crossroads[05]ITの裏側に潜む脅威
── 若林健一 ──

投稿:  著者:



こんにちは、若林です。日曜日に「コンピューター&テクノロジー解体新書 ビジュアル版」という本を読んでみました。

タイトルと装丁から、子ども向けの図鑑的な本だろうと思っていたのですが、ソフトウェア、ハードウェア、サービスなど、色んな分野のテクノロジーの「仕組み」を解説した本格的な内容で、むしろ大人向けの内容に驚きました。

たとえば、「車の動く仕組み」についてはおおよそ知っている方は多いと思いますが、ITに関してとなると、どんな仕組みで実現されているのかを知らない人の方が多いと思います。

最新のテクノロジーはもちろん、それらの基礎となった古いテクノロジーについても図を中心に解説されていますので、ITの裏側に関心のある方は是非読んでみてください。

コンピューター&テクノロジー解体新書 ビジュアル版
http://www.amazon.co.jp/dp/4797384298




●情報セキュリティ10大脅威 2016

さて、今回はそのITの裏側に潜む脅威のお話。先日IPA(情報処理推進機構)が「情報セキュリティ10大脅威 2016」を発表しました。

これは、2015年に発生したIT分野での脅威(利用者に危険を及ぼすもの)で、特に影響が大きかったものを各分野の専門家が選び出したものです。

情報セキュリティ10大脅威 2016
https://www.ipa.go.jp/security/vuln/10threats2016.html


この中から、個人向けの脅威の内容とその対策について、簡単にまとめてみました。

1)インターネットバンキングやクレジットカード情報の不正利用

オンラインバンキングに似せたサイトで、口座番号やクレジットカード番号とパスワードを入力させて情報を盗み取り、お金を引き出したり、買い物をする手口。

この手口では、偽のウェブサイトが用いられますので、サイトのアドレスを正規のサイトと比較することで見分けることができます。

また、最新のブラウザであれば、パスワードの入力が必要な画面ではアドレス欄に「閉じた南京錠」のアイコンが表示されますので、「閉じた南京錠」のアイコンがなければ100%偽物と判断できます。

2)ランサムウェアを使った詐欺・恐喝

大切な情報(個人であれば写真やドキュメントフォルダの内容など)をまとめて暗号化、アクセスできないようにして、暗号を解除する代わりに金を要求するという手口。身代金目的の誘拐に近いイメージです。

この手口では、ウィルスやOSの脆弱性から侵入するケースがほとんどですので、対策としてはアンチウイルスソフトの利用と、OSのバージョンアップが有効と考えられます。

3)審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ

スマートフォンアプリの中に、悪意のある機能を埋め込んでリリースする手口。アプリ開発者が意図的に埋め込む場合と、開発ツールに悪意のあるソフトウェアが仕組まれていて、善意アプリ開発者が作ったアプリにも含まれる場合とがあります。

アプリそのものは普通のアプリに見えますし、開発者自身も意図していない場合もありますので、この手口への対策は非常に難しい。

強いて言うならば、アプリのインストールを必要最低限にするということになります。もしくは、信頼できる開発元に限るというのもひとつの考え方ですが、そもそもどこが信頼できるのか? を判断するのも難しいところです。

4)巧妙・悪質化するワンクリック請求

リンクをクリックした時に契約・請求が確定したと誤認させ、高額の金額を振り込ませる手口。

IPアドレスやプロバイダのアドレスを表示したり、音を鳴らすなどの方法で、さも個人が特定されたかのように思い込ませて不安感を煽るなど、手口が巧妙化しているようです。

対策としては、無視するに限ります。そして、このような悪質なサイトへのリンクを設置しているサイト自身も、何らかの悪意を持っている可能性がありますので、そのようなサイトには近づかないのが賢明です。

警視庁:インターネット閲覧中に突然料金請求画面が表示された
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku35.htm


5)ウェブサービスへの不正ログイン

脆弱性を持った他のウェブサービスから入手したIDとパスワードの組み合わせを利用して、不正アクセスする手口。

この手口は、同じIDとパスワードの組み合わせを試すものがほとんどですので、サービスごとにパスワードを変えておくだけで被害を防いだり、対策までの時間を稼ぐことが可能です。

6)匿名によるネット上の誹謗・中傷

いわゆるネットの掲示板や、SNSなどでの書き込みによる手口。人間によるものなので、これを防ぐことは難しいですね。

7)ウェブサービスからの個人情報の窃取

ウェブサービスそのものに脆弱性があり、ここから情報を盗み取る手口。

これも個人で対策を取ることは難しいのですが、5)で説明した通り、盗まれたIDとパスワードが、他のサービスでも使われている組み合わせだった場合に、他のサービスも不正利用されるので、IDとパスワードの組み合わせは面倒でも違うものを使わなければなりません。まったく違わなくても、一文字違うだけでも効果はあります。

8)情報モラル不足によるサイバー犯罪の低年齢化

これは、具体的な手口というよりも社会的な状況の変化を表したものです。次の不適切な情報公開にも関連しています。

9)職業倫理欠如による不適切な情報公開

Twitterなどで食べ物を粗末に扱った写真を投稿したり、有名人のプライベートを暴露するような投稿を行うケースですね。

一般人が被害を受けることはなさそうですが、お店を経営しているような方であれば、社員教育を徹底しなければお店を畳むことになるかもしれません。

10)インターネットの広告機能を悪用した攻撃

3)のスマートフォンアプリを利用した手口に似ていますが、こちらは広告から悪意のあるリンクをへ誘導するというもので、一見普通の広告で掲載されているサイトも一般のサイトなため、悪意があるものかどうかの見分けは難しいようです。これも個人として取れる対策というのはないかもしれません。

簡単ではありますが、対策内容が少しは参考になればと思います。

情報セキュリティとはいうものの、技術的な問題だけでなくモラルの問題が多いですね。これはITが一般化した証拠とも言えます。サイバー犯罪の低年齢化もそういった状況を映し出しています。

道具には常に良い使い方と悪い使い方の両面があるもの、良い使い方を広められるようにしていきたいものです。


【若林健一 / kwaka1208】
Web: http://kwaka1208.net/

Twitter: https://twitter.com/kwaka1208


CoderDojo奈良
http://coderdojo-nara.org/

次回は、3月12日(土)開催です!