雑記1

 はいどうも。

 わざわざこの雑記まで読む人はいないと思うけれども、書き留めさせていただきます。

 まず、なぜ唐突に10大脅威が~といった記事を書いたかと申し上げますと、自分は大学生でして、自分が受けている講義の一つがセキュリティに関する講義でして、その講義の今回の課題が「講義の内容を基にレポートを作成して、ネットで公開しなさい」だったんですね。それでブログを開設して、記事を書いたんですよ。

 ただ、せっかく公開するんなら人の役に立つように、と思ったんですけどね。。。

 まず長いですし、「初心者向けに」をテーマにしようとしたけれど、説明が簡単にななっていない。イラストを用いればまだわかりやすいんでしょうけれど、絵を描く時間もツールも能力もないし。

 さらに言うと、それぞれの対策もきちんと書いてあげるべきなんですよね。「こんなことが脅威です。でもこういったことをすれば大丈夫ですよ。」って感じで。でも文が長すぎて逐一解決策を紹介したらテンポが悪すぎるし、かといって全部の脅威を話してから対策をまとめて乗せても、どれがどの脅威の対策なのかわからなくなるし、文が長すぎて「そもそもその脅威って何だっけ」ってなりそうですし。

 こんな文字数だけの大したことないレポートをネットに公開させるなんて、公開処刑だよ。まあ、大したことあるレポートを作る準備が足りなかった自分が悪いんだけれど。ちくせう。

 

 あ、もしそれぞれの対策が知りたかったら、前の記事に張ったURLなり、「10大脅威」で検索するなりして、IPAのページに飛んでいただければ、資料がPDF形式で乗ってるんで、それを読んでいただければいいと思います。

 もし「資料を読んでもわからないからどうしても解説が欲しい」、と藁にもすがる思いになったなら自分にコメントください。今度こそ責任もって、一つずつ解説していこうと思います。泥船に乗った気持ちで待っていてください。

 

 以上、課題つかれたんでついでに愚痴るのコーナーでした。

 先生がこの記事まで読みに来ないことを願う。

「情報セキュリティ」への脅威 in 2k17

 

 

はじめに

 

 先月、IPA情報処理推進機構)が「情報セキュリティ10大脅威 2017」を発表しました。

www.ipa.go.jp

 

 それによると、個人(家庭等でスマートフォンやパソコンを利用する人)を脅かす「10大脅威」は以下の通りだそうです。

 1位:インターネットバンキングやクレジットカード情報の不正利用
 2位:ランサムウェアによる被害
 3位:スマートフォンスマートフォンアプリを狙った攻撃
 4位:ウェブサービスへの不正ログイン
 5位:ワンクリック請求等の不当請求
 6位:ウェブサービスからの個人情報の窃取
 7位:ネット上の誹謗・中傷
 8位:情報モラル欠如に伴う犯罪の低年齢化
 9位:インターネット上のサービスを悪用した攻撃
 10位:IoT機器の不適切な管理

 今回の記事では、これらがどんな脅威であるか、淡々と解説していきます。

  

 情報セキュリティ10大脅威

 パソコンやスマートフォンが普及し、今も進歩しつづける情報技術ですが、その進歩に伴って新しいネット犯罪の形も生まれています。その背景を受けて、情報処理推進機構(通称:IPA)が毎年公開しているのが情報セキュリティ10大脅威」です。

 2017年はどのような脅威があるのか、上位から順にみていきます。

 (7位の「ネット上の誹謗・中傷」、8位の「情報モラル欠如に伴う犯罪の低年齢化」については、社会の問題で、他の脅威とは毛色が違うように感じられたので今回は割愛します。また別の日に記事に書いてみるかもしれません。)

 1位:インターネットバンキングやクレジットカード情報の不正利用

 インターネットバンキングやインターネットを介したクレジットカードの利用が広く普及し、現金を持たなくてもものが買える、非常に便利な時代となりました。しかし、これらの利用者の情報を盗み取り、不正利用することを目的とした攻撃がIPA情報セキュリティ10大脅威」を発表した2005年から、引き続き行われています被害件数は減少の傾向にありますが、引っかかってしまった場合は被害が大きく、引き続き注意が必要です。

 情報を奪う手口は以下の二つがあります。

 ウイルス感染

 攻撃者が用意した悪意あるウェブサイトにアクセスしたり、メールに添付した悪意あるファイルを開いたりすることで、利用者の端末をコンピュータウイルスに感染させる手法です。ウイルスに感染した端末でインターネットバンキングにログインしたり、クレジットカード情報を入力したりすると、それらの攻撃者の手に渡ってしまいます。

 フィッシング詐欺

 攻撃者が実在する銀行やクレジットカード会社等を装って悪意あるウェブサイトの URLを含むメールを利用者に送り、利用者をそのウェブサイトへアクセスさせ、そこでログイン情報などを入力させることで摂取する手口のことを、「フィッシング詐欺」といいます。

 2位:ランサムウェアによる被害

 ランサムウェアとは、パソコンやスマートフォンのファイルに鍵をかけたり、画面をロックしたりし、解除をするために金銭を要求するソフトウェアのことです。金銭を支払っても攻撃者が復旧をしない場合があります。

 ランサムウェアの仕掛け方はウイルス感染と同じで、ランサムウェアを仕掛けたウェブサイトや、メールに添付されたファイルを開くことで起動します。

 3位:スマートフォンスマートフォンアプリを狙った攻撃

 広く普及したスマートフォンですが、攻撃者はスマートフォンが登場した日から、これらもターゲットに攻撃を仕掛けてきています。

 具体的には、「ポケモンgo」や「スーパーマリオラン」などの人気アプリに偽装した不正アプリをインストールさせる方法です。不正アプリによりスマートフォンにウイルスやランサムウェアを仕掛けられ、スマートフォン内の個人情報を抜き取られる、遠隔操作により撮影した映像や録音した音声を攻撃者のもとに送られる、端末をロックして復旧と引き替えに金銭を要求されるといった被害がでています。

 4位:ウェブサービスへの不正ログイン

 攻撃者はウイルスなどで抜き取ったIDとパスワードを用いて、ネットバンキングやオンラインゲームなどに不正にアクセスし、個人情報を抜き取ったり、金銭やゲームのアイテムを不当に奪ったりします。

 また攻撃者は様々な手法を用いて、不正アクセスを試みます。

 パスワードリスト攻撃

 複数のウェブサイトのIDとパスワードの組み合わせを統一する利用者は少なくないです。パスワードリスト攻撃では、ウェブサイトに不正ログインすることができたIDとパスワードの組み合わせをリストアップし、ログインできることが確認できたサイトとは別のサイトでこれらの組み合わせを使用することでログインを試みます。

 このパスワードリスト攻撃は2016年、画像投稿サイト「pixiv」に四日かけて行わまていました。結果、約3,600人のアカウントが不正ログインされ、サイトに登録した誕生日やメールアドレス等の個人情報が盗み見られる被害が出ています。

 辞書攻撃

 「apple」「ringo」といった単語を基にしらみつぶしにパスワードを入力する攻撃を辞書攻撃といいます。辞書攻撃用のツールが存在し、一回の試行毎のログインできる可能性は低いものの、単語を組み合わせただけのパスワードや、単語の後ろに数字がついただけのものであれば、最後には突破できてしまいます。また「19961021」や「yamachan」といった個人の情報を基にした文字列や、「qwerty」のようなキーボード列も危ないです。

 5位:ワンクリック請求等の不当請求

 アダルトサイトや出会い系サイト等にアクセスすることで金銭を不当に請求されるワンクリック請求による被害も、未だに多く報告されています。また年齢認証などのボタンをクリックさせたうえで登録完了を告げる手口が多かったのだが、2016年には閲覧するだけで「登録完了」のバナーを表示し、金銭を要求するゼロクリック詐欺も登場しました。

 6位:ウェブサービスからの個人情報の窃取

 ネット犯罪は日々進歩しており、少し前のセキュリティであれば簡単に突破されてしまう。そのため、たくさんの個人情報を持つウェブサイトは、ウェブサイト運営に使っているソフトウェアの更新等によってセキュリティを高く保っている。

 しかし、ウェブサイト側が適切にソフトウェア管理が行えていなかった場合、その脆弱性をつき、個人情報を入手される場合がある。そのため、ウェブサイトを運営する側は、適切な対応が求められる。

 

 (7位、8位は割愛します。)

 9位:インターネット上のサービスを悪用した攻撃

 攻撃者がネット広告の仕組みを悪用し、正規のウェブサイト上にウイルスを仕組んだ不正広告を表示させることで、それをクリックさせることでウイルスに感染させる手口があります。また、正規のサービスをパソコンを不正に遠隔操作し制御するためのサーバー(C&Cサーバー)として利用することで、遠隔操作を通常の通信のように偽装する攻撃もあります。

 これらの攻撃は、正規のサイトのなりすましであるフィッシング詐欺などとは違い、本物のサイトを利用した攻撃であるので、利用者側では対策は難しいです。ですので、運営側での対策が求められます。

 10位:IoT機器の不適切な管理

 最近は防犯カメラやホームルーター、またテレビなどの家電がインターネットに繋がり、サービスを提供するIoT(Internet of Thing:モノのインターネット)の流れがあります。しかし、これらの家電にもセキュリティ対策が必要であるという認識は薄く、IoT機器が攻撃のために利用されてしまう例が、2013年から見られるようになりました。

 DDoS攻撃

 ウェブサービスを稼働しているサーバーやネットワークなどに意図的に過剰な負荷をかける事でサービスを妨害する攻撃のことをDoS攻撃と言います。そのなかでも、大量の機械から一つのサービスに対し、一斉にDoS攻撃を仕掛けることをDDoS攻撃といいます。

 DDoS攻撃の方法の一つとして、大量の機械を不正に乗っ取ったうえで、DDoS攻撃を行う方法があります。IoT機器は大量に生産されている上、セキュリティも甘いので、DDoS攻撃の踏み台にされてしまうのです。

 

 結び

 「情報セキュリティ10大脅威 2017」が告げる最新のネット攻撃は以上のような攻撃でした。よく知っているものから意外なものまであったのではないのでしょうか。

 パソコンから始まり、スマートフォン、そしてIoT機器までもが攻撃の対象になっています。対策をきちんととり、万全なセキュリティの元、ネットライフを満喫しましょう。