少し前のブログで情報セキュリティ・リスクにまつわる話を書いたが、その後もこの手の話が噴出している。
個人的な話では、新たなサービスサイトから「最近、複数のサイトにおきまして、本人になりすましたログインや不正なポイント交換を行うといった行為が頻発しており、複数のサイトで同一のID・パスワードをご利用されている場合、被害に繋がる可能性がございます。・・・・・より安全にサービスをご利用していただくために、パスワードの変更を強く推奨いたします。」などのメールが送られてきた。
世間では、WindowsXPのサポート終了、XPサポート終了直後にIEの脆弱性が発覚、そのほかOpenSSLやApache StrutsのClassLoaderで脆弱性が見つかるなど、セキュリティ問題が数多く報じられた。
またネットバンキングに関わる不正に関しては、2013年の不正送金被害額が約14億円で、過去最多だそうである。
「情報セキュリティ白書」を読むと、情報セキュリティ・リスクに関する全体像と、最近のリスクの傾向などが分かる。
最近の傾向を幾つか、白書から抜粋してご紹介したいと思う。
2012年国内のインターネットバンキングを狙ったウィルスが確認された。
このウィルスは、従来のフィッシングとは異なる手口で、利用者のアカウント情報を摂取する。
従来のフィッシング詐欺は、ニセのWebサイトに利用者を誘導するものであったが、このウィルスの手口は、正規の金融機関のWebサイトにアクセスしている途中、ウィルスがポップアップ画面を表示して登録者情報を入力させる。
利用者は正しいWebサイトにアクセスしているので、ポップアップがニセモノと知らずに情報を入力してしまう。
これも少し前のブログで、自動車のIT化が進み、自動車に関しても悪意のある第三者による侵入や乗っ取りのリスクがあると書いた。
情報セキュリティ白書でもこのことに言及しているのだが、白書を読む限りでは、日本における対策の検討は緒に就いたばかりである。
アメリカでは、車載システムのセキュリティリスク評価手法と、ECU(Electronic Control Unit)のハードウェアセキュリティについて検討が行われている。
また、2012年には、高校生や大学生が参加して、自動車へのサイバー攻撃を実験するワークショップ「Cyber Auto Challenge」が開催された。
サイバー攻撃は自動車に限った話ではない。
エネルギー(電力、ガス、石油)、生産ライン、化学プラント、輸送、通信など重要インフラの制御システムに対するサイバー攻撃が増加している。
白書では、2012年に社会的影響が大きかったセキュリティ上の脅威に関して、上位10件が記載されている。これらの脅威については、2012年に限った話ではなく、引き続き警戒が必要だと思われるので引用しておく。
(1)クライアントソフトの脆弱性を突いた攻撃
これは目新しいものではない。近年発生しているウィルスを用いた攻撃の大半は、クライアントソフトの脆弱性を突いている。
しかし、ユーザに対策が浸透していないために、被害を食い止められていないのが実情、としている。
攻撃の99.8%は既知の脆弱性を悪用されたものだそうである。実際、マイクロソフトのサポートが終了していても、WindowsXPを使い続けている人は少なからずいる。
(2)標的型諜報攻撃の脅威
2012年、政府機関や宇宙航空産業への攻撃が報道され、機密情報の流出が疑われている。
サイバー空間における諜報活動が、標的型攻撃の新しい流れである。標的型諜報攻撃が他の攻撃と異なる点は、その「戦術性」にある。攻撃者は、標的となる政府機関や特殊技術を持った組織を調査し、ウィルスを使ってシステム内部に侵入し、情報を収集する。
攻撃に用いられるウィルスは、標的毎に作られているため、ウィルス対策ソフトでの検知が難しい。
(3)スマートデバイスを狙った悪意あるアプリの横行
近年加速的に普及しているスマートデバイス(スマートフォンやタブレット)ユーザーをターゲットに、魅力的な機能を持っていると見せかけた不正アプリが電話帳等の情報を窃取する被害が増加している。
(4)ウィルスを使った遠隔操作
2012年、ウィルスに感染したPCを経由して、悪意ある第三者が掲示板に脅迫文を書き込むとともに、当該ウィルスに感染したPCの所有者が誤認逮捕される事件が発生した。
(5)金銭窃取を目的としたウィルスの横行
2011年頃より海外のインターネットバンキングで、ウィルスにより認証情報が窃取され、金銭被害に発展する事件が報告され始めた。
2012年からは国内のインターネットバンキングでも同様の手口による被害が確認されている。
(6)予期せぬ業務停止
システムのクラウド化が進む中、2012年はレンタルサーバー企業において人為的ミスによる大規模障害が発生した。
5万顧客中、約5,700の顧客のサーバ群に対し、不適切なファイル削除処理を含むプログラムが実行され、大規模にデータが消失し、復旧不可能な状況に陥った。
(7)ウェブサイトを狙った攻撃
ウェブサイトを狙った攻撃は、旧来から認識されている脅威であるが、残念ながら被害が後を絶たない。攻撃者は、個人情報などの窃取、ウェブサイトにウィルスを埋め込んで、サイトを閲覧したユーザーのPCをウィルスに感染させる、敵対する組織のウェブサイトを改竄して自分たちの主張を誇示する、などの目的で攻撃を仕掛けてくる。
(8)パスワード流出の脅威
オンラインサービスの増加に伴い、同一のID/パスワードを使いまわすユーザーが増えた。
ここに目を付けた攻撃者は、1つのウェブサイトから窃取したパスワードリストを使用して、他のウェブサイトにパスワードリスト攻撃を仕掛ける。
国内セキュリティシステム企業の調査によると、ユーザーの7割が3種類以下のパスワードを使いまわしているという。
(9)内部犯行
内部の人間による故意の情報漏洩や不正操作による被害が報告されている。
正当な権限を有する人間による犯行であるため、防止が難しく、被害も大きくなる傾向にある。
(10)フィッシング詐欺
フィッシング詐欺は、ユーザーを騙すことにより、インターネットバンキングのID/パスワードやクレジットカード番号などの情報を盗み取る犯罪である。
最近では金銭情報だけでなくオンラインゲームやインターネットオークションのアカウントが盗まれるケースも存在する。攻撃者は、フィッシング詐欺で盗んだ認証情報を利用して、本人に成りすまして金銭を引き出す。ユーザーは、金銭の請求や残高を確認するまで、自身が被害に遭っているとは気付きにくく、事件の発覚が遅くなる傾向がある。
フィッシング詐欺に対する法律面の改正も行われた。
2012年5月に施工された、いわゆる「改正 不正アクセス禁止法」であり、以下の行為が取り締まり対象になった。
- 他人のID/パスワード等を不正に取得する行為
- 入手したID/パスワード等を他人に提供する行為
- 他人のID等を入手するためにフィッシングサイトを作成して公開する行為や、ID等の入力を求めるメールを送信してID等を入手しようとする行為。
- 他人のID等を不正に保管する行為
|