情報セキュリティ
最終更新日:2017年5月30日
10大脅威選考会メンバーの投票により選出した「個人」と「組織」の10大脅威の順位と概要は下記になります。
ウイルス感染やフィッシング詐欺により、インターネットバンキングの認証情報やクレジットカード情報が攻撃者に窃取され、正規の利用者になりすまし、不正送金や不正利用が行われた。2016年は2015年と比べインターネットバンキングの被害件数が減少し、さらに、個人口座の被害額も減少している。被害は減少傾向になってはいるが、個人口座の被害額は引き続き大きいため、個人のインターネットバンキングやクレジットカード利用者においては警戒が必要である。
ランサムウェアとは、PCやスマートフォンにあるファイルの暗号化や画面のロックを行い、復旧させることと引き換えに金銭を要求する手口に使われるウイルスである。2016年は前年と比べるとランサムウェアの検知数が増大している。感染した端末だけではなく、共有サーバーや外付けHDDに保存されているファイルも暗号化されるため、ソフトウェアの更新等の感染を予防する対策に加え、定期的にファイルのバックアップを取得し、PCやサーバーから切り離して保管しておくことが望ましい。
人気アプリに偽装した不正アプリを利用者にインストールさせ、スマートフォン内の個人情報を窃取したり、遠隔操作を行える状態にしたりする事件が発生した。また、スマートフォン向けランサムウェアによって端末をロックして、復旧と引き替えに金銭を要求される被害も起きている。
2016年に確認されたウェブサービスへの不正ログインの多くが他のウェブサイトから漏えいしたIDやパスワードを悪用している。ウェブサービス利用者は、パスワード管理ソフト等を使い、複雑なパスワードを設定した上でパスワードの使い回しを避ける必要がある。また、ウェブサービスの一部では、多要素認証等の不正ログイン対策を行っている場合があるので、ウェブサービスの利用者は、それらの対策を活用する。
PCやスマートフォンを利用中にアダルトサイトや出会い系サイト等にアクセスすることで金銭を不当に請求されるワンクリック請求の被害が依然として発生している。これまでは利用者のクリックをきっかけにして請求画面が表示されるものだったが、2016年はクリックすることなく請求画面が表示される「ゼロクリック詐欺」と呼ばれる手口も出現している。
なお、1月31日にプレスリリースした「情報セキュリティ10大脅威 2017」を決定では、タイトルを 「ワンクリック請求などの不当請求」としていましたが、検討の結果、本タイトルに変更しました。
ウェブサービスの脆弱性を悪用し、ウェブサービス内に登録されている住所や氏名等の個人情報やクレジットカード情報が窃取される事件が2016年も前年に引き続き発生している。数10万件の個人情報等の重要な情報が漏えいする事件も発生しており、ウェブサービスを運営・管理する組織は適切な対応が求められる。また、ウェブサービス利用者は万が一の情報漏えいを考慮して、そのサービスの信頼性の確認やサービス利用に不必要な情報は登録しない等の対応が必要である。
コミュニティサイト(ブログ、SNS、掲示板等)での誹謗中傷や犯罪予告の書き込みが行われ問題となっている。不用意で過激な投稿により、一般人の心理的脅迫や名誉棄損、営業妨害や社会混乱等を招いている。
なお、1月31日にプレスリリースした「情報セキュリティ10大脅威 2017」を決定では、タイトルを 「匿名によるネット上の誹謗・中傷」としていましたが、検討の結果、本タイトルに変更しました。
2016年も未成年者がIT犯罪の加害者として逮捕、補導される事件が多数確認されている。IT犯罪に悪用できるツールや知識がインターネットを通じて誰でも入手できるようになり、情報モラルの欠如した未成年者が、IT犯罪に手を染めてしまっている。
なお、1月31日にプレスリリースした「情報セキュリティ10大脅威 2017」を決定では、タイトルを 「情報モラル不足に伴う犯罪の低年齢化」としていましたが、検討の結果、本タイトルに変更しました。
正規のサイトに表示される不正広告や、正規のサービスをコマンド&コントロールサーバー(C&C:ウイルスに感染しているPCに対して命令するサーバー)として動作させてウイルスとの通信に悪用する等、インターネット上でサービスとして提供されている機能や仕組みを隠れみのとする攻撃が問題となった。これらは、正規のサービスを利用していることから、利用者側の対策が難しく、サービス提供ベンダー側での対策が求められる。
ウイルス「Mirai」によるDDoS攻撃により、複数の大手ネットサービスが5時間にわたって接続しにくくなるトラブルが発生した。これは、初期パスワードのまま使用されているネットワークカメラ等のIoT機器が、攻撃者に乗っ取られ、ウイルス「Mirai」に感染し、ネットサービスにDDoS攻撃を行ったことが原因である。個人や組織のIoT機器の所有者が知らないうちに攻撃に加担してしまっている。
なお、1月31日にプレスリリースした「情報セキュリティ10大脅威 2017」を決定では、タイトルを 「IoT機器の不適切管理」としていましたが、検討の結果、本タイトルに変更しました。
企業や民間団体や官公庁等、特定の組織に対して、メールの添付ファイルやウェブサイトを利用してPCにウイルスを感染させ、そのPCを遠隔操作して、別のPCに感染を拡大し、最終的に個人情報や業務上の重要情報を窃取する標的型攻撃による被害が引き続き発生している。
ランサムウェアとは、PCやスマートフォンにあるファイルの暗号化や画面のロックを行い、復旧させることと引き換えに金銭を要求する手口に使われるウイルスである。2016年は前年と比べるとランサムウェアの検知数が増大している。感染した端末だけではなく、その端末からアクセスできる共有サーバーに保存されているファイルも暗号化されるため、ソフトウェアの更新等の感染を予防する対策に加え、定期的にファイルのバックアップを取得し、PCやサーバーから切り離して保管しておくことが望ましい。
ウェブサービスの脆弱性を悪用し、ウェブサービス内に登録されている住所や氏名やクレジットカード情報が窃取される事件が2016年も引き続き発生している。数10万件の個人情報等の重要な情報が漏えいする事件も発生しており、ウェブサービスを運営・管理する組織は適切な対応が求められる。
攻撃者に乗っ取られたIT機器等から構成されたボットネットにより、企業や民間団体等、組織のウェブサイトや組織の利用しているDNSサーバーに大量のアクセスを行うDDoS(分散型サービス妨害)攻撃が急増した。攻撃によりウェブサイトやDNSサーバーが高負荷状態となり、利用者がアクセスできなくなる被害が発生し、ウェブサイト運営者が対応に追われた。
組織内部の職員や元職員による、情報の不正な持ち出し等の不正行為が起きている。不正に持ち出した情報の紛失により情報漏えいにつながるケースがある。内部不正を防ぐには、制約や罰則を設けるといった管理的な対策に加えて、適切なアクセス権限の設定やログの収集・管理等の技術的な対策を取り、不正行為を防止すると共に、検知と追求が可能な環境であることを職員に周知する必要がある。
コンテンツ管理システム(CMS)等に存在する脆弱性を悪用し、ウェブサイトが改ざんされる事例が今年も発生している。復旧までウェブサイトを停止することになり、特にオンラインショッピング等を運営している場合、事業上の被害が大きい。また、閲覧者がウイルスに感染するように改ざんされた場合、社会的信用を失うことにつながる。
2016年に確認されたウェブサービスへの不正ログインの多くがパスワードリスト攻撃によって行われている。ウェブサービスの利用者がパスワードを使い回している場合、不正ログインが行われる恐れがある。ウェブサービスの提供者は、不正ログインされないように多要素認証等のセキュリティ機能をウェブサービスの利用者に提供する必要がある。
2016年は、自動車や医療機器の脆弱性が昨年に続いて公表された。またIoT(Internet of Things)機器の脆弱性を悪用してボット化することで、インターネット上のサービスやサーバーに対して大規模なDDoS攻撃が行われる等、IoT機器の脆弱性に関する脅威が顕在化している。
犯罪に使用するためのサービスやツールがアンダーグラウンド市場で取り引きされ、これらを悪用した攻撃が行われている。攻撃に対する専門知識に詳しくない者でもサービスやツールを利用することで、容易に攻撃を行えるため、サービスやツールが公開されると被害が広がる恐れがある。
ウイルス感染やフィッシング詐欺により、インターネットバンキングの認証情報が攻撃者に窃取され、正規の利用者になりすまし、不正送金や不正利用が行われた。2016年は2015年と比べインターネットバンキングの被害件数は減少し、さらに、銀行やカード発行会社の被害額は減少している。
IPA セキュリティセンター 土屋/内海