情報セキュリティ10大脅威 2018(その1)
クローバーフィールドの杉山です。
一月末に情報処理推進機構より「情報キュリティ10大脅威 2018」が発表されました。
毎年、この時期に発表される「情報キュリティ10大脅威」ですが、去年一昨年と比べてどのように変わったのでしょうか。
個人に対する脅威からに見ていきたいと思います。
まず、2017年のランク外から「偽警告」が10位に入ってはいってきました。
パソコンやスマートフォンなどの端末でウェブサイトを閲覧している際、ウイルスに感染している等の警告を表示します。
騙されてウイルス除去ソフトのダウンロードなどの指示に従うと、端末にマルウェアなどをインストールされてしまいます。
また、アダルトサイトなどに勝手に登録されたようなメッセージを出して登録解除に必要と偽って金銭を要求するような詐欺もあります。
国民生活センターのアダルト情報サイトについての相談件数は減少しているようですが、2017年は約20,000件と少なくありません。
偽警告についてアダルト情報サイト以外に、まとめサイトや掲示板、Wiki、メディアサイトやニュースサイトなど普段利用する可能性があるサイトが乗っ取れて埋め込まれている場合もあるので自分は大丈夫だと油断しないように注意が必要です。
つづいて、9位は「IoT機器の不適切な管理」と言うことで、2017年の10位からランクアップしました。
2016年はランク外でしたのでジリジリと脅威が増しております。
個人的になんでもかんでもネットワークに接続するのは気持ちが悪いのでイヤなのですが、時代が許さん感じですね。
スマートスピーカーもどんどん普及しており、脆弱性に関するニュースも出てきておりさらなる躍進が期待されます。
IoT機器にも当然なんらかのOSやソフトウェアが搭載されているので、やはり脆弱性を突かれる可能性があります。
2017年のニュースでもネットワークカメラが乗っ取られて映像を盗み見されたり、ルータなどのネットワーク機器が乗っ取られて他所のDDoS攻撃に参加していたりしたら大変です。
本来であれば自分が保有しているIoT機器のセキュリティ情報についてこまめにめにチェックするのが正しいのでいしょうが、やらないですよね。
少なくとも初期設定のパスワードのまま放置したりするのはやめましょう。
8位は、「ワンクリック請求等の不当請求」です。
2016年は4位、2017年は5位と言うことで認知度の高まりとともに騙されなくなってきているのでしょうが、まだまだ十分に警戒が必要です。
スマートフォンが若年者や高齢者に普及しているため、今後も啓もう活動が必要であると考えます。
アダルト関係とかだと、人に相談しづらいでので支払ってしまうケースが後を絶たないようです。
どんどん行きますよ。7位は「情報モラル欠如に伴う犯罪の低年齢化」です。
2016年、2017年の8位からランクアップです。
パソコン、スマートフォン、インターネットの利用についての教育が必要ですよね。
検索すれば、悪用できる情報の入手が簡単です。
2017年もランサムウェアを作成して中学生が逮捕されました。
それほど技術がなくてもコードのサンプルが入手できるのでコピー&ペーストで悪さし放題です。
刑法の「不正指令電磁的記録に関する罪」でアウトです。
それ以外であっても5位「ウェブサービスへの不正ログイン」にもあるように、他人のユーザIDとパスーワードを不正に入手して買い物したりする事件があります。
うちの中学生の長男もスマートフォンのログインを上級生にソーシャルハッキングされて勝手にLINEのメッセージを送られるなどの被害に遭いあいました。
本人は悪戯のつもりかも知れませんが、不正アクセス禁止法違反です。
簡単に犯罪者になってしまうことを子供にきっちり教育していく必要があります。
6位は「ウェブサービスからの個人情報の窃取」です、
インターネツトには便利なサービスがあり、料金の支払いに使用するカードなどの情報を登録することもあります。
サービスを提供している企業がクラッキングされたり、内部犯行でデータを持ち出されたりして漏れた情報をもとに被害に遭う場合があります。
カードの情報自体が漏れていない場合であっても、複数のサービスに同じユーザIDとパスワードを利用していた場合、横並びで試される可能性があります。
パスワードの使い回しはやめましょう。
また、スマートフォンのアプリの中にはキーローガーが埋め込まれているものもあります。
見た目に判断できないので、作成元がよくわからないアプリはインストールしないようにしましょう。
ほんと、それくらいしか対策が無くて困ります。
また、昨年末にHP製のノートパソコンにキーロガーが発見されたニュースがありました。
キーボードのドライバに埋め込まれており、本来の目的はデバッグトレース用で機能は無効化されていました。
意図せず埋め込まれていたのですが、レジストリの値を変更することで有効化でき、悪意のあるものが利用すれば入力内容を盗まれてしまいます。
大手であればユーザ数も多いので、被害が大きくなる可能性があります。
こんなの注意するの無理ですね。
今回はここまで。
次回は個人の上位5位まで書きたいと思います。