セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

IPAによる情報セキュリティ10大脅威 2016が公開されました。

2016/02/15 に公開されました。情報セキュリティ10大脅威 2016をご紹介します。

引用元:https://www.ipa.go.jp/security/vuln/10threats2016.html

情報処理推進機構(IPA)は、日本におけるIT国家戦略を技術面、人材面から支えるために設立された経産省所管の独立行政法人です。

【01.インターネットバンキング、クレジットカードの不正利用】(去年も1位)

スクリーンショット 2016-01-08 11.07.55

メガバンク狙いから、地銀・信用金庫狙いにシフトしています。

ウイルスや、フィッシング詐欺(偽装サイト)によって講座情報が抜かれ本人になりすまして、不正利用されてしまいました。

 2012年は銀行口座の不正出金被害総額が5,000万程度だったのが

 2013年では、約14億円

 2014年では、約29億円 でした。(警視庁調べ)

 2015年はどうなったのでしょうか。もうすぐまとめが出てきます。

【02.標的型攻撃による諜報活動】(去年3位)

 昔は、誰が感染しても良かったため、ホースで水を撒くようにウイルスを撒いていました。そのため被害サンプルを集めやすく。対策がすぐにとれました。現在では、特定の会社を狙って社内メールを装い、ウイルスに感染するようなメールを決め撃ちするパターンが増えています。
スクリーンショット 2016-01-08 11.09.37

 (標的型攻撃)

 しかも、ウイルスは荒らした後に自分自身を消去するのでウイルスの実態がわからないままで今までのウイルス対策の仕組みでは対策が出来ないようになっています。現在では、それでも対応が出来るような仕組みを持つセキュリティ製品が世に続々と出ています。

【03.ランサムウェア(身代金ウイルス)を使った詐欺・恐喝】(去年枠外)

2014年4月頃にも日本語対応のランサムウェアが流行しましたが、2015年に感染被害が急増しました。

宝情報でも、Yahooニュースなどに載った12月初頭、CheckPointで.vvvウイルスに対応可能。
指定のIPSシグネチャ(定義)をオンにする方法を掲載していました。

.vvvウイルス(CrypTesla)の感染防止はCheckPointで対応が可能です。その手順について

.vvvウイルス、CrypTeslaを感染させる仕組み(エクスプロイトキット)がどんどん改良される一方でCheckPoint社もどんどん、IPS(侵入防止機能)の定義ファイルを更新しています。

下記は、2016/2/15に配信された、Anglerというウイルスをバラまく仕組みに対して最新の手口に対応するようチェックポイントが更新した事を配信しているニュースメールです。

スクリーンショット 2016-02-16 13.56.45

【04.ウェブサービスからの顧客情報の窃取】(去年5位)

 個人情報が保存されているようなウェブサービスについては 中の情報が持ち出されることなども、頻繁に発生しています。

【05.ウェブサービスへの不正ログイン】(去年4位)

 色々なインターネット上のサービスのIDパスワードを盗まれてしまってアクセスされる事をさします。

 ほとんどは、盗み見とウイルスによる流出となります。

【06.ウェブサイトの改ざん】(去年7位)

 特定の会社のWebサイトの中にウイルスに感染するコードを忍ばせる攻撃などがありました。

 (例: はとバス http://goo.gl/Rz7UaN )

【07.審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ】(去年10位)

スマートフォンが、セキュリティ未対策という事で、PC端末よりも狙われ始めています。

大きくわけて攻撃方法は二通りあり

・町なかで設置されているFreeWiFiのアクセス情報と全く同じアクセスポイントを設置して
アクセスしてしまった人から情報を抜き取る攻撃

・GooglePlayなどのアプリマーケットに、ウイルス入のアプリケーションを仕込んで携帯にマルウェア感染させる攻撃

スマートフォンでのネットバンキング利用等も狙われているらしく、モバイルセキュリティの必要性が今年は問われます。

 スクリーンショット 2016-02-16 18.00.01CheckPoint MTP(モバイルセキュリティ対策製品)

【08.内部不正による情報漏洩】(去年2位)

 スクリーンショット 2016-02-16 13.48.00

社員の資料持ち出しです。

要因として

 待遇悪 → 動機発生

 セキュリティ甘い → 機械発生

 不満への報復 → 正当化

の3点が重なる時に起こりうると言われています。

順位の下がり方から考えるに、内部犯行の怖さよりも外部からの攻撃が激化している事が見て取れます。

【09.巧妙・悪質化するワンクリック請求】(去年枠外)

 以前は、ワンクリック詐欺も単純な請求画面を出すだけだったのが、パソコン付属のカメラ音が鳴ったかのようにシャッター音の様な音を出したり、勝手に通話アプリを起動して電話をかけたりすることなどで不安を煽るよう巧妙化されていくことで、支払いをしてしまう人が増えているそうです。

【10.脆弱性公表に伴う攻撃】(去年9位)

 ゼロデイアタックと言われる攻撃です。

 セキュリティに明るい機関やソフトメーカーが

「このソフトは、侵入が出来る穴が空いているよ!」

「危ないから!みんな更新してね!」

と公表をしてから一般の利用者がその情報に気づいて更新するまでの間に、悪意を持った人は、

今のうちにその危ないところが対策される前に攻撃し尽くそう。」

「セキュリティの穴教えてくれてありがとうセキュリティ機関!」

 というような攻撃の事をさします。

 最近の頻繁にセキュリティ情報を確認する人というと、ほとんどが攻める側(悪意のある人)か守る側(セキュリティ提供業者)のどちらかになってしまうのではないでしょうか。

2015年は特に、Flashの脆弱性を発表直後に数日以内に攻撃が広がるパターンが散見されたようです。
人力でセキュリティを行う場合は、Flashに限らずソフトウェア全般の更新情報を誰でもチェックしなければならない時代になっています。

 それを補完(自動化)するのがCheckPointに代表される、ネットワークセキュリティの機器です。

まとめ

2015年の10大被害よりも、2016年の方が人災よりも、ウイルスへの感染の比重が増えてきている傾向が有りました。

10大セキュリティ被害のほとんどは、ウイルス感染が引き金となっています。

ではウイルス感染しないためにまず必要なのは何かというと

1)まずは無料で出来るしこれだけはやってほしい!

ブラウザやOS、関連するプラグインの最新版の導入です。

ついにMicrosoftもInternetExplorerを古いものについてはサポートを終了していったりと、ソフトウェアを常に最新にすることは必須であるという考え方が広まって来ています。ここでひとつ。

#普段から、パソコン触るのやめるとき、スリープにしていませんか?

シャットダウンを選択すると、終了に時間がかかりますがこのタイミングでWindowsはセキュリティ不備がある分について、自動的に最新状態に更新をしてくれています。一見、次回起動が早いからとスリープを使い続けて一年以上更新してなかったという事も聞いた事があります。

絶対にやめてください。

2)統合脅威(含ウイルス)対策製品の併用です

ふたつのセキュリティ製品の併用がおすすめです。

現在のセキュリティ対策のトレンドは、「入り口2段の出口2段」です。

従来は、入り口でなんとかウイルスを止めようとする防御が中心でした。しかし現在100%ウイルスを止める事はどうやっても不可能です。セキュリティを扱う業者の当社が言うのもおかしい話ですが、実情です。そのため、

「感染しても、情報流出しようとする動きを検知して無効化する仕組み」

というところが、重要視されています。これを(ネットワークの)出口対策と呼んでいます。

(1)【ウイルス対策ソフト】は既に導入済みの企業は多いと思います。

ただし、それが最新の要件に対して有効なものか判断出来る出来る人はそう多くないと思われます。

ぜひ、現在取引のあるセキュリティ製品取扱業者にお問い合わせされる事をお勧めします。

    banner02Webrootご紹介ページ

(2)【ネットワークセキュリティ機器】のUTMを導入する必要があります。

UTM(統合脅威管理)は、外から、会社(家)に入ってくる玄関口に立たせる警備員のような動きをする、ネットワークの機器です。ウイルス対策ソフトが、新しい脅威の対策方法がわかり、駆除出来るようになる前にネットワークの入口と出口(玄関)で、脅威がやってきた物をソフトで駆除が出来るようになるまでの間、檻の中に閉じ込めておくような仕組みを持っている機械です。

    banner01CheckPointご紹介ページ

3)情報の取り扱いが出来る範囲を絞ります。

営業担当者が、全社員の情報を知る必要はないと思われますし。

全社員の給与情報を知る必要があるのは、人事担当のみのはずです。

そうすると、必要なのは以下の通りとなります。

(1)アクセス権限の割り振りが必要です。

各、フォルダやアクセスを出来る人を決める必要があります。

(2)そもそもそのフォルダやアクセスするネットワークに繋がっているパソコン(端末)を

触る事が出来る人を決め、その人しか物理的にパソコン(端末)を触れなくします。

  a)パソコンの周りに壁を作る
  b)扉をつけて施錠する(最近の流行はICカードキーなど)
  c)壁の中の端末自体にワイヤーロックをかけて盗難を防止する

こういった取り組みは、プライバシーマーク取得やISMS取得にも非常に有用な解決策となりえます。

 【最後に】

どれだけシステムを整備しても流出させるのは「人」です。

ウイルス入のサイトにアクセスしようとするところにソフトや、セキュリティ機器が「ここは危ない場所です」と注意しても構わずアクセスしてしまうのが人です。

組織、ルールの策定や社員全員のセキュリティ意識の向上が必要です。

ではどうすればいいか?

 ・宝情報の営業担当にお問い合わせください。情報セキュリティ製品取扱いの販売店へお問い合わせください。

 ・お付き合いのあるセキュリティや監査を得意とする社労士や会計士、税理士などを探しましょう。

 ・お金をかけて、セキュリティコンサルタントを探すのもありです。

↓人の手で出来ないセキュリティ対策は、下記で行いましょう。
banner01

 

記事一覧に戻る

お問い合わせはこちら

ページのトップへ戻る