2021年05月28日

情報セキュリティ10大脅威(個人編)~インターネット上のサービスからの個人情報の窃取~

ishihama
石濱 雄基 記事一覧
Posted in 事例, 情報セキュリティ,
このエントリーをはてなブックマークに追加 LINEで送る

情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は皆さんにも身近な「個人編」がテーマです。

第7位 インターネット上のサービスからの個人情報の窃取

概要

皆さん様々なウェブサービスに登録する際に、氏名や住所、クレジットカード情報など様々な情報を入力するでしょう。

本来であれば、これらの情報は厳重に管理されてしかるべきなのですが、情報を取り扱うサービスによっては脆弱性対策などが不十分で危険な状態にあることがあります。また、サービス自体は安全でも、利用者のリテラシーが低いがためにパスワードなどを使いまわしているケースなども存在しています。

そういった脆弱性やパスワードを利用して不正アクセスや不正ログインなどを行い情報を盗み出すのがこの脅威です。場合によっては、盗んだ情報からクレジットカードを不正利用されたり、詐欺メールに利用されたりする可能性もはらんでいます。

続いて、具体的な手口をご紹介します。

1. サービスの脆弱性や設定不備を悪用

こちらは、サービス側の弱みに付け込んだ手口です。

具体的には、ショッピングサイトなどのウェブサービスの脆弱性や設定不備を突いて個人情報などを盗み取ったり、ウェブサイト自体を改ざんしてしまって、利用者が入力した情報をそのまま盗み取ってしまうケースなども存在しています。

2. 他のサービス等から窃取した認証情報を悪用

こちらは、とあるウェブサービスからIDやパスワードなどの情報が盗みだした場合、その情報を利用して別のウェブサービスに不正ログインすることで、個人情報などを盗み取る手口です。

一部、同脅威の「第10位 インターネット上のサービスへの不正ログイン」と重なるため、詳細はこちらを見ていただければと思います。

対策

1. 情報セキュリティリテラシーの向上

この脅威に対しては、弱点となり得る場所に対して、まずは自分自身で対策していくことが必要になります。例えば以下のようなリテラシーの高い行動をとるようにしましょう。

  • 必要以上の情報をウェブサービスに登録しない
  • 利用していないサービスは退会する
  • パスワード作成・管理対策を強化する
2. 被害の早期発見

例えば、クレジットカード情報が盗まれた場合、クレジットカードの悪用などが行われるかもしれません。
その場合、クレジットカードの利用明細で、見覚えのない決済が発生しているはずです。

このように、被害を早期発見して最小限に食い止めることも可能ですので、明細の定期的なチェックや、サービスへのログイン通知をオンにしておくなどの対策をおすすめします。

3. 関係各所への連絡・パスワードの変更等をする(被害を受けた場合)

もし、個人情報が盗まれた等が判明した際には、すぐにサービス運営者への問い合わせや必要に応じてクレジットカードの利用停止、警察や弁護士への相談を行うようにしましょう。

また、不正ログインを受けた場合、IDやパスワードなどの情報が漏れている可能性が高いため、すぐに変更を行うことが望まれます。

まとめ

今回は、「情報セキュリティ10大脅威(個人編)」の第7位をご紹介しました。

現在ではネットショッピング等非常に便利なサービスがたくさんあります。
ただ、ネット上が便利になったことで、たくさんの個人情報を様々なサービスに預けていることも事実です。
自分がたくさんの場所に個人情報を預けているというリスクを認識したうえで、しっかりと必要な対策を行いましょう。

次回は、「第6位 インターネットバンキングの不正利用」をご紹介します。

このエントリーをはてなブックマークに追加 LINEで送る

2021年5月28日

情報セキュリティ10大脅威(個人編)~インターネット上のサービスからの個人情報の窃取~

Posted in 事例, 情報セキュリティ

情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は皆さんにも身近な「個人編」がテーマです。

第7位 インターネット上のサービスからの個人情報の窃取

概要

皆さん様々なウェブサービスに登録する際に、氏名や住所、クレジットカード情報など様々な情報を入力するでしょう。

本来であれば、これらの情報は厳重に管理されてしかるべきなのですが、情報を取り扱うサービスによっては脆弱性対策などが不十分で危険な状態にあることがあります。また、サービス自体は安全でも、利用者のリテラシーが低いがためにパスワードなどを使いまわしているケースなども存在しています。

そういった脆弱性やパスワードを利用して不正アクセスや不正ログインなどを行い情報を盗み出すのがこの脅威です。場合によっては、盗んだ情報からクレジットカードを不正利用されたり、詐欺メールに利用されたりする可能性もはらんでいます。

続いて、具体的な手口をご紹介します。

1. サービスの脆弱性や設定不備を悪用

こちらは、サービス側の弱みに付け込んだ手口です。

具体的には、ショッピングサイトなどのウェブサービスの脆弱性や設定不備を突いて個人情報などを盗み取ったり、ウェブサイト自体を改ざんしてしまって、利用者が入力した情報をそのまま盗み取ってしまうケースなども存在しています。

2. 他のサービス等から窃取した認証情報を悪用

こちらは、とあるウェブサービスからIDやパスワードなどの情報が盗みだした場合、その情報を利用して別のウェブサービスに不正ログインすることで、個人情報などを盗み取る手口です。

一部、同脅威の「第10位 インターネット上のサービスへの不正ログイン」と重なるため、詳細はこちらを見ていただければと思います。

対策

1. 情報セキュリティリテラシーの向上

この脅威に対しては、弱点となり得る場所に対して、まずは自分自身で対策していくことが必要になります。例えば以下のようなリテラシーの高い行動をとるようにしましょう。

  • 必要以上の情報をウェブサービスに登録しない
  • 利用していないサービスは退会する
  • パスワード作成・管理対策を強化する
2. 被害の早期発見

例えば、クレジットカード情報が盗まれた場合、クレジットカードの悪用などが行われるかもしれません。
その場合、クレジットカードの利用明細で、見覚えのない決済が発生しているはずです。

このように、被害を早期発見して最小限に食い止めることも可能ですので、明細の定期的なチェックや、サービスへのログイン通知をオンにしておくなどの対策をおすすめします。

3. 関係各所への連絡・パスワードの変更等をする(被害を受けた場合)

もし、個人情報が盗まれた等が判明した際には、すぐにサービス運営者への問い合わせや必要に応じてクレジットカードの利用停止、警察や弁護士への相談を行うようにしましょう。

また、不正ログインを受けた場合、IDやパスワードなどの情報が漏れている可能性が高いため、すぐに変更を行うことが望まれます。

まとめ

今回は、「情報セキュリティ10大脅威(個人編)」の第7位をご紹介しました。

現在ではネットショッピング等非常に便利なサービスがたくさんあります。
ただ、ネット上が便利になったことで、たくさんの個人情報を様々なサービスに預けていることも事実です。
自分がたくさんの場所に個人情報を預けているというリスクを認識したうえで、しっかりと必要な対策を行いましょう。

次回は、「第6位 インターネットバンキングの不正利用」をご紹介します。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする