情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は「組織編がテーマです。

第8位 インターネット上のサービスへの不正ログイン

概要

皆さんが普段クラウドサービスを利用するときには、IDとパスワードなどによる認証を行うことが多いですよね。
この脅威は、それらの認証情報を利用して、サービス利用者になりすましサービスへの不正ログインを行って、情報窃取や不正操作などを行うものです。
また、不正ログインは、クレジットカード情報の窃取による金銭被害などの二次被害を引き起こしてしまう可能性もあります。

認証情報の取得には様々なパターンがあります。
ごく一部ではありますが、代表的なパターンを3つほどご紹介します。

1. 漏えいした認証情報を利用する

皆さんは、サービス利用者のIDやパスワードが流出したといったニュースを目にすることもあるのではないでしょうか。
このパターンでは、そういった不正に手に入れた認証情報を利用して様々なサービスへのログインを試みるというものです。

2. ウイルス感染による窃取

皆さんが利用しているデバイス(PCやスマートフォンなど)がウイルス感染した場合、デバイス内に保管してある認証情報を盗まれたり、マウスやキーボードの操作内容からパスワードを推測されて盗まれたりなんてことも考えられます。

3. パスワードを推測する

認証情報が漏えいしていなければ安全なわけでもありません。
というのも、誕生日や電話番号、語呂合わせなど分かりやすい文字列を利用してログインを試みる攻撃者も存在しているからです。

対策

1. パスワードは長く複雑なものにして、使い回さない

パスワードが短かったり分かりやすい場合、パスワードの推測を容易にしてしまいます。
反対に、これらに対応できてさえいればそれだけで、推測攻撃に対しては大きな抑止力となります。

また、たくさんの認証情報を管理する必要がある現在、パスワードは使いまわしがちだと思いますが、使いまわしていると、一ヵ所から漏えいした時点で複数サービスに不正ログインされる可能性があります。
サービスごとに違うものを用意するようにしましょう。

2. パスワードの管理をしっかりする

この対策ではできることであれば「パスワード管理ツール」を利用することが最も望ましいです。
というのも、パスワード管理ツールであれば長く複雑なパスワードをたくさん自分で覚える必要がないため、1の対策も合わせて行いやすいです。

もしパスワード管理ツールを使わない場合にも、「IDとパスワードは分けて管理する」「認証情報を管理するファイルはパスワードをかける」など、情報が洩れるリスクを軽減できる対策を取りましょう。

3. 不審な添付ファイルやURLを開かない

不正アクセスを防ぐためには、自分が使っているデバイスがウイルス感染しないようにすることも大切です。
そのためにも、まずはウイルス感染経路でもある不審な添付ファイルやURLを開かないという身近な対応から行いましょう。

4. セキュリティ対策予算・体制の確立

この対策は、サービスを提供する側が行うべきものです。
利用者がいくら気をつけていても、サービス側による認証情報の管理がずさんであったり、不正アクセスされやすいような環境であれば、簡単に利用者の認証情報が漏えいしてしまいます。

利用者の頑張りをしっかりと活かすためにも、提供側もサイバー攻撃対策や、よりセキュアな認証方法の提供など、セキュリティ対策に意識を向けて積極的に取り組むことが大切です。

まとめ

今回は、「情報セキュリティ10大脅威(組織編)」の第8位をご紹介しました。

この脅威は前回16位だったものが大幅に順位を上げています。
また、今後インターネット上での利用サービスが増加するほど増大していく脅威でもあります。

利用者、提供者双方が気をつけていくことで、リスクを減らしていきましょう。

次回は「第7位 予期せぬIT基盤の障害に伴う業務停止」をご紹介します。

情報セキュリティ10大脅威(組織編)を10回で紹介してみる③

情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は「組織編がテーマです。

第8位 インターネット上のサービスへの不正ログイン

概要

皆さんが普段クラウドサービスを利用するときには、IDとパスワードなどによる認証を行うことが多いですよね。
この脅威は、それらの認証情報を利用して、サービス利用者になりすましサービスへの不正ログインを行って、情報窃取や不正操作などを行うものです。
また、不正ログインは、クレジットカード情報の窃取による金銭被害などの二次被害を引き起こしてしまう可能性もあります。

認証情報の取得には様々なパターンがあります。
ごく一部ではありますが、代表的なパターンを3つほどご紹介します。

1. 漏えいした認証情報を利用する

皆さんは、サービス利用者のIDやパスワードが流出したといったニュースを目にすることもあるのではないでしょうか。
このパターンでは、そういった不正に手に入れた認証情報を利用して様々なサービスへのログインを試みるというものです。

2. ウイルス感染による窃取

皆さんが利用しているデバイス(PCやスマートフォンなど)がウイルス感染した場合、デバイス内に保管してある認証情報を盗まれたり、マウスやキーボードの操作内容からパスワードを推測されて盗まれたりなんてことも考えられます。

3. パスワードを推測する

認証情報が漏えいしていなければ安全なわけでもありません。
というのも、誕生日や電話番号、語呂合わせなど分かりやすい文字列を利用してログインを試みる攻撃者も存在しているからです。

対策

1. パスワードは長く複雑なものにして、使い回さない

パスワードが短かったり分かりやすい場合、パスワードの推測を容易にしてしまいます。
反対に、これらに対応できてさえいればそれだけで、推測攻撃に対しては大きな抑止力となります。

また、たくさんの認証情報を管理する必要がある現在、パスワードは使いまわしがちだと思いますが、使いまわしていると、一ヵ所から漏えいした時点で複数サービスに不正ログインされる可能性があります。
サービスごとに違うものを用意するようにしましょう。

2. パスワードの管理をしっかりする

この対策ではできることであれば「パスワード管理ツール」を利用することが最も望ましいです。
というのも、パスワード管理ツールであれば長く複雑なパスワードをたくさん自分で覚える必要がないため、1の対策も合わせて行いやすいです。

もしパスワード管理ツールを使わない場合にも、「IDとパスワードは分けて管理する」「認証情報を管理するファイルはパスワードをかける」など、情報が洩れるリスクを軽減できる対策を取りましょう。

3. 不審な添付ファイルやURLを開かない

不正アクセスを防ぐためには、自分が使っているデバイスがウイルス感染しないようにすることも大切です。
そのためにも、まずはウイルス感染経路でもある不審な添付ファイルやURLを開かないという身近な対応から行いましょう。

4. セキュリティ対策予算・体制の確立

この対策は、サービスを提供する側が行うべきものです。
利用者がいくら気をつけていても、サービス側による認証情報の管理がずさんであったり、不正アクセスされやすいような環境であれば、簡単に利用者の認証情報が漏えいしてしまいます。

利用者の頑張りをしっかりと活かすためにも、提供側もサイバー攻撃対策や、よりセキュアな認証方法の提供など、セキュリティ対策に意識を向けて積極的に取り組むことが大切です。

まとめ

今回は、「情報セキュリティ10大脅威(組織編)」の第8位をご紹介しました。

この脅威は前回16位だったものが大幅に順位を上げています。
また、今後インターネット上での利用サービスが増加するほど増大していく脅威でもあります。

利用者、提供者双方が気をつけていくことで、リスクを減らしていきましょう。

次回は「第7位 予期せぬIT基盤の障害に伴う業務停止」をご紹介します。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする