「2013年版 10大脅威」を読む

IPAのサイトで、2013年版 10大脅威 身近に忍び寄る脅威という PDFが公開されている(こちらを参照)。
セキュリティ上の脅威に関する内容だ。

その脅威をランキングにして1~10位まで。
最初に出てくるの1位、最後に出てくるのが10位。

読んでみよう。

1.クライアントソフトの脆弱性を突いた攻撃

脅威の対象:個人ユーザー、企業/組織

クライアントソフトの脆弱性からウィルスを感染させる脅威。
クライアントソフトとは、Adobe Reader 、Adobe Flash Player、Oracle Java(JRE)、Microsoft Officeなどのこと。
Webブラウザのプラグインもクライアントソフトの一つ。

攻撃に悪用されるクライアントソフトは、インターネットを利用する上で必要となるものが多い。
そのため、企業や個人で利用を控えるのは難しく、ユーザ数も多いため、ランキング1位に選ばれた。

攻撃の手口
・アプリケーションの互換性問題
・ゼロデイ攻撃

対策
・クライアントソフトを最新のものにする

2.標的型諜報攻撃の脅威

脅威の対象:国家、企業/組織

諜報活動をサイバー空間で行われる脅威。
諜報活動とは、政治や経済に関する情報を、競争相手や敵対組織・国家から収集すること。

標的型攻撃には、メールにウィルスを添付したものから、巧妙に攻撃シナリオが練られたものまで、様々なものがある。
ウィルスは内部にて情報を収集するが、標的ごとに作られるためウィルス対策ソフトでの検出が難しい。

攻撃の手口
(1)攻撃準備:攻撃者は、標的となる組織周辺の情報を収集し、攻撃の準備を行なう。
(2)初期潜入:(1)で収集した情報基にメール等でシステムに潜入する。
(3)バックドア開設:システムに侵入下ウィルスがバックドアを開設する。
(4)ハッキング・情報収集:攻撃者は、バックドアを通じて内部システムのハッキングや内部情報を収集する。

対策
・脆弱性対策のほか、システム監視やアカウント/権限管理

3.スマートデバイスを狙った悪意あるアプリの横行

脅威の対象:個人ユーザー、企業/組織

個人情報を収集する目的として、スマートデバイスユーザをターゲットに、魅力的な機能を持ったと見せかけた不正アプリをインストールさせ、電話帳などの情報を収集する脅威。

攻撃の手口
・不正アプリをインストールさせ、端末から個人情報を収集

対策と
・ユーザーへの教育/啓発、ウィルス対策

特に、アプリをインストールする再はダウンロード数やユーザーレビュー、利用規約を参照すること。

4.ウイルスを使った遠隔操作

脅威の対象:個人ユーザー、企業/組織

ウィルスに感染したPCを経由して、悪意ある第三者が掲示板に脅迫文などを書き込む脅威。
感染したPCの週者が誤認逮捕されることがあった。

ウィルスに感染したPCは、ボットネットと呼ばれる感染PCで構成されるネットワークに組み入れられ、攻撃に加担させられる。
遠隔操作ウィルスに感染したPCは、特定のサーバを攻撃したり、内部の情報外部に送出したりする。

攻撃の手口
・メールに添付されたファイルを開かせる
・悪意あるウェブサイトを閲覧させる
・ウィルス混入したソフトウェアを利用させる

対策
・ユーザへの教育/啓発、脆弱性対策、ウィルス対策

見知らぬウェブサイトからのソフトウェアのダウンロードは控えよう。

5.金銭窃取を目的としたウイルスの横行

脅威の対象:個人ユーザー

インターネットバンキングにて、ウィルスにより認証情報が摂取され、金銭被害に発展する脅威。
インターネットバンキングは銀行に行かず残高照会や送金ができるが、認証情報を知られると直接的な金銭的な被害に繋がる。

従来の攻撃はフィッシング詐欺などで偽サイトに誘導し、口座番号や認証情報を入力させるものだった。
しかし、ウィルスによる攻撃では、正規サイトへのアクセスを監視され、盗まれてしまう。

攻撃の手口(ウィルスの機能)
・盗聴:インターネットバンキングの利用を監視され、キー路がーと呼ばれるタイプのウィルスによりID/PASSを盗聴される。
・ポップアップ画面:正規サイトにログイン後に合言葉や暗証番号などの入力を促すポップアップが画面に出力され、入力させる。

対策
・脆弱性対策、ウィルス対策、教育/啓発

普段使うインターネットバンキングの通常の認証プロセスを事前に確認しておく。
罠に引っ掛からないように注意する。

6.予期せぬ業務停止

脅威の対象:企業/組織

レンタルサーバ側の人為的ミス、自然災害などが原因でシステムが停止する脅威。
情報セキュリティは、外部からの攻撃に注目が集まってしまうが、自然災害・オペレーションミスなど悪意のない要因によるシステム停止、データ破壊なども無視できない。

発生要因
・ハードウェアの故障、プログラムの不具合、オペレーションミス、自然災害

対策
・システム設計、システム監視、アカウント/権限管理

オペレーションは適切な人が行なうべきとの意味をこめて「アカウント/権限管理」が入ってる。
手順書の作成や検証・実施/承認の手順遵守などの運用を強化すべき。

7.ウェブサイトを狙った攻撃

脅威の対象:個人ユーザー、企業/組織

ウェブサイト内の個人情報窃取や、ウェブサイトの改ざんによるウィルス配布などの脅威がある。
ウィルスの配布に使われてしまうと信頼喪失に、権威あるサイト内容が改ざんされてしまうと権威喪失につながってしまう。

攻撃の手口
・ウェブアプリケーションの脆弱性:アプリケーション自体の脆弱性
・ウェブ十区尾環境の脆弱性:PHPやApacheなどの脆弱性
・システムの設定不備:サーバ関係の脆弱性

対策
・セキュリティ意識してウェブアプリケーションを作れよ!!
・継続的に改善していけよ!!
・システム設計、システム監視、アカウント/権限管理、脆弱性対策

ちゃんと作ろう。作りこもう。

8.パスワード流出の脅威

脅威の対象:個人ユーザー、企業/組織

オンラインサービスの増加に伴い、ユーザが複数のパスワードを管理するになる。
その結果、同一ID/PASSを使いまわしてしまい、一つのパスワードが漏洩することで、複数のウェブサイトで成りすましの被害にあってしまう。

攻撃の手口
・ソーシャルエンジニアリング:入力の盗み見、廃棄物からの読み取りなど
・パスワード推測:可能な限り全ての文字列の組み合わせを試す
・パスワードリスト攻撃:脆弱なウェブサイトなどから不正に取得したパスワードのリストを使う

対策
・使い回しを避ける、とあるけどめんどくさい・・・。こういう方法もある。
・ウェブサイトにおいては、保存されているパスワードデータが漏洩しても悪用されないよう、パスワードをソルト付きでハッシュ化しておく!

9.内部犯行

脅威の対象:企業/組織

内部の人間による故意の情報漏洩や不正操作の脅威。
正当に権限を有したユーザによる反抗であるため、防止が難しく、被害も大きくなる傾向。

犯行の手口
・管理者権限の悪用:不正入金やメールの盗み見・転送など
・情報・システム破壊:社内システム内のデータ削除、プログラムの改ざんなど
・不正アクセス:顧客情報などの内部情報の転売・流用を目的に

対策
・システム設計、システム監視、アカウント/権限管理、ポリシー/ルール

アカウント権限を厳しくしたり、不正を起こしづらい状況を創出するのが重要。
そして不満の出にくい職場環境なんかも。

10.フィッシング詐欺

脅威の対象:個人ユーザー

フィッシング詐欺とはユーザをだますことにより、インターネットバンキングのID/PASSやクレジットカード番号などの情報を盗み取る犯罪。

オンラインでの決済や送金が一般化した今日では、ID/PASSやクレジットカード番号は、印鑑や通帳と同等の価値があるといっても過言ではない。
これを盗み取る脅威である。

攻撃の手口
・銀行などの実在する組織を装ったメールをユーザに送る
・メール内に「利用情報確認」などとフィッシングサイトに誘導するためのリンクを張る
・リンクをクリックすると、見た目は本物そっくりのフィッシングサイトに誘導され、ユーザがID/PASSを入力することで、盗まれる。

また、ウィルスを使ってPCのhostsファイルが書き換えられると、正規のURLを入力しても、フィッシングサイトに誘導されてしまう。

対策
・教育/啓発、アカウント/権限管理

以上、2013年版10大脅威でした。

今までIPAのサイトは情報処理試験を申し込むときぐらいしか利用しなかてなかった。
これを機に、IPAのサイトを色々見てみよう。

参考

情報処理推進機構:情報セキュリティ:脆弱性対策:「2013年版 10大脅威 身近に忍び寄る脅威」

2013年版 10大脅威 身近に忍び寄る脅威

スポンサーリンク
ad
ad

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
ad