情報セキュリティ10大脅威 2020年

最近、インターネットに接続する時間が増加している。通信会社インターネットマルチフィードの調べによると、1日の通信量は2月下旬に比べ、時間帯によって1~6割程度増加しているという。

なぜなら、働き方改革やコロナの影響で自宅やカフェなどでパソコンをインターネットに接続して仕事をするテレワークが急増しているからだ。

それにともない、情報セキュリティにも関心が集まっている。社外での業務は既存のセキュリティ環境の外で行われることから、情報漏えいなどの事故が多発する可能性があるからだ

そこで、今回のはIPAが発表した情報セキュリティ10大脅威2020を紹介しよう

「情報セキュリティ10大脅威 2020」は、2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
引用元:IPA 情報処理推進機構

記事を読み終えることで、情報セキュリティに対して知識が高まりあなたの情報を守れるようになるでしょう。

 

 この記事はこんな方におすすめ

 テレワークで仕事などをされるかた
 インターネットを利用されるかた
 会社でセキュリテイの担当になった方

 

1.個人編

 

第1位 スマホ決済の不正利用(昨年 ランク外)

近年のスマートフォンの普及に伴い、スマートフォンを利用した決済(スマホ決済)がキャッシュレス決済の手 段として利用できるようになった。その後も類似のスマホ決済サービスは次々と登場し、それらの利用者が増加している。一方、利便性の反面、アカウントに不正アクセスされたことにより、第三者のなりすましによるサー ビスの不正利用やクレジットカード情報等が窃取されたり、意図しない 金銭取引をされたり等の被害に遭うなどの報告がされています。

POINT

○攻撃の手口:不正アクセスによるあアカウントの乗っ取り

○対策:スマホ決済サービス利用時は二要素認証等のセキュリティ機能を有効にする

 

第2位 フィッシングによる個人情報の詐取(昨年 2位)

フィッシング詐欺は、金融機関、ショッピングサイト・宅配業者等の実在する有名企業を騙るメールを送信し、偽のウェブ サイト(フィッシングサイト)へ誘導することにより、銀行口座情報、クレジットカード情報、ID、パスワード、氏名等の重要な情報を詐取する詐欺です。詐取された情報を悪用されると金銭的な被害が発生するなどの報告がされています。

POINT

○攻撃の手口:有名企業を騙るメールを不特定多数に送信

○対策:メール内のURLを安易にクリックせず、ブックマークなどからアクセスする

 

第3位 クレジットカード情報の不正利用(昨年 1位)

近年、キャッシュレス決済の普及に伴い、スマートフォンを使った 決済サービスも登場し、様々なデバイスからクレジットカードが利用されている。一方、そのクレジットカードを狙ったフィッシング詐欺、ショッピングサイトの改ざんによる偽決済画への誘導等により、クレジットカード情報が詐取され、攻撃者によって不正利用されるという被害が報告されています。

POINT

○攻撃の手口:ショッピングサイトの脆弱性等を悪用し、正規ウェブサイトの決済画面を改ざんする。その後、偽の決済画面に被害者を誘導し、クレジットカード情報を入力させる

○対策:スクレジットカード会社が提供している本人認証サービス(3D セキュア等)の利用

 

第4位 インターネットバンキングの不正利用(昨年 7位)

フィッシング詐欺やウイルス感染により、インターネットバンキングの認証情報を窃取され、攻撃者が本人になりすました不正送金や不正利用が行われている。近年はその被害が減少傾向であったが、2019年9月頃からフィッシング詐欺による不正送金被害が急増している。

POINT

○攻撃の手口:ウイルスに感染するように細工したファイルをメールに添付し、安全なファイルと誤認させファイル を開くように誘導し、ウイルスに感染させる。

○対策:受信メールやウェブサイトの十分な確認・添付ファイルやURLを安易にクリックしない

 

第5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求(昨年 4位)

個人の秘密を家族や知人に公開すると脅迫したり、身に覚えのない有料サイトの未納料金を請求したりする メールやSMS(ショートメッセージサービス)を使った詐欺による金銭被害が発生している。公的機関を装った偽の相談窓口に誘導するといった新しい手口も確認されている。

POINT

○攻撃の手口:不正アクセスしているように見せかける。

○対策:メールに記載されている番号に電話をしない受信した脅迫や架空請求のメールについて専門機関に相談したい場合は、自分で窓口の電話番号やメールアドレスを調べるようにする。

 

第6位 不正アプリによるスマートフォン利用者への被害(昨年 3位)

スマートフォン利用者が不正アプリを意図せずインストールし、スマートフォン内に保存されている重要な情報が窃取されたり、一部機能を悪用されたりする被害が確認されている。公式マーケット上に不正アプリが公開されているケースや、有名企業等になりすましたメールやSMS(ショートメッセージサービス)が届き、不正アプリのダウンロードサイトに誘導されるケースがある。

POINT

○攻撃の手口:個人が匿名で発信できる場の増加

○対策:アプリは公式マーケットから入手スマートフォンの設定によっては公式マーケ ット以外からもアプリを入手可能だが、極力公式マーケットから入手する。

 

第7位 ネット上の誹謗・中傷・デマ(昨年 5位)

インターネットの匿名性を利用して、特定の個人や組織に対して誹謗・中傷や根も葉もないデマを発信する 事件が発生している。誹謗・中傷やデマの対象となった被害者は、精神的苦痛に苛まれる。また、既に発信されていた情報を転載した発信であっても、それが誹謗・中傷やデマであれば、転載して拡散した者も社会的責任を問われる場合がある。

POINT

○攻撃の手口:個人が匿名で発信し意図的に他人への誹謗・中傷や、脅迫・犯罪予告・デマを書き込む

○対策:犯罪と思われる誹謗・中傷の投稿は、警察へ被害届を提出。必要に応じて弁護士にも相談する。

 

第8位 インターネット上のサービスへの不正ログイン(昨年 8位)

インターネット上のサービスへ不正ログインされ、金銭や個人情報等の重要情報が窃取される被害が確認されている。別のサービスと同じ ID やパスワードを使いまわす利用者を狙ったパスワードリスト攻撃による不正ログインが行われている。また、不正ログインで得た情報を利用して更に被害を拡大させるおそれがある。

POINT

○攻撃の手口:ねらわれやすいパスワードを推測し、そのパスワードでログインを試みる。

○対策:パスワードは長く、複雑にする/使い回しをしない

 

第9位 偽警告によるインターネット詐欺(昨年 6位)

PCやスマートフォンの利用者に対してインターネット閲覧中に、突然「ウイルスに感染しています」等の偽の 警告画面(偽警告)を表示して、不要なソフトウェアをインストールおよび購入させたり、攻撃者が用意したサポ ート窓口に電話を掛けさせてサポート契約を結ばせたりする被害が発生している。偽警告は利用者の不安に つけこむ手口であり、表示されても慌てず冷静に対応する必要がある。

POINT

○攻撃の手口:偽警告の画面からダウンロードページに誘導し、偽のセキュリティソフトをインストールさせる。最終 的に有償ソフトウェアの購入へ誘導する。

○対策:偽警告の指示に従いアプリやソフトウェア はインストールしない。また、電話は掛けない、 遠隔操作は許可しない、契約には応じない、偽警告が表示されたらブラウザを終了

 

第10位 インターネット上のサービスからの個人情報の窃取(昨年 12位)

ショッピングサイト(EC サイト)等のインターネット上のサービスへ脆弱性等を悪用した不正アクセスや不正ログインが行われ、サービスに登録している個人情報等の重要な情報を窃取される被害が発生している。窃取された情報を悪用されるとクレジットカードの不正利用等の二次被害につながる。

POINT

○攻撃の手口:サービスの脆弱性や設定不備を悪用

○対策:不要な情報は安易に登録しない情報漏えいに備えて、サービスを利用する ための必須項目以外の情報は登録を避ける。

以上が個人編でした。次は組織編を紹介します。

 

2.組織編

 

第1位 標的型攻撃による機密情報の窃取(昨年 1位)

企業や民間団体そして官公庁等、特定の組織に対して、機密情報等を窃取することを目的とした標的型攻撃が発生している。2020年初頭には、数の防衛関連企業が不正アクセスを受けていたという報道があった。

POINT

○攻撃の手口:メール添付ファイルや本文に記載したリンク先にウイルスを仕込み、開かせることで組織のPCをウイルスに感染させる

○対策:サイバー攻撃に関する継続的な情報収集と情報共有

 

第2位 内部不正による情報漏えい(昨年 5位)

組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや悪用等の、不正行為が発生している。また、組織の情報管理のルールを守らずに情報を持ち出し、さらにはそれを紛失し、情報漏えいにつなが ることもある。内部不正は、組織の社会的信用の失墜、損害賠償による経済的損失等により、組織に多大な損 害を与える。

POINT

○攻撃の手口:組織内部の情報を、USBメモリーや HDD 等の外部記録媒体、電子メール、紙媒体、クラウドスト レージ等を利用して、外部に不正に持ち出す。

○対策:重要情報の格納場所等への入退去を管理しUSBメモリーやHDD、PC、スマホ等の 記録媒体の利用制限や持ち出し/持ち込みの管理をする

 

第3位 ビジネスメール詐欺による金銭被害(昨年 2位)

ビジネスメール詐欺(Business E-mail Compromise:BEC)は、海外の取引先や自社の役員等になりすまし、 巧妙に細工された偽の電子メールを企業の出納担当者に送り、攻撃者が用意した口座へ送金させる詐欺の手 口である。海外だけではなく日本国内でも高額な被害が確認されている。

POINT

○攻撃の手口:取引先と請求に係るやりとりをメールで行っている際に、攻撃者が取引先になりすまし、攻撃者の用意した口座に差し替えた偽の請求書等を送りつけ、振り込ませる。

○対策:個人の判断や命令で取引や金銭の移動がされないルールやシステムの構築。

 

第4位 サプライチェーンの弱点を悪用した攻撃(昨年 4位)

原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組 織群をサプライチェーンと呼ぶ。また、組織が特定の業務を外部組織に委託している場合、この外部組織もサ プライチェーンの一環となる。業務委託先組織がセキュリティ対策を適切に実施していないと、業務委託元組織 への攻撃の足がかりとして狙われる。昨今、業務委託先組織が攻撃され、預けていた個人情報が漏えいする等の被害が発生している。

POINT

○攻撃の手口:委託元組織が委託先組織を選定するにあたり、セキュリティ対策の実施状況等の確認を怠ると、セキュリティ対策が不十分な組織に委託することがある。

○対策:委託先組織の信頼性評価や委託先への品質基準を導入する。

 

第5位 ランサムウェアによる被害(昨年 3位)

ファイルの暗号化や画面ロック等を行うランサムウェアに感染し、PC(サーバー含む)やスマートフォンに保 存されているファイルを利用できない状態にされ、復旧と引き換えに金銭を要求される被害が発生している。不特定多数に対して行う攻撃だけではなく、特定の国や組織を狙う標的型攻撃に近い攻撃も行われる。

POINT

○攻撃の手口:メールの添付ファイルやメール本文中のリンクを開かせることでランサムウェアに感染させる。

○対策:受信メールやウェブサイトの十分な確認 ・添付ファイルやリンクを安易にクリックしない ・不審なソフトウェアを実行しない

 

第6位 予期せぬIT基盤の障害に伴う業務停止(昨年 16位)

組織がインターネット上のサービスや業務システム等で使用しているネットワークやクラウドサービス、データセンター設備等のIT基盤に予期せぬ障害が発生し、長時間にわたり利用者や従業員に対するサービスを提供できなくなるケースがある。IT 基盤の停止は利用している組織の事業の妨げとなり、ビジネスに大きな影響を与えるおそれがある。

POINT

○攻撃の手口:地震や台風、洪水等の自然現象により、IT 基盤 の設備や施設が被害を受け、IT基盤に障害が発生する。

○対策:IT 基盤の様々なトラブルを事前に想定し、 対応策を準備しておく。また、事業の継続や早 期復旧を可能にするため、行動計画や復旧目 標を定め、事業継続計画(BCP)を策定し、運 用する。

 

第7位 不注意による情報漏えい(規則は遵守)(昨年 10位)

組織や企業において、情報管理体制の不備や情報リテラシー不足等が原因となり、従業員が個人情報や機密情報を漏えいしてしまう事例が 2019年も多く見られた。漏えいした情報が悪用される二次被害が発生するおそれもあるため、十分な対策が求められる。

POINT

○攻撃の手口:規則に従った手続きをして重要情報を入れたカバンを社外に持ち出したとしても、不注意により、そのカバンを外出先で紛失することがある。

○対策:組織規程および確認プロセスの確立。

 

第8位 インターネット上のサービスからの個人情報の窃取(昨年 7位)

ショッピングサイト(ECサイト)等のインターネット上のサービスへ脆弱性等を悪用した不正アクセスや不正ログインが行われ、サービスに登録している個人情報等の重要な情報を窃取される被害が発生している。窃取された情報を悪用されるとクレジットカードの不正利用等の二次被害につながる。

POINT

○攻撃の手口:広く共通的に使われるソフトウェアの脆弱性を悪用

○対策:セキュリティ対策の予算・体制の確保システムの導入時や保守作業時の十分な予算と体制を確保する必要がある。

 

第9位 IoT機器の不正利用(昨年 8位)

ウイルスに感染させたIoT 機器を踏み台として、サービスやネットワーク、サーバーに悪影響を与える大規模な DDoS(分散型サービス妨害)攻撃の被害が確認されている。今後も普及拡大することが予想される IoT機器は、セキュリティ対策が必要な対象として認識しなければならない。

POINT

○攻撃の手口:脆弱性を悪用して、インターネット経由でIoT機器に不正アクセスしたり、ウイルスに感染させたりする。

○対策:利用者にソフトウェアサポートの期間を伝え、サポートが切れた状態での利用について注意を促す。

 

第10位 サービス妨害攻撃によるサービスの停止(昨年 6位)

攻撃者に乗っ取られた複数の機器から形成されるネットワーク(ボットネット)が踏み台となり、企業や組織が 提供しているインターネット上のサービスに対して大量のアクセスを一斉に仕掛け高負荷状態にさせる、もしく は回線帯域の占有によるサービスを利用不能とさせる等の DDoS (分散型サービス妨害)攻撃が行われてい る。標的とされた組織は、ウェブサイト等のレスポンスの遅延や、機能停止状態となり、サービスの提供に支障が出るおそれがある。

POINT

○攻撃の手口:送信元のIPアドレスを標的組織のサーバーに偽装して、多数のルーターやDNS サーバー 等に問い合わせを送り、その応答を標的組織のサーバーに集中させることで高負荷をかける。

○対策:攻撃の影響を受けない非常時用ネットワークを事前に準備する

以上が組織編でした。次は、まとめです。

 

3.まとめ

今回、紹介した「攻撃の手口」や「対策」は一例であり、この対策をしたから大丈夫という訳ではありません。
そして、情報セキュリティ 10 大脅威 2020で新しくランクインした脅威もあるが、それに伴いランク外となった脅威もある。しかし、ランク外になったとしてもその脅威が無くなったわけではない。かつてランクインしていた、 「ワンクリック請求等の不当請求」や「ウェブサイトの改ざん」等は、依然として攻撃が行われている状況です。。そのため、ランク外の脅威だから対策を行わなくて良いということではなく、継続しての対策が必要です。

最後に、情報セキュリティ対策の基本を下記にまとめます。是非参考にしてください。

攻撃の糸口 情報セキュリティ対策の基本 目的
ソフトウェアの脆弱性 ソフトウェアの更新 脆弱性を解消し攻撃によるリスクを低減する
ウイルス感染 セキュリティソフトの利用 攻撃をブロックする
パスワード窃取 パスワードの管理・認証の強化 パスワード窃取によるリスクを低減する
設定不備 設定の見直し 誤った設定を攻撃に利用されないようにする。
誘導(罠にはめる) 脅威・手口を知る 手口から重要視するべき対策を理解する

今回、内容をもっと詳しく学びたい方は、IPAの情報セキュリティページで学ぶことができます。

セキュリティの勉強を始めたいと考えているあなたにおすすめの本

今回のおすすめの本としては、セキュリティの基本対策について学べる本を紹介しておきます。



最後まで読んで頂きありがとうございます。
以上「情報セキュリティ10大脅威 2020年」の記事でした。See you later

 

——————————————————————
世界で一番売れている*1. セキュリティソフトの定番
ノートンが刷新!

株式会社シマンテック(日本法人は1994年設立)の研究開発力を集結
ノートン セキュリティ ダウンロード版
3年5台版はオンラインストア限定モデル!
月額89円/台をさらに限定特別価格でご奉仕中

保護者機能も標準装備♪
——————————————————————
PC、Mac、スマホ、タブレットに対応
60日間返金補償、24時間チャットサポート、ウイルス感染撃退サービス付
ダウンロード版だからスグ届く、何回でもダウンロード可能。管理が楽になります。

快適の理由はメモリ使用量を従来比で20%削減したから(自社調べ)。
また、第三者評価機関の権威Passmarkが実施する
快適さに関する23項目のテストでも、8年連続No.1を達成(*2)

1年1台版2,980円(税抜)とてもおトク!

(出典)*1. IDC調べ、2014年8月#250210
*2:PassMark 2015年3月、コンシューマーセキュリティ
プロダクツ、 パフォーマンス ベンチマーク (Ed3)
快適さに関する23項目(アイドル中のメモリ使用量、インストール時間、
スキャン時間等)のテスト結果の総合評価

https://px.a8.net/svt/ejp?a8mat=35U70U+E5N2LU+3IBI+5YZ77

ブログランキング・にほんブログ村へにほんブログ村   人気ブログランキング

shingo現役サラリーマン

投稿者の過去記事

◇このブログでは、15年以上DTPオペレーターとして、学んできたDTPやパソコンのセキュリティ知識・参考になった書籍などを紹介しています。
たまに、脇道にそれることもあります

◇取得資格
・情報セキュリティマネジメント
・ITパスポート
・色彩検定 2級
・色彩検定 UC級
・屋外広告士
その他・・・・

 【a】Uber Eats オーダープログラム

プロフィール

ナカガワシンゴ

Shingo
鹿児島県在住
現役サラリーマン

◇このブログでは、15年以上DTPオペレーターとして、学んできたパソコンのセキュリティ知識や参考になった書籍などを紹介しています。
たまに、脇道にそれることもあります

◇取得資格
・情報セキュリティマネジメント
・ITパスポート
・色彩検定 2級
・色彩検定 UC級
・屋外広告士
その他・・・・

詳しいプロフィールはこちら

アーカイブ

カテゴリー

使用中のWPのテーマ

使用中のレンタルサーバー

ピックアップ記事

  1. メルカリハイ
    フリマアプリ「メルカリ」を利用している人達の意識・実態調査の結果がメルカリ総合研究所より発表がありま…
  2. 雪山
    ノートパソコンで長時間の作業や、動画編集などの高い負荷のかかる作業を行なっていると、ノートパソコ…
  3. mercari_logo_vertical
    メルカリとは、スマートフォン向けのC2CのECサービスを提供する日本の企業、および、同社…




PAGE TOP
%d人のブロガーが「いいね」をつけました。