情報セキュリティ
公開日:2015年2月6日
最終更新日:2015年4月3日
10大脅威執筆者会メンバーの投票により選出した10大脅威の順位と概要は下記になります。
ウイルスやフィッシング詐欺により、インターネットバンキングの認証情報やクレジットカード情報が窃取され、利用者本人になりすました攻撃者による不正送金や不正利用が行われた。2014年は、個人口座だけでなく法人口座からの不正送金被害が急増した。
なお、2月6日にプレスリリースした「情報セキュリティ10大脅威 2015」の順位を発表では、タイトルを 「オンラインバンキングやクレジットカード情報の不正利用」としていましたが、検討の結果、本タイトルに変更しました。
企業の従業員が内部情報を窃取し、第三者に販売した事件が社会的な問題となった。内部の人間が悪意を持つと、その人間がアクセスできる範囲で自由に情報を窃取できるため、情報の重要度に応じたアクセス権限の設定や退職者のアクセス権の抹消等、厳重な管理と監視を継続的に行う必要がある。
ウイルスに感染させたパソコンを外部から遠隔操作して、内部情報を窃取する標的型攻撃による被害が政府機関や民間企業で後を絶たない。2014年は、さらに巧妙化した手口が確認され、取引先や関連会社を踏み台にして目的の組織を狙う等の傾向が見られた。
攻撃者にIDとパスワードを知られることで不正ログインの被害に遭う。2014年も、脆弱なウェブサービスから窃取したIDとパスワードを悪用して、別のサービスに不正にログインされる被害が多発した。IDとパスワードを複数のサービスで使い回している利用者が被害に遭っている。
ウェブサービスから氏名や住所等の顧客情報を窃取される事件が頻発した。窃取された情報にIDやパスワード、クレジットカード情報が含まれる場合、不正ログインや金銭被害が発生する等、影響は広範囲に及ぶ可能性もある。
2014年、アメリカの映像メディア企業が攻撃を受けて情報漏えいやサービス停止等の被害に遭い、韓国の原発管理会社では内部文書が漏えいし公開される事件が発生した。犯行グループが声明文や窃取した情報を公表したことで社会的に大きなインパクトを与えた。
閲覧するだけでウイルスに感染するように企業・組織のウェブサイトが改ざんされる事例が多く発生した。ウェブサイトを改ざんされることにより、復旧までのサービス停止による自社・自組織の被害だけでなく、ウェブサイト閲覧者にも被害が及ぶこともある。
インターネット上の様々なサービスは、DNSや電子証明書等の基盤技術に対する信頼の上に成り立っている。2014年は、これらの技術を悪用してウイルス感染サイトへ誘導する等の攻撃が発生した。この攻撃は、利用者側では検知して対応することが難しいため、インターネット提供側である事業者の対策が強く求められる。
2014年はApache Struts、OpenSSL、bash等、広く利用されているソフトウェアの脆弱性対策情報の公表が相次ぎ、それらの脆弱性に対する攻撃が発生した。システム管理者や一般ユーザーは、製品の利用状況や攻撃発生の有無等、脆弱性の影響度に応じて迅速に対策する必要がある。
便利な機能があるように見せかけた悪意あるスマートフォンアプリにより、端末内の電話帳等の個人情報を知らない間に窃取されてしまう。窃取された情報がスパムメールや詐欺に悪用され、友人や知人にまで被害が及ぶ場合もある。
IPA セキュリティセンター 土屋/内海