情報セキュリティ10大脅威2020が発表されました

2020.02.19
    情報セキュリティ10大脅威2020が発表されました
    このエントリーをはてなブックマークに追加

    こんにちは。名古屋情報セキュリティ相談センター・プライオリティです。

     

    現代の日本の情報システムやセキュリティについて情報発信や人材育成の施策を展開している情報処理推進機構(IPA)が「情報セキュリティ10大脅威」を1月29日に発表しました。

    同機関が毎年発表しているもので有識者がこれまで実際に被害に遭った件数やこれから脅威となるサイバー攻撃についてまとめています。このランキングを参考にすることによって、今どのようなことが流行していてどんなことに注意を払っていかないといけないのかを考え直すことができます。

    [出典元]

    https://www.ipa.go.jp/security/vuln/10threats2020.html

     

    「個人部門」と「組織部門」の2つに分かれていて、特に目を引く部分が個人部門の第1位「スマホ決済の不正利用」ですね。

     

    「〇〇pay」といったQRコード決済のサービスが大きく広まり、利用する人も多くなってきました(私自身も毎日使っているヘビーユーザーです)。2019年10月に株式会社インフキュリオン・グループが調査したキャッシュレス決済利用状況の調査では、QRコード決済アプリの利用率は2019年3月時点では11.6%だったのに対して、増税後の2019年10月時点で35.7%と大きく伸びていることが確認できます。

    参考元サイト:https://infcurion.com/news/news-20191107_649/

     

    上記の調査では、クレジットカード決済や交通系ICカードによる決済の利用率の推移はほぼ横ばいなので、「キャッシュレス決済の増加はQRコード決済の増加である」ということが言えると思います。

     

    政府が推し進めている「キャッシュレス消費者還元事業」もこれを後押しし、多くの店舗が事業者登録をし、その還元(恩恵)に与ろうという消費者の需要と重なってキャッシュレス決済が普及してきているのですね。

     

    これだけスマホを使った決済が復旧してくると、それを狙ったサイバー攻撃が増えてくるということは容易に想像できるかと思います。

     

    実際、ソフトバンクグループが展開する「PayPay」や、セブン&アイ・ホールディングスが手掛けていた「セブン・ペイ」がサービス開始とほぼ同タイミングでセキュリティ被害に遭ったことはまだ記憶に新しいですよね。

    両サービスともに、本人確認の認証方法に不適切な部分があり、簡単に他ユーザーに乗っ取りが起きてしまいました。「PayPay」と「セブン・ペイ」がなぜこのような被害に遭ってしまったのか、両サービスで被害後のサービス継続になぜ違いが生じたのかはここでは触れませんが、多くの人が使いお金が動くサービスは常に悪意のある攻撃者が狙っているということは心得ておくとよいでしょう。

     

    事業者側の問題や認証寳保自体に欠陥がある場合は、私たちでは対策を打つことが難しいですが、その中でもできる対策というのはあります。

    基本的ではありますが、登録をする際にフリーWi-Fiのようなだれでもアクセスできるネットワーク環境内ではやらないことや、クレジットカード情報を他サイトで流出させないようにフィッシングサイト被害に遭わないように心掛けたり工夫したりすることが挙げられます。QRコード決済サービスでは、クレジットカード情報と連携してチャージしたり決済したりするケースも多いのでまずは自分の持っているクレジットカードを守るという行動が大切です。

     

    スマホ決済を狙ったサイバー攻撃は今後もしばらく落ち着くことがないと予想されますので、注意深くセキュリティ情報をチェックしながら便利なサービスを活用していきたいものですね。

     

     

    今度は、「組織部門」の方に目を向けてみましょう。

     

    2019年の発表に引き続き、「標的型攻撃による機密情報の窃取」が1位となりました。「標的型」というのが重要で、これは3位に入っている「ビジネスメール詐欺による金銭被害」にも関わってきます。

    少し前まで世間に出回っていた、不特定多数の方に向けたスパムメールもまだ存在はしますが、受信側のリテラシーも高まってだいぶ見分けがつくようになったという声も聞きます(それでもフィッシング被害は増加の一途をたどっていますが…)。「標的型攻撃」というのは「●●会社の▲▲部の■■さん」といった特定の人に向けて攻撃をしかけるものです。多くがメールを用いて私たちに忍び寄ってきます。

     

    攻撃を仕掛ける前に事前に私たちのことについて攻撃者は調べ上げてきます。メールアドレスはもちろんのこと、どこの会社の人と良くやり取りをしていて、いつの時間帯にメールの送受信が多いのか、よく使うメールの文言は何なのか、などなど。

    これらを念入りに調べ終わった後に攻撃者はメールを送り付けてきます。送信者のメールアドレスもいつもと一緒で文言や時間帯も普段通りであれば疑いなくそのメールや添付ファイルを開いてしまいますよね。それが第三者からのメールかもしれないのに…。

     

    ビジネスメールというのは、社長になりすまして会社の経理担当宛に送るメールが多いです。「緊急のやり取りだから急いで送金してほしい」「会社として水面下で進めていることだから、他社員には内密に振り込んで欲しい」という文言を使って緊急性や秘匿性を使ってお金をだまし取ろうとする手口です。

    これも「標的型攻撃」の一種で、事前に経理担当の人を調べ上げたうえで攻撃をしてくるので、もしこの記事を読んで頂いている方の中でお金の動きを管理している経理担当の方がいれば、メールだけで完結させず直接本人と電話で話してから送金処理をするなど、一手間がかかってはしまいますが、被害に遭わない為に万全の対策はしておきましょう。

     

    ここで重要なのが、標的にされたらどうしようもできないからセキュリティ対策はほどほどでいいやという考え方ではなく、標的にされにくくする為にはどうしたら良いのかと考えを切り替えることです。

     

    確かに一度標的にされてしまうと、その攻撃を防ぐことは一段と難しくなってしまいますが、標的にされないように努力することはできます。PCに不審なウイルスを入れないようにする為にPC(エンドポイント)セキュリティを強化したり、外部からの不正通信をブロックするためにネットワークセキュリティを強固なものにしたりすることで、標的にされにくくする(標的にするには面倒くさいと思わせる)ことができます。

     

    また最近ではスマホを狙った攻撃も多発しています。SMSや不審なアプリからスマホ端末の感染を狙います。その状態のまま社内のWi-Fiにアクセスすると、ウイルスが社内ネットワークが持ち込まれてしまいますので、ネットワークに持ち込ませない構成やスマホのウイルスを検知する対策も有効と言えますね。

     

    どのような対策がその企業によって適切なのかは、企業ごとによって様々ですのでお困りの際は是非とも当社名古屋情報セキュリティ相談センターへご連絡ください。

     

     

    最後に、IPA発表の「情報セキュリティ10大脅威」の全体を見た時に、ほとんどの脅威が昨年の10位以内で順位移動していることが分かると思います。

    これは何か大きい攻撃手段の変化が起きているわけではなく、細かい部分での変わっているだけなんだと思っています。

    セキュリティ対策として重要なことの最初の一歩に、「今のサイバー攻撃の手口や被害を知ること」が挙げられます。現状を知った上で初めてその対策や行動を決めることができる訳ですので、その現状の見極めが重要です。これだけ同じような手口や被害が続いてきたり、今後も続くことが想定されたりしていますので、色んなニュースや周りの人との情報交換で知識を蓄えて頂ければと思います。。もちろん私たちからもこのような記事を通してセキュリティ被害や今後の情勢についてお話していく予定ですので、今後の記事もお読みいただきますと幸いです。

    このエントリーをはてなブックマークに追加

    コラム

    対策事例

    小冊子ダウンロード

    Contact

    お気軽にお問い合わせください

    お気軽にお問い合わせください
    無料オフィスセキュリティ診断