Web関連

あなたのパソコンは大丈夫?~サイバー攻撃の脅威とその対策~

日々報告されているサイバー攻撃。皆さんの対策は万全でしょうか。昨今の事例をもとにその危険性と対策を考えてみたいと思います。今回もどうぞお付き合いください。

情報セキュリティ10大脅威 2019

独立行政法人情報処理推進機構(IPA)が発表している「情報セキュリティ10大脅威 2019」では、個人の脅威として金銭被害につながるものが多く報告されています。一方、組織の脅威としては、企業情報の窃取や不正送金を目的とするものが上位を占めています。
この「情報セキュリティ10大脅威 2019」をもとにどのような手口があり、どのように対策を施していくべきかを頻度が高い脅威を中心に見ていきたいと思います。
<個人の脅威>
1位はクレジットカード情報の不正利用です。
ウイルス感染やフィッシング詐欺(※後述します)等により、クレジットカード情報が攻撃者に窃取され、不正利用が行われています。2018年も非常に多くの被害が発生しており、窃取されたクレジットカード情報と旅行サービスを組み合わせた悪用の手口(不正トラベル)による被害の増加も確認されています。
それでは、なぜ旅行サービスが悪用の手口として使われるのでしょうか。
クレジットカード会社側では、カード利用者の利用パターンのデータを蓄積していますので、普段使用しないような大きな買い物があった際、アラートがあがる仕組みを取り入れていますが、旅行サービスの利用は年間1、2回で高額になるケースもあることから、不正利用が発覚しにくい状況にあります。
攻撃者はこの点に目を付け旅行サービスを主な不正利用先としているとも考えられています。
※ウイルス感染とフィッシング詐欺
ウイルス感染とは、攻撃者が、悪意あるファイルを添付したり、悪意あるウェブサイトのリンクを記載したメール等を送信し、メール受信者に添付ファイルを開かせたり、リンクをクリックさせることで、端末をウイルスに感染させる方法です。
ウイルスに感染した端末でクレジットカード情報を入力すると、入力した情報を攻撃者に窃取されます。
攻撃者は窃取したクレジットカード情報を使用して、正規の利用者になりすまし不正に決済を行うのです。
フィッシング詐欺では、攻撃者は実在するショッピングサイト等を模した偽のウェブサイト(フィッシングサイト)を作成します。その後、フィッシングサイトのリンクが記載されたメールを送信し、メール受信者をフィッシングサイトにアクセスさせます。そしてフィッシングサイト上で入力したクレジットカード情報を窃取します。メール内では、実在する企業や組織をかたり、記載されているリンクも正規のURLを模しているものもあります。
これらへの対策としては、
-クレジットカード会社が提供している本人認証サービスを利用する
-受信メール、ウェブサイトの十分な確認をする
-添付ファイルやリンクを安易に開かない
-信頼できるインターネットサービスを利用する
-安易に個人情報等は入力しない
などが挙げられています。
<組織の脅威>
1位は標的型攻撃による被害です。
企業や民間団体そして官公庁等、特定の組織から重要情報を窃取することを目的とした標的型攻撃が発生しています。攻撃者はメールの添付ファイルや悪意のあるウェブサイトを利用し、組織のPCをウイルスに感染させるのです。その後、組織内部へ潜入し、組織内部の侵害範囲を拡大しながら重要情報や個人情報を窃取していきます。
標的型攻撃
標的型攻撃とは、添付ファイルやメール本文のリンク先にウイルスを仕込み、開かせることで組織のPCをウイルスに感染させる方法です。PCがウイルスに感染すると、そこを起点に組織内部へ潜入され、組織の重要情報の窃取や偵察が繰り返し行われます。また、組織の活動を妨害するデータ削除やシステム破壊が行われる場合もあります。
このメール本文や件名、添付ファイル名は業務に関連するような内容に偽装されるなど、受信者が不審を抱かないように巧妙化されています。
これらへの対策としては、
-組織としてのセキュリティ体制の確立
-被害の予防/対応力の向上(セキュリティ教育の実施等)
-情報リテラシーの向上
が挙げられますが、有事の際の対応法も定めておいたほうが良いでしょう。

二段階認証によるワンタイムパスワードも安心できない

二段階認証を取り入れていなかったとして、大手コンビニエンスのスマホ決済用アプリでの脆弱さが去年話題になりましたが、ネットバンキングなどでも使用されているワンタイムパスワード(二段階認証)も安心できない時代になりました。
ワンタイムパスワードは、ユーザーが設定した固有の携帯電話やメールなどに毎回異なる使い捨てのパスワードが届く仕組みであるが故、不正ログインを防ぐことができるとされてきていました。しかし、フィッシングSMSを用いた中間者攻撃によってユーザーが偽サイトへ誘導された後、そこで入力したワンタイムパスワードがオンタイムで処理されることでワンタイムパスワードも突破される被害が多発しています。
ここでも対策としては、上記に近しい、
-不審なSMSやメールは開封しない
-SNSやメールのメッセージに記載されているURLに安易にアクセスしない
-正規なWebサイトのURLはブックマークしておき、そこからアクセスする
-生体認証など、別の認証方法の利用も追加で検討する
などが有効とされています。
今や不正アクセスはあらゆる業種業態で連日行われています。これらにニュースには常に自分事として敏感になって対応していかなくては取り返しのつかないことになってしましますので、皆さんも気を付けていただければと思います。

「人工知能」や「AI」に夢を見ているあなたへ。前のページ

AIが日本を救う? AIとSDGs(エス・ディー・ジーズ)次のページ

ピックアップ記事

  1. 大手企業も注目するMaaS(Mobility as a Service)とは何か…
  2. 新型コロナウイルスで日本の働き方改革が起こる
  3. 新しい販売形態であるDtoCについて考えてみる
  4. AIに求められているものは、実は意外な物だった

関連記事

  1. Web関連

    海外のハイクオリティな写真まとめサイト3選

    世の中には写真の購入サイトがいっぱいありますが、皆さんは利用したことあ…

  2. Web関連

    最新の情報に敏感…!美容室のIT活用とは?

    最新の情報に敏感な方は結構多いですよね。そんな方は、デザイナー系の方に…

  3. Web関連

    セキュリティ対策はクラウドストレージでも必須!!

    データの保存や共有などにとても便利なクラウドストレージ。中でも無料で使…

  4. Web関連

    スマホ広告を出す前に押さえておきたい3つのポイント

    こんにちは、コンサルの横山です。「歩きスマホ」での事故が年々増えてる…

  5. Web関連

    頭と心のストレッチ。 ホッと一息つく脱力系サイトまとめ

    2016年も約半分終わりました・・・。バリバリ仕事をこなしているであろ…

  6. Web関連

    動画を長く見てもらうために、例をもとに考える。

    最近、スマートフォンを買い換えようと思い、auの製品ラインナップのペー…

おすすめ記事

最近の記事

  1. デジタル化が旅行・観光業を救う!?ウィズコロナ・アフターコロ…
  2. 人が対応するのが正しいの?DX(デジタルトランスフォーメーシ…
  3. 人間拡張って聞いたことがありますか?デジタル化が背中を押して…
  4. テレワークだけでは足りない?デジタルシフトなど、アフターコロ…
  5. 【初心者向け】ここに注目!スマートフォン用バナーを作成しよう…

アーカイブ

  1. Web関連

    WEB制作に欠かせない知識とは?
  2. Web関連

    クラウドデータベースサービスによりエンジニアのしごとが無くなる!?
  3. Web関連

    動眼(どうがん)でアーティスト気分に浸りたい!
  4. Web関連

    「拝啓」はもう使わない!?変わるギフト市場
  5. Web関連

    Web制作会社が提案する顧客ロイヤリティ向上施策
PAGE TOP