HOME情報セキュリティ2015年1月の呼びかけ

本文を印刷する

情報セキュリティ

2015年1月の呼びかけ

「今月の呼びかけ」一覧を見る
第14-21-326号
掲載日:2015年 1月 7日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
(PDFはこちら)

「 利便性 となり合わせの 危険性

※ 第10回IPA「ひろげよう情報モラル・セキュリティコンクール」2014 標語部門
優秀賞 佐藤 健文 さん(新潟県 長岡市立栖吉中学校 3年)の作品

2014年を振り返ると「OpenSSLの脆弱性(Heartbleed)※1」をはじめ、「Windows XPのサポート終了」や「Internet Explorerの脆弱性」など一般利用者に影響の大きい問題が相次いだ1年でした。また、「パスワードリスト攻撃による不正ログイン※2」、「内部不正による顧客情報流出」、「インターネットバンキングの不正送金」、「iPhoneのプライベート画像流出」といった、利用者の機能やサービスに対する認識の甘さから被害に遭ってしまったと考えられるセキュリティ事案が多数ありました。

図1:一般利用者のパソコンやスマートフォンを狙う脅威のイメージ

図1:一般利用者のパソコンやスマートフォンを狙う脅威のイメージ

2014年の「呼びかけ」も一般利用者に向けた内容が多く、取り上げたテーマと回数を分類した結果、注目すべきキーワードは、次の3つでした。

1. スマートフォン
(5月、6月、9月、12月で呼びかけ)

2. クラウドサービス 
(2月、10月で呼びかけ)

3. インターネットバンキング
(7月、8月で呼びかけ)

2015年1月の呼びかけでは、上記のキーワードに着目して2014年のセキュリティ事案を振り返り、情報セキュリティの重要性、必要性を改めて確認していきます。


※1
OpenSSL の脆弱性対策について(CVE-2014-0160)

 
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

※2
プレス発表 パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ STOP!! パスワード使い回し!!

 
https://www.ipa.go.jp/about/press/20140917.html

(1)スマートフォンのセキュリティ事案

総務省の平成25年通信利用動向調査※3によると、スマートフォンの普及率は年々増加し続け、2013年末時点で主な情報通信機器の世帯保有率は62.6%となっています(図2参照)。スマートフォンの普及に伴い、IPAの安心相談窓口に寄せられるスマートフォンに関する相談も増加(図3参照)しており、今後も相談が増加するものと考えられます。

図2:総務省の平成25年通信利用動向調査によるスマートフォンの普及状況の推移
図2:総務省の平成25年通信利用動向調査によるスマートフォンの普及状況の推移

図3: IPAの安心相談窓口に寄せられたスマートフォンに関する相談件数の推移
図3: IPAの安心相談窓口に寄せられたスマートフォンに関する相談件数の推移

現状では、スマートフォンはアプリをインストールすることで、様々な機能やサービスを利用することができますが、アプリの中には便利なアプリと偽った不正なアプリの存在も確認されており、不用意にアプリをダウンロード、インストールしてしまうと思わぬ被害に遭う可能性があります。

特にスマートフォンは電話以外にメール、スケジュール帳、アルバムといったパソコンと同等のデータが扱われることから、端末の紛失や盗難への対策はもちろんのこと、不正アプリによる情報の窃取などにも注意する必要があります。

※3
総務省:平成25年通信利用動向調査の結果

 
http://www.soumu.go.jp/menu_news/s-news/01tsushin02_02000072.html

(2)クラウドサービスのセキュリティ事案

2014年9月、米国の人気女優やモデルなど著名人のプライベート画像が外部に流出したという報道が世間を騒がせました。この事件は、 インターネットを通じてデータ保管やソフトウェア利用を提供するクラウドサービスを不正利用されたことによるものと考えられています。IPAでは2014年2月にもクラウドサービスの利用について注意を呼びかけています。

クラウドサービスは利便性の一方で、クラウド(インターネット)上にデータを保存することで第三者にそのデータを不正に閲覧または窃取される可能性があることを認識する必要があります。そのため、クラウドサービスの特性を理解して、対象となるデータ、公開される範囲などを事前に確認した上で、サービスの利用を判断することが重要です。

図4:データをパソコンに保存する場合とクラウドに保存する場合の利便性とリスク
図4:データをパソコンに保存する場合とクラウドに保存する場合の利便性とリスク

クラウドサービスに限らず、パソコンやスマートフォンで扱うデータは、いつ、どのような理由で外部に流出するとも限りません。思わぬ情報漏えいとならないよう、データの取り扱いやアカウント情報の管理は適切に行う必要があります。

(3)インターネットバンキングのセキュリティ事案

一般社団法人 全国銀行協会が法人会員向けに実施したアンケート結果※4によれば、インターネットバンキングの不正送金被害は2013年4月以降、増加の一途を辿り、個人口座の不正送金被害額は、2014年1月~3月期に過去最悪の被害額となりました。また、2014年1月以降は法人口座での不正送金被害が広がりました。 その結果、2014年の総被害額は2014年9月末時点で既に2013年の総被害額の2倍以上となっています。

図5:インターネットバンキングによる不正送金被害額の推移
図5:インターネットバンキングによる不正送金被害額の推移
(全国銀行協会が発表したアンケート結果を基にIPAにて作成)

インターネットバンキングの不正送金被害はかねてから確認されており、被害防止に向けた対策を行うも、その対策を回避する新たな攻撃が出現するといった、イタチごっこの様相を呈してきたと言えます。

2014年は電子証明書を窃取する新しいウイルスも出現し、一度の取引額が個人口座より高く設定されている法人口座が狙われたことが、総被害額増加の一因となっています。現在は利用者、金融機関の被害防止のための各種取り組みによって被害額は減少傾向にあるようですが、代償として従来の機能やサービスが一部制限されるなど、利便性が失われることになりました。

※4
全国銀行協会が会員の191行を対象に2014年9月末時点における盗難通帳、インターネットバンキング、盗難・偽造キャッシュカードによる
預金等の不正払戻し件数・金額等、および口座不正利用に関して実施したアンケート

 
http://www.zenginkyo.or.jp/fileadmin/res/hanzai/statistics/news261127_2.pdf

(4)日頃から意識したいセキュリティ対策

前述した被害に共通するのは、利用者の機能やサービスに対する認識の甘さから生じる隙が狙われているということです。スマートフォン、クラウドサービス、インターネットバンキングいずれも便利な機能、サービスではありますが、利用者は便利な一面だけでなくリスクにも目を向ける必要があります。

もしウイルス感染してしまったら、アカウント情報が漏れてしまったら、といった想定されるリスクの認識とリスクへの対策が必要です。

今回紹介したような被害に遭わないための具体的な対策には、例えば、以下のようなものがあります。利用者はこれらについて日頃から意識、実践していくことが大切です。

スマートフォンに関する被害を防ぐために

不正アプリの悪用等、スマートフォンに関する被害を防ぐために、次のことを実践してください。

  • 端末(画面)ロックを設定する
  • スマートフォンを他人に操作させない
  • アプリは公式マーケットなどの信頼できる場所から入手する

(ご参考)

2014年5月の呼びかけ:「 あなたのスマートフォン、のぞかれていませんか? 」
2014年6月の呼びかけ:「 登録完了画面が現れても、あわてないで! 」
2014年9月の呼びかけ:「 非公認のスマートフォンアプリに不用意にアカウント情報を登録していませんか? 」
2014年12月の呼びかけ:「 個人間でやりとりする写真や動画もネットに公開しているという認識を!」

クラウドサービスからの思わぬ情報漏えい被害を防ぐために

クラウドサービスの利用にあたり、次のことを実践してください。

  • クラウドサービスの公開範囲や公開対象などを事前に理解した上で利用する
  • クラウドサービス利用時に必要なアカウント情報は適切に管理する
    (安易に推測できるパスワードを使用しない、パスワードを使い回さないなど)
  • 外部に公開しても問題のないデータのみ利用する

(ご参考)

2014年2月の呼びかけ:「 知らない間に情報を外部に漏らしていませんか? 」
2014年10月の呼びかけ:「 クラウドサービスからの情報漏えいに注意! 」

インターネットバンキングの不正送金被害やウイルス感染を防ぐために

インターネットバンキングの不正送金を実行するウイルスをはじめ、様々なウイルス感染を防ぐために、次のことを実践してください。

  • サポートの終了したOS(基本ソフト)やソフトウェアがインストールされているパソコンでインターネット接続や他のパソコンとデータのやりとりをしない
  • 使用しているパソコンにインストールされているソフトウェアは常に最新のバージョンに更新し、脆弱性を解消する
  • セキュリティソフトを導入し、ウイルス定義ファイルを最新に保ち、使用する
  • 安易にメールに添付されたファイルやメール本文中のURLをクリックしない

(ご参考)

2014年4月の呼びかけ:「 あなたのパソコンは4月9日以降、大丈夫? 」
2014年7月の呼びかけ:「 オンラインバンキングの正しい画面を知って、金銭被害から身を守りましょう! 」
2014年8月の呼びかけ:「 法人向けインターネットバンキングの不正送金対策、しっかりできていますか? 」

図6:日頃からのセキュリティ対策が重要
図6:日頃からのセキュリティ対策が重要

パソコンやスマートフォンを利用する際は、常に「利便性 となり合わせの 危険性」の存在を意識して、上記のような対策を実践することが重要です。



※本紙に記載の製品名、サービス名等は、各社の商標もしくは登録商標です。

本件に関するお問い合わせ先

情報セキュリティ安心相談窓口
 Tel: 03-5978-7509 Fax: 03-5978-7518
 E-mail: 電話番号:03-5978-7509までお問い合わせください。
 技術本部 セキュリティセンター 加賀谷/野澤

更新履歴

2015年 1月 7日 掲載
2015年 4月 3日 リンク先アドレス変更に伴い注釈4記載のURLを更新

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。