影響の大きいネットとスマホ
最初に起業しようと思ったキッカケのひとつが、インターネットの急激な普及だ。1990年代の中盤くらいから2000年にかけて、米国を中心とした「ITバブル」とか「ドットコム・バブル」があったが、まさにそのど真ん中での起業だった。インターネットによって「IT革命が起きる」ことが喧伝され、産業革命のように世の中が大きく変わると信じていた。
それから20数年が経ち、仕事でもプライベートでもインターネットを利用しない日がなくなった。というより、日常生活でインターネットを切り離すのは極めて困難となっている。電車内を見渡してみると、居眠りしている人以外はほとんどが、老若男女問わずスマートフォンの画面を覗いている。スマホを通じてインターネットに接続しているのだ。10年前までは新聞、雑誌、マンガを読む人数もそれなりだったが、今ではほとんど見かけない。
ここまでインターネットが普及すると、これまでなかった新しいトラブルを引き起こすことがある。例えば「個人情報の流出」。2003年に個人情報保護法が成立してからは、個人情報の取り扱いに細心の注意を払うようになっているが、20年後の2023年でも情報流出のニュースは多い。
変化するネット社会の脅威
インターネット普及によるトラブルは、年々変化している。例えば、15年くらい前は、「Winny」というファイル共有ソフトを介してPCからの情報漏洩の被害が拡大したが、今はない。10年ほど前から急激に普及したスマートフォンに関係するトラブルが増えた。
こういったネット社会のトラブルやそれを引き起こす脅威を知るのにお勧めなのが、独立行政法人情報処理推進機構(IPA)が2006年から毎年発表している「情報セキュリティ10大脅威」だ。最新版である2023年版では、以下の内容が10大脅威として公表されている。
上記の表は、まさに2023年に問題となるネット社会のトラブルを、起きそうな順に表していると考えていい。今回は、この内容をざっと眺めることでネット社会のリスクに関する理解を深めたい。
個人が巻き込まれるトラブル
法人などの「組織」が巻き込まれるネット社会のトラブルに触れる前に、「個人」が巻き込まれるトラブルを、起きそうな順に見てみよう。
個人のトラブル1~5位
■フィッシングによる個人情報等の詐取
フィッシング詐欺は、実在する有名組織を騙ったメールやSMSを送信し、正規のウェブサイトを模倣したフィッシングサイト(偽のウェブサイト)へ誘導することで、個人情報や認証情報等を入力させる詐欺。詐取された情報は悪用され、金銭的な被害が発生することもある。
■ネット上の誹謗・中傷・デマ
インターネットの匿名性を利用して、特定の個人や組織に対して誹謗・中傷をしたり、デマを発信したりする。被害者は、精神的苦痛に苛まれたり、業務妨害の被害を受けたりする。2020年においては、特に新型コロナウイルスに関する事例が注目された。
■メールやSMS等を使った脅迫・詐欺の手口による金銭要求
個人の秘密を家族や知人にばらすと脅迫したり、身に覚えのない有料サイトの未納料金を請求したりするメールやSMSを使った詐欺による金銭被害が発生している。公的機関を装った偽の相談窓口に誘導するといった手口もある。
■クレジットカード情報の不正利用
キャッシュレス決済の普及に伴い、クレジットカードを利用する機会が増えている。一方、所有者を狙ったフィッシング詐欺やクレジットカードが紐付けされているサービスを狙った不正アクセスによる情報漏えい等により、クレジットカード情報が窃取され、攻撃者にクレジットカードを不正利用される被害が継続して発生している。
■スマホ決済の不正利用
スマートフォンの普及に伴い、キャッシュレス決済の1つである「スマホ決済」が登場し、その後スマホ決済を使った各社のサービスも登場しその手軽さから普及が進んだ。こうした利便性の反面、第三者のなりすましによるサービスの不正利用や、連携する銀行口座からの不正な引き出し等も確認されている。
個人のトラブル6~10位
■不正アプリによるスマートフォン利用者への被害
スマホに意図せず不正アプリをインストールしてしまい、スマホ内の情報を窃取されたり、不正操作されたりする被害が発生している。宅配業者等になりすましたSMSがスマートフォンに届き、誘導されたサイトから意図せず不正アプリをダウンロードしてしまう事例や、公式マーケット上に通常のアプリに紛れ込ませて不正アプリが公開されている事例が確認されている。
■偽警告によるインターネット詐欺
PCやスマホからインターネット上で検索した情報やウェブサイトを閲覧中に、突然「ウイルスに感染しています」などの偽のセキュリティ警告画面を表示して、不審なソフトウェアをインストールさせたり、攻撃者が用意したサポート窓口に電話を掛けさせて遠隔操作や有償サポート契約を結ばせたりする被害(サポート詐欺)が発生している。
■インターネット上のサービスからの個人情報の窃取
ショッピングサイト(ECサイト)などの脆弱性を悪用した不正アクセスや不正ログインが行われ、サービスに登録している個人情報等の重要な情報を窃取される被害が継続して発生している。サービスの利用者は、窃取された情報を悪用されることにより、クレジットカード不正利用の被害を受ける事態が発生している。
■インターネット上のサービスへの不正ログイン
インターネット上のサービスへ不正ログインされ、金銭や個人情報等の重要情報が窃取される被害が確認されている。別のサービスと同じ ID やパスワードを使いまわす利用者を狙ったパスワードリスト攻撃による不正ログインが行われている。また、不正ログインで得た情報を利用して更に被害を拡大させるおそれがある。
■ワンクリック請求等の不正請求による金銭被害
ワンクリック請求とは、サイトを訪問してきた利用者に、次のようにして金銭の支払いを要求する手口。
- 契約内容を明確に説明しようとせず、利用者に契約に同意する意思がないにも関わらず「有料会員契約が成立(登録)した」、もしくはアプリをインストールしていないにも関わらず「有料アプリのインストールが完了した」などと表示して、代金の支払いを要求する。
- あたかも利用者個人を特定しているかのように「利用端末の情報、IPアドレス」などの情報を表示する。
- 「契約は法的に有効」と主張し、法的措置や遅滞料金請求など強い表現で早期の代金支払を求める。
- 問合せ先の電話番号やメールアドレスを繰り返し表示し、「24時間以内」など早期の連絡を求める。
総務省公開のトラブル事例集
今回取り上げている「情報セキュリティ10大脅威」を公表する独立行政法人情報処理推進機構(IPA)は経済産業省管轄だが、情報通信行政を担当する総務省からも 個人が巻き込まれるインターネットトラブルの情報が公開されている。
分かりやすい資料として「インターネットトラブル事例集(2023年版)」を紹介しておく。この事例集は教育現場で使いやすいように編集されたものだが、内容的には一般社会人にもそのまま通用する。
総務省の「インターネットトラブル事例集」では、インターネットトラブルの実例を挙げ、その予防法等を紹介している。内容を小学校や中学校の授業で活用するための書式もダウンロードできるので、これを使って社内教育資料にすることも可能だ。
会社が巻き込まれるトラブル
ここまでは「情報セキュリティ10大脅威」の『個人』で列挙されたものを見てきたが、いよいよ『組織』についてまとめておく。会社が巻き込まれるトラブルだ。
ランサムウェアによる被害
ウイルスの一種であるランサムウェアに感染するとPCに保存されているファイルが暗号化され、攻撃者は暗号化解除や復旧を目的に金銭を要求する。
ランサムウェアは人質型ウイルスとも呼ばれる。PCやサーバー、スマートフォンがこのウイルスに感染すると、保存されているデータが暗号化されて利用できなくなったり、画面がロックされて端末が利用できなくなったりする。そしてそれを復旧することと引き換えに金銭を要求される等の被害が発生する。また、データの暴露を行うと脅迫され、金銭の支払い有無にかかわらず、データが暴露されてしまったケースが近年発生している。
会社側の対策例としては、ストレージの定期的なバックアップ、重要なファイルへのアクセス権限見直し、エンドポイントセキュリティ製品の導入などが考えられる。
サプライチェーンの弱点を悪用した攻撃の高まり
系列企業やビジネスパートナーを含めたサプライチェーン全体でのセキュリティ対策の弱点を突いて、被害をサプライチェーン全体に拡大させること。
原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群をサプライチェーンと呼ぶ。このサプライチェーンの関係性を悪用し、セキュリティ対策の強固な企業を直接攻撃するのではなく、その企業が構成するサプライチェーンのセキュリティが脆弱な取引先等を標的とする手口がある。取引先が攻撃されると取引先が保有する企業の機密情報が漏えいしたり、取引先を足掛かりとされ、本来の標的である企業が攻撃を受けたりする被害が発生する。
会社側の対策例としては、まずはサプライチェーン全体のセキュリティ対策状況の把握をすることと、系列企業やビジネスパートナーへのセキュリティ対策の改善要求が挙げられる。
標的型攻撃による機密情報の窃取
標的型メールに代表される攻撃で、特定の組織を狙ってメールの添付ファイルを開かせるように誘導したり、悪意あるウェブサイトにアクセスさせてウイルス感染させる被害のこと。
企業や民間団体そして官公庁等、特定の組織から機密情報等を窃取することを目的とした標的型攻撃が継続して発生している。攻撃者は新型コロナウイルスの感染拡大による社会の変化や、それに伴うテレワークへの移行という過渡期に便乗し、状況に応じた巧みな手口で金銭や機密情報等を窃取する。
会社側の対策例としては、標的型メール訓練の実施によって従業員一人ひとりのセキュリティリテラシー向上を図ったり、不審なメールを簡単に報告できるようにするシステムづくりすることが挙げられる。
内部不正による情報漏えい
従業員や委託作業員などが不正に内部情報を持ち出し、第三者に販売したり悪用すること。
会社に勤務する従業員や元従業員などの「関係者」による機密情報の持ち出しや悪用等の不正行為が発生している。また、社内の情報管理のルールを守らずに情報を持ち出し、紛失、情報漏えいにつながるケースも散見される。関係者による不正行為は、社会的信用の失墜、損害賠償による経済的損失により、会社に多大な損害を与える。
会社側の対策例としては、アクセス権限の見直し、USBなど外部記憶媒体などの利用制限、退職者のアカウントの削除といったものが考えられる。
テレワーク等のニューノーマルな働き方を狙った攻撃
ニューノーマルな働き方として一気に普及した「自宅からオフィスへのVPN接続」「Web会議サービスの利用」「私物のPCや自宅のインターネット環境の業務利用」「初めて使うリモートアクセス環境」などを狙った攻撃のこと。
2020年の新型コロナウイルス感染症の世界的な蔓延に伴い、政府機関から感染症対策の一環として日本の組織に対してニューノーマルな働き方の一つであるテレワークが推奨された。組織のテレワークへの移行に伴いウェブ会議サービスやVPN等の本格的な活用が始まった中、それらを狙った攻撃が行われている。
会社側の対策例としては、テレワーク規定や運用ルールの整備、セキュリティ教育の再実施、テレワーク環境のセキュリティ対策の見直しなどが考えられる。
修正プログラムの公開前を狙う攻撃(ゼロディ攻撃)
ゼロデイ攻撃とは、修正プログラムが提供される前の脆弱性を悪用した攻撃のことを指す。ゼロデイとは、ベンダーが対策を行う日を「1日目」と考えた場合、それ以前の「0日目」に攻撃が行われることから、このように呼ばれている。
2022年には、FortiGate等のセキュリティアプライアンス製品や、Microsoft Exchange Serverを狙ったゼロデイ攻撃の実例があった。
会社側の対策としては、事前に防ぐことは困難であることを前提に、悪用の情報が公表されたら即時対応する管理体制の整備などが考えられる。
ビジネスメール詐欺による金銭被害
攻撃者が企業の従業員を騙し、経営者などの名を騙ってメールで送金指示を出し、実際に口座へと送金させる詐欺の手口のこと。攻撃者は事前に企業のメールを盗み見るなどして、本物と見間違うような巧妙なメール文で攻撃を仕掛けてくる。
ビジネスメール詐欺(Business E-mail Compromise:略称BEC)は、巧妙な騙しの手口を駆使した偽のメールを組織・企業に送り付け、従業員を騙して送金取引に関わる資金を詐取する等の金銭被害をもたらすサイバー攻撃。2022年は正規のメールアドレスを乗っ取ったビジネスメール詐欺や、偽メールに従い送金し、後日、詐欺発覚するという被害が確認されている。
会社側の対策例としては、送金指示の真正性を電話でも確認するなど、送金フローの見直しや、不審メールに気づくための従業員への教育などが考えられる。
脆弱性対策情報の公開に伴う悪用増加
脆弱性情報の公開後、パッチ適用をしていない利用者を狙って脆弱性を突く攻撃を仕掛けること。
ソフトウェアの脆弱性対策情報の公開は、脆弱性の脅威や対策情報を広く呼び掛ける目的で実施され、ユーザーメリットが大きい。ただ、その情報を攻撃者に悪用され、当該ソフトウェアに対する脆弱性対策を行っていないシステムを狙った攻撃が行われている。近年では脆弱性情報の公開後、攻撃コードが流通し、攻撃が本格化するまでの時間が短くなっている。
会社側の対策例としては、パッチ公開後に速やかに適用できる仕組みづくりと日常的な脆弱性管理となる。
不注意による情報漏えい等の被害
メール誤送信やクラウドサービスへのファイルの誤ったアップロードなど、不注意により意図せぬ相手に情報を漏えいしてしまうこと。
情報管理体制の不備や情報リテラシーの不足等が原因となり、個人情報や機密情報を漏えいさせてしまう事例が2022年も引き続き多く見られた。特にテレワークの常態化などで働く環境が変化している今、状況に応じた対策が求められる。
会社側の対策例としては、従業員への教育や再徹底、メール誤送信防止のための仕組み導入などがある。
犯罪のビジネス化(アンダーグラウンドサービス)
サイバー犯罪のビジネス化が顕著になっている。攻撃の代行サービスや攻撃に利用できるツールの取引がおこなわれているほか、窃取した個人情報や認証情報を販売・購入することもできる。サイバー犯罪に加担する人材のリクルートも実施されている。
売買されるのは、認証に係るアカウント情報や個人情報などが一般的。売買されている個人情報にはセキュリティコードもセットとなったクレジットカード情報、免許証や保険証の情報、パスポートの画像等が存在している。
会社側の対策としては、まずはこうした犯罪のビジネス化について正しく理解するところから始める必要があるだろう。