第7回 情報セキュリティ10大脅威①

情報セキュリティ連載

参考文献/『情報セキュリティ10大脅威 2017』 独立行政法人 情報処理推進機構(IPA)

ウィルスメールここからは独立行政法人情報処理推進機構(以下IPA)が毎年発表する情報セキュリティ10大脅威についてお話いたします。この10大脅威は毎年3月に前年のセキュリティ上被害が大きかったものを中心に専門家の投票でランキングされるものです。

前回「情報セキュリティ10大脅威 2016」から初めて個人編と企業編にランキングが分かれるようなりました。以下がそのランキングです。

個人編ウィルス対策

第 1位 インターネットバンキングやクレジットカード情報の不正利用
第 2位 ランサムウェアによる被害
第 3位 スマートフォンやスマートフォンアプリを狙った攻撃
第 4位 ウェブサービスへの不正ログイン
第 5位 ワンクリック請求等の不当請求
第 6位 ウェブサービスからの個人情報の窃取
第 7位 ネット上の誹謗・中傷
第 8位 情報モラル欠如に伴う犯罪の低年齢化
第 9位 インターネット上のサービスを悪用した攻撃
第10位 IoT機器の不適切な管理

企業編

ウィルス対策

第 1位 標的型攻撃による情報流出
第 2位 ランサムウェアによる被害
第 3位 ウェブサービスからの個人情報の窃取
第 4位 サービス妨害攻撃によるサービスの停止
第 5位 内部不正による情報漏えいとそれに伴う業務停止
第 6位 ウェブサイトの改ざん
第 7位 ウェブサービスへの不正ログイン
第 8位 IoT機器の脆弱性の顕在化
第 9位 攻撃のビジネス化(アンダーグラウンドサービス)
第10位 インターネットバンキングやクレジットカード情報の不正利用

10年前と比較すると大まかには変わっていないと思われます。2007年の2位の標的型攻撃は10年間トップ10の上位を占め続けています。また4位のゼロデイ攻撃は2017年の2位ランサムウェアによる被害とこちらは、進化した形で上位に存在し続けています。また、注目すべきは、企業編の8位9位です。両方とも2017年に初ランクインしているものです。

まず、8位のIoT機器の脆弱性の顕在化についてです。個人編では10位の機器の不適切な管理がこれに関連します。IoT(Internet of things)とはモノのインターネットと呼ばれ防犯カメラや自動車、医療機器等これらの物がインターネットに接続する機能を備えたモノを言います。

従来の標的型攻撃にIoT機器が加担

昨年、Miraiというウィルスが多くのIoT機器に感染しアマゾン等大手Webサービスが障害を受けました。IoT機器は構造上セキュリティが然程強くなく、また利用者側がパスワードを未設定のまま利用していたりとセキュリティの意識が低いところをMiraiに狙われています。

Miraiはパスワードが初期状態のまま使用されている工場や企業の監視カメラへハッキングをかけ感染を急拡大させました。これらがロボット化され一斉にネット上や感染したネットワーク上にある企業等のサーバーへアクセスをかけます。一度にアクセスをかけられると、サーバーは処理しきれなくなりダウンしてしまいます。これを一般的にDDoS攻撃と言います。

DDoS攻撃はカモフラージュ?

先に標的型攻撃(関係者を装ったメールにウィルスを仕込ませたもの)で企業内のPC等にウィルスを感染させ、DDoS攻撃で社内ネットワークが遮断された状態にします。感染させたパソコンから情報収集ウィルスの拡散等様々な攻撃につなげていきます。これをATP攻撃と言います。

一般的にDDoS攻撃はサーバーダウンを脅迫し金銭的脅迫をかける為とされるパターンが多く目につきますが、実際は企業内のネットワークへの侵入、情報を収集するための攻撃の一部として使われるケースが出てきています。

ですので、WEBカメラや社内ルータのセキュリティについて再確認をするようにしましょう。初期パスワードの変更をするだけでもDDoS攻撃の防御対策になりますので、パスワード変更をすることをお勧めいたします。
さらに、IoT機器は2020年には3,000億台が稼働するとされており、IoT機器へのセキュリティ向上が急務となっています。

IoT機器がウィルス感染するという認識が薄いため、このままの状況だと上記を含む様々な被害が拡大の一途を辿っていくことが予想されます。

対応策として

一方でこのMiraiをロボット化させた群れが、インターネット上で販売されており、これが大きなマーケットに成長しています。これが、2017年の企業編9位の攻撃のビジネス化(アンダーグラウンドサービス)です。このマーケットが拡大しているのはやはりユーザー側の知識不足が挙げられます。

企業、個人を問わずIoT機器を設置、使用する場合インターネットに繋がっていることを意識し、初期パスワードを長いパスワードへ変更、不要な機能の無効化をする等利用者としての機器の機能の理解をすることが必要となります。

次回は、この攻撃のビジネス化についてお話いたします。

 


神奈川県川崎市で税理士・社会保険労務士をお探しなら

LR小川会計グループ

経営者のパートナーとして中小企業の皆さまをサポートします


お問い合わせ