情報セキュリティ 10 大脅威 2019 ~IT は 便利 の裏に 危険 あり ~ ( 独 ) 情報処理推進機構 (IPA) セキュリティセンターセキュリティ対策推進部土屋正 Copyright 2019 独立行政法人情報処理推進機構 1
IPA( 情報処理推進機構 ) のご紹介 Information-technology Promotion Agency, Japan 日本の IT 国家戦略を技術面 人材面から支える経済産業省所管の独立行政法人 誰もが安心して IT のメリットを実感できる 頼れる IT 社会 を目指しています 情報セキュリティ ウイルス 不正アクセス等の届出機関 情報セキュリティの調査研究 普及啓発活動 標的型サイバー攻撃への情報共有 初動対応の実施 IT 人材育成 国家試験 情報処理技術者試験 の実施機関 IT 人材の育成 発掘 スキル明確のとりくみ 若手人材育成 IT 社会の動向調査 分析 基盤構築 新たなIT 社会の動向調査 新しい技術の安全性 信頼性の確保に向けた指針策定など Copyright 2019 独立行政法人情報処理推進機構 2
IPA の 情報セキュリティ 10 大脅威 とは? IPA が 2006 年から毎年発行している資料 前年に発生したセキュリティ事故や 攻撃の状況等から IPA が脅威候補を選出 セキュリティ専門家や企業のシステム担当等から構成される 10 大脅威選考会 が投票 TOP10 入りした脅威を 10 大脅威 として脅威の概要 被害事例 対策方法等を解説 Copyright 2019 独立行政法人情報処理推進機構 3
2 つの 10 大脅威 世の中には様々な立場の人がいる 立場ごとに注意すべき脅威も異なるはず 企業や政府機関などの組織 組織のシステム管理者や社員 職員 組織 家庭等で PC やスマホを利用する人 個人 2016 年版から 個人 と 組織 の 10 大脅威を作成 Copyright 2019 独立行政法人情報処理推進機構 4
配布資料 情報セキュリティ 10 大脅威 2018 ウェブから検索! 検索 IPA 10 大脅威 過去の 10 大脅威 もあります ウェブの 10 大脅威 は無料 Copyright 2019 独立行政法人情報処理推進機構 5
個人 の 10 大脅威の変遷 1 位 10 大脅威 2016 10 大脅威 2017 10 大脅威 2018 インターネットバンキングや インターネットバンキングや インターネットバンキングや クレジットカード情報の不正利用 クレジットカード情報の不正利用 クレジットカード情報等の不正利用 2 位ランサムウェアを使った詐欺 恐喝ランサムウェアによる被害ランサムウェアによる被害 審査をすり抜け公式マーケットにスマートフォンや 3 位紛れ込んだスマートフォンアプリスマートフォンアプリを狙った攻撃 4 位巧妙 悪質化するワンクリック請求ウェブサービスへの不正ログイン ネット上の誹謗 中傷スマートフォンやスマートフォンアプリを狙った攻撃 5 位 ウェブサービスへの不正ログイン ワンクリック請求等の不当請求 ウェブサービスへの不正ログイン 6 位 匿名によるネット上の誹謗 中傷 ウェブサービスからの個人情報の窃取 ウェブサービスからの個人情報の窃取 7 位 ウェブサービスからの個人情報の窃取 ネット上の誹謗 中傷 情報モラル欠如に伴う犯罪の低年齢化 8 位 情報モラル不足に伴う犯罪の低年齢化 情報モラル欠如に伴う犯罪の低年齢化 ワンクリック請求等の不当請求 9 位 職業倫理欠如による不適切な情報公開 10 位 インターネットの広告機能を悪用した攻撃 インターネット上のサービスを悪用した攻撃 IoT 機器の不適切な管理 IoT 機器の不適切な管理偽警告によるインターネット詐欺 Copyright 2019 独立行政法人情報処理推進機構 6
情報セキュリティ 10 大脅威 2019 個人 順位 組織 クレジットカード情報の不正利用 1 位 標的型攻撃による被害 フィッシングによる個人情報等の詐取 2 位 ビジネスメール詐欺による被害 不正アプリによるスマートフォン利用者の被害メールや SNS を使った脅迫 詐欺の手口による金銭要求 3 位 ランサムウェアによる被害 4 位 サプライチェーンの弱点を悪用した攻撃の高まり ネット上の誹謗 中傷 デマ 5 位 内部不正による情報漏えい 偽警告によるインターネット詐欺 6 位 サービス妨害攻撃によるサービスの停止 インターネットバンキングの不正利用 7 位 インターネットサービスからの個人情報の窃取 インターネットサービスへの不正ログイン 8 位 IoT 機器の脆弱性の顕在化 ランサムウェアによる被害 9 位 脆弱性対策情報の公開に伴う悪用増加 IoT 機器の不適切な管理 10 位不注意による情報漏えい Copyright 2019 独立行政法人情報処理推進機構 7
1 位 クレジットカード情報の不正利用 ウイルス感染やフィッシング詐欺により クレジットカード情報を盗まれ不正利用される Copyright 2019 独立行政法人情報処理推進機構 8
攻撃手口 ウイルスに感染させてカード情報を盗む メールの添付ファイルや悪意あるウェブサイトで感染 利用者がクレジットカード会社にログインするときに 偽画面を表示して 入力した情報を盗む フィッシング詐欺でカード情報を盗む カード会社からの案内やサポートを装う偽メールを送りメール内のURLリンクから偽サイトへ誘導 個人情報の再設定を要求して情報を盗む Copyright 2019 独立行政法人情報処理推進機構 9
クレジットカード不正使用被害の発生状況 不正使用被害の約 8 割が番号盗用被害 番号盗用被害額は2017 年から急増 2016 年から2017 年で倍増 (88.9 億円 176.7 億円 ) 2018 年も2017 年と同水準で推移 Copyright 2019 独立行政法人情報処理推進機構 10
クレジットカード不正使用被害の発生状況 ( 単位 : 億円 ) 期 間 クレジットカード不正使用被害額 クレジットカード不正使用被害額の内訳 偽造カード被害額番号盗用被害額その他不正使用被害額 被害額構成比被害額構成比被害額構成比 2 0 1 4 年 (1 月 ~1 2 月 ) 1 1 4.5 1 9.5 1 7.0 % 6 7.3 5 8.8 % 2 7.7 2 4.2 % 2 0 1 5 年 (1 月 ~1 2 月 ) 1 2 0.9 2 3.1 1 9.1 % 7 2.2 5 9.7 % 2 5.6 2 1.2 % 2 0 1 6 年 (1 月 ~1 2 月 ) 1 4 2.0 3 0.6 2 1.6 % 8 8.9 6 2.6 % 2 2.5 1 5.8 % 2 0 1 7 年 (1 月 ~1 2 月 ) 2 3 6.4 3 1.7 1 3.4 % 1 7 6.7 7 4.8 % 2 8.0 1 1.8 % ( 1 月 ~ 3 月 ) 5 7.2 1 0.6 1 8.5 % 4 0.3 7 0.5 % 6.3 1 1.0 % ( 4 月 ~ 6 月 ) 6 2.4 9.6 1 5.4 % 4 6.1 7 3.9 % 6.7 1 0.7 % ( 7 月 ~ 9 月 ) 5 7.2 5.6 9.8 % 4 3.9 7 6.7 % 7.7 1 3.5 % ( 1 0 月 ~ 1 2 月 ) 5 9.6 5.9 9.9 % 4 6.4 7 7.9 % 7.3 1 2.2 % 2 0 1 8 年 (1 月 ~9 月 ) 1 6 5.7 1 1.1 6.7 % 1 3 1.8 7 9.5 % 2 2.8 1 3.8 % ( 1 月 ~ 3 月 ) 5 7.1 3.2 5.6 % 4 6.2 8 0.9 % 7.7 1 3.5 % ( 4 月 ~ 6 月 ) 5 8.3 4.2 7.2 % 4 6.6 7 9.9 % 7.5 1 2.9 % ( 7 月 ~ 9 月 ) 5 0.3 3.7 7.5 % 3 9.0 7 7.4 % 7.6 1 5.1 % 出典 クレジットカード不正使用被害の発生状況 ( 一般社団法人日本クレジット協会 ) Copyright 2019 独立行政法人情報処理推進機構 11
対策一覧 予防には 事例や手口を知っておく 添付ファイルやリンクを安易にクリックしない 普段と違う画面には個人情報等を入力しない 本人認証サービス (3Dセキュア) への登録 OS ソフトウェアの更新 セキュリティソフトの導入 早期検知には クレジットカードの利用履歴を確認 利用時のメール連絡機能の活用 被害にあったら コールセンターへ連絡 クレジットカードの停止 Copyright 2019 独立行政法人情報処理推進機構 12
3 位 不正アプリによるスマートフォン利用者の被害 利用者を騙して不正アプリをインストールさせ スマートフォン内の重要な情報を窃取する Copyright 2019 独立行政法人情報処理推進機構 13
攻撃手口 宅配便業者を騙り 偽の不在者通知を SMS( ショートメッセージ ) で送りつけ 偽 Webサイトに誘導して不正アプリをインストールさせる不正アプリを公式マーケットに公開し インストールさせる Copyright 2019 独立行政法人情報処理推進機構 14
Android 端末 不正アプリをインストールする手口 通知お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました 配送物は下記よりご確認ください https://xxxx/sagawa 不審なリンク先 ( 佐川急便の偽サイトが表示 ) 出典 佐川急便の HP より抜粋 出典 IPA 安心相談窓口だより より抜粋 Copyright 2019 独立行政法人情報処理推進機構 15
対策一覧 予防には アプリは公式マーケットから入手 アクセス権限を確認 OS アプリの更新( 最新の状態に ) セキュリティソフトの導入 セキュリティ設定の実施 被害にあったら 不正アプリのアンインストールや端末初期化 Copyright 2019 独立行政法人情報処理推進機構 16
ご参考 iphone を狙う手口 ( フィッシング ) 出典 佐川急便の HP より抜粋 出典 IPA 安心相談窓口だより より抜粋 Copyright 2019 独立行政法人情報処理推進機構 17
ご参考 危険なサイトを知らせる警告 (Google Chrome) 出典 IPA 安心相談窓口だより より抜粋 Copyright 2019 独立行政法人情報処理推進機構 18
4 位 メールや SNS を使った脅迫 詐欺の手口による金銭要求 アダルトサイトを閲覧している姿を撮影した 有料サイトの料金が未納である といったメールを送りつけて脅迫し金銭を請求する Copyright 2019 独立行政法人情報処理推進機構 19
攻撃手口 アダルトサイトを閲覧している姿をウェブカメラで撮影した というメールを送りつけ ばらされたくなければ金を払え と脅迫 有料サイトの料金が未納 というメールを送りつけ 電話をかけてきた被害者に対し 払わなければ裁判沙汰になる と脅迫仮想通貨での支払いを要求 Copyright 2019 独立行政法人情報処理推進機構 20
脅迫メールの特徴 アダルトサイトを閲覧している姿を撮影して連絡先情報も収集した と脅す仮想通貨を要求するさらに 以下のようなこともあるメールに自分のパスワードが記載されているメール送信元が自分のメールアドレス Copyright 2019 独立行政法人情報処理推進機構 21
日本語での脅迫メールの例 出典 JPCERT/CC CyberNewsFlash より抜粋 Copyright 2019 独立行政法人情報処理推進機構 22
対策一覧 脅迫メールを受信したら無視する メールに記載されたパスワードは変更する パスワード変更の注意点 パスワードは長く 複雑に 使い回さない そのパスワードを使っている全サービスのパスワードを変更する ( パスワード変更は公式ページで!) Copyright 2019 独立行政法人情報処理推進機構 23
6 位 偽警告によるインターネット詐欺 PC やスマホでインターネットを閲覧中に ウイルスが検出された という警告を表示 ソフトウェア購入やサポート契約に誘導する Copyright 2019 独立行政法人情報処理推進機構 24
攻撃手口 ウイルスに感染している 等の偽警告を PCやスマホの画面に表示して従わせる警告音や警告アナウンスを流して不安を煽る スマホの場合 バイブ機能を使用するケースも サポート窓口を装い 電話をかけさせる 電話越しに 遠隔操作で確認する と説明し 不正な遠隔操作ソフトをインストールさせる Copyright 2019 独立行政法人情報処理推進機構 25
偽警告の事例 (1) ( マイクロソフト社を騙って電話に誘導 ) 偽の警告 電話に誘導 Copyright 2019 独立行政法人情報処理推進機構 26
偽警告の事例 (2) ( ウイルスに感染しているように見せる ) Copyright 2019 独立行政法人情報処理推進機構 27
偽警告と偽対策を合わせたハイブリッド型 ステップ 1 偽の警告が表示される ステップ 2 無料のソフトウェアをインストールさせる 無料 ステップ 3 インストールしたソフトウェアを実行する ステップ 4 有料のソフトウェアを購入させる ステップ 5 ソフトウェア有効化のために 電話をかけさせる ステップ 6 電話越しに遠隔操作を案内する 有料 ステップ 7 サポート契約を持ち掛ける Copyright 2019 独立行政法人情報処理推進機構 28
対策一覧 予防には 事例や手口の情報収集 ( 知っておくことが重要 ) 偽警告が表示されたら ブラウザを終了する 警告内容は無視する 電話はかけない 遠隔操作は許可しない サポート契約はしない 被害にあったら 遠隔操作ソフトをアンインストール サポート契約の解消 ( 消費生活センターへ相談 ) Copyright 2019 独立行政法人情報処理推進機構 29
8 位 インターネットサービスへの不正ログイン 不正に取得した認証情報 (IDやパスワード) を使い インターネットサービスにログインする推測されやすいパスワードやパスワードの使いまわしをしていると被害にあう Copyright 2019 独立行政法人情報処理推進機構 30
攻撃手口 パスワードリスト攻撃 他のウェブサイトから漏えいしたIDとパスワードを使って インターネットサービスへのログインを試みる パスワード推測攻撃 利用者が使いそうなパスワードを推測してログインを試みる (IDと同じ 英単語( スポーツや有名人の名前 ) 連続した数字) ウイルス感染 ウイルス感染した端末から窃取した情報でログインする Copyright 2019 独立行政法人情報処理推進機構 31
事例紹介 WAON ポイントのウェブサイトが パスワードリスト攻撃により不正ログインされ ポイントを第三者のカードへ不正移行された 信販会社アプラスの会員向けウェブサイトが パスワードリスト攻撃により不正ログインされ 氏名 メールアドレス 口座情報等が閲覧された Copyright 2019 独立行政法人情報処理推進機構 32
2018 年に漏えいしたパスワード Top10 2018 パスワード 2017 2016 1 123456 1 1 2 Password 2 2 3 123456789 6-4 12345678 3 4 5 12345 5 3 6 111111 - - 7 1234567 8 8 8 sunshine - - 9 qwerty 4 6 10 Iloveyou 10-2013 年から 6 年連続 1 位 パスワードが Password キーボードの文字の並び SplashData 社 Worst Passwords を基に作表 Copyright 2019 独立行政法人情報処理推進機構 33
対策一覧 予防には パスワードは長く 複雑に 使い回さない パスワード管理ソフトの利用 ウェブサービスが推奨する認証方式の利用 ( 多要素認証やワンタイムパスワードなど ) 利用しないサービスの退会 被害にあったら パスワードの変更 クレジットカードの停止 Copyright 2019 独立行政法人情報処理推進機構 34
推測されにくく 長いパスワードの一例 Copyright 2019 独立行政法人情報処理推進機構 35
パ * ス * ワード - もっと強くキミを守りたい - 原宿駅前に パスワード をテーマにした マンガポスターを掲示中! Copyright 2019 独立行政法人情報処理推進機構 36
組織の 10 大脅威 2019 情報セキュリティ対策 の基本 Copyright 2019 独立行政法人情報処理推進機構 37
情報セキュリティ対策の基本 攻撃の糸口ソフトウェアの脆弱性ウイルス感染パスワード窃取設定不備誘導 ( 罠にはめる ) 情報セキュリティ対策の基本 OS やソフトは最新の状態にセキュリティソフトソフトを導入セキュリティソフトを導入パスワードを強化共有設定を見直す脅威や攻撃の手口を知る 10 大脅威 の順位は毎年変動するが 基本的な対策の重要性は長年変わらない Copyright 2019 独立行政法人情報処理推進機構 38
ウイルス!? 不正アクセス!? そんな不安を感じたら 情報セキュリティ安心相談窓口 情報セキュリティに関する技術的な相談に対して 突然ウイルスに感染して いると表示されたけど本当? メール 電話で相談対応を行います アダルトサイトの請求 画面が消えない ファイルが暗号化 されてしまって開けない 03-5978-7509 平日 10:00-12:00 & 13:30-17:00 IPA 安心相談 Copyright 2019 独立行政法人情報処理推進機構
ご清聴いただき ありがとうございました Copyright 2019 独立行政法人情報処理推進機構 40