情報セキュリティ「個人」の10大脅威(2018版)の超個人的解釈
毎年IPAが出している”情報セキュリティ10大脅威 ”の2018年度版が出ました。
全体的な脅威の項目に大きな違いはありませんが、トレンドのようなものはありますね。
情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構 via kwout
この表で新たに入った項目と落ちたものについて考えてみます。
個人の脅威
ランクイン → 偽警告
如何にもな広告をだしてくる押し売り的なものは以前からありましたが、似たようなものです。悪質なのはシステム(Windowsなど)が出してくる警告(のような)感じで見せつけてくるところです。
以前からあるエロサイトのようなところで数万円の偽請求をしてくるものは、何となく見ちゃったからしょうがないかも…な不安を煽るものでしたが、もう少し突発的な事故のように警告を出してきます。ウィルスに感染したとか、システムが壊れたなど…いずれも不安を煽るものです。ランクインしてくるだけあって特によく見るような気はします。
おおきな違いとしては、あくまでも偽の警告なので、ブラウザの別ウィンドウのような中に、如何にもなシステムからの警告のようなものになっています。
以前から導入しているウィルス対策のソフトで、このような挙動をするものがあるのでしょうか? すべてのソフトを押さえているわけではないので何ともですが、その動き方は違うはずです。まずは通常の?普段の状態で起こる本物の警告などを知ることからはじまります。
有名なテストウィルスのサイトで確認すれば、その挙動も事前に知っておけます。知っていれば違いは解ります。
手法としては以前から多くある古典的なものですが、敵も少しずつ悪質化しているので、私たちも少しは進歩する(知っておく)ことが重要です。
ランク落ち → インターネット上のサービスを悪用した攻撃(9位)
正規のサイトに表示される不正広告や、正規のサービスをコマンド&コントロールサーバー(C&C:ウイルスに感染しているPCに対して命令するサーバー)として動作させてウイルスとの通信に悪用する等、インターネット上でサービスとして提供されている機能や仕組みを隠れみのとする攻撃
となっています。
逆に言えば、これらの面倒な方法で感染させることよりも、実際に感染していなくとも偽物の警告を出せば十分ということなのでしょうか?
実際に偽警告で役に立たないソフトなどを売りつけることと、上記のランク落ち攻撃とは目的が違うので比較になりませんが、敵も趣味で感染させることをしている訳ではないので、最終的には金銭が絡んでくることになります。
次回、組織の脅威についてまとめてみたいと思います。
現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか?
技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。
一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。