名は業務に関連するような内容に偽装されるなど、受信者が不審を抱かないように巧妙化されています。
これらへの対策としては、
-組織としてのセキュリティ体制の確立
-被害の予防/対応力の向上(セキュリティ教育の実施等)
-情報リテラシーの向上
が挙げられますが、有事の際の対応法も定めておいたほうが良いでしょう。

二段階認証によるワンタイムパスワードも安心できない

二段階認証を取り入れていなかったとして、大手コンビニエンスのスマホ決済用アプリでの脆弱さが去年話題になりましたが、ネットバンキングなどでも使用されているワンタイムパスワード(二段階認証)も安心できない時代になりました。
ワンタイムパスワードは、ユーザーが設定した固有の携帯電話やメールなどに毎回異なる使い捨てのパスワードが届く仕組みであるが故、不正ログインを防ぐことができるとされてきていました。しかし、フィッシングSMSを用いた中間者攻撃によってユーザーが偽サイトへ誘導された後、そこで入力したワンタイムパスワードがオンタイムで処理されることでワンタイムパスワードも突破される被害が多発しています。
ここでも対策としては、上記に近しい、
-不審なSMSやメールは開封しない
-SNSやメールのメッセージに記載されているURLに安易にアクセスしない
-正規なWebサイトのURLはブックマークしておき、そこからアクセスする
-生体認証など、別の認証方法の利用も追加で検討する
などが有効とされています。
今や不正アクセスはあらゆる業種業態で連日行われています。これらにニュースには常に自分事として敏感になって対応していかなくては取り返しのつかないことになってしましますので、皆さんも気を付けていただければと思います。

0

「人工知能」や「AI」に夢を見ているあなたへ。前のページ

AIが日本を救う? AIとSDGs(エス・ディー・ジーズ)次のページ

ピックアップ記事

  1. 新型コロナウイルスで日本の働き方改革が起こる
  2. 新しい販売形態であるDtoCについて考えてみる
  3. 大手企業も注目するMaaS(Mobility as a Service)とは何か…
  4. AIに求められているものは、実は意外な物だった

関連記事

  1. Web関連

    【ホームページ制作】新規顧客(潜在顧客)の開拓をしたい

    企業のホームページは、何らかの目的や役割があって存在するものですが、上…

  2. Web関連

    自動顧客育成!?マーケティングオートメーションのススメ

    こんにちは!デザイナーの勇希です!今回はマーケティングに関する情報…

  3. Web関連

    台風や雨などの天気の変化はサイトに影響するのか

    6月は春が終わって、梅雨に入り、夏を迎えようというわくわくする時期です…

  4. Web関連

    テレワークはじめてみた

    こんにちは。政府の緊急事態宣言を受けて、私もテレワークがスタートし…

  5. Web関連

    サイトを持つなら考えよう!UI/UXについて

    みなさん、UI/UXという言葉を知っていますか?Webをかじっている人…

  6. Web関連

    マイクロターゲティングで「個」客を獲得

    マイクロターゲティングとは?マイクロターゲティングとは、年齢や性別…

自治体向けDX推進サービス

AIさくらさん for 自治体DX

おすすめ記事

最近の記事

  1. 人間拡張×AIで非接触なデジタル化を推進する
  2. ヘルスケアはAI先生にみてもらう時代
  3. withコロナは非接触技術で生活しよう!
  4. デジタル接客+AIで非接触を推進する
  5. 遠隔診療や遠隔医療普及のポイントはAIと5G

アーカイブ

  1. Web関連

    「拝啓」はもう使わない!?変わるギフト市場
  2. Web関連

    バレンタイン? なにそれ、美味しいの?
  3. Web関連

    面倒な作業を楽にするCSSフレームワーク
  4. AI関連

    【人工知能(AI)×メンタルヘルス】AIに悩み相談!テレワーク疲れにメンタルセル…
  5. Web関連

    トレーサビリティって一体何?
PAGE TOP