情報セキュリティ「個人」の10大脅威(2018版)の超個人的解釈
毎年IPAが出している”情報セキュリティ10大脅威 ”の2018年度版が出ました。
全体的な脅威の項目に大きな違いはありませんが、トレンドのようなものはありますね。
情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構 via kwout
この表で新たに入った項目と落ちたものについて考えてみます。
個人の脅威
ランクイン → 偽警告
如何にもな広告をだしてくる押し売り的なものは以前からありましたが、似たようなものです。悪質なのはシステム(Windowsなど)が出してくる警告(のような)感じで見せつけてくるところです。
以前からあるエロサイトのようなところで数万円の偽請求をしてくるものは、何となく見ちゃったからしょうがないかも…な不安を煽るものでしたが、もう少し突発的な事故のように警告を出してきます。ウィルスに感染したとか、システムが壊れたなど…いずれも不安を煽るものです。ランクインしてくるだけあって特によく見るような気はします。
おおきな違いとしては、あくまでも偽の警告なので、ブラウザの別ウィンドウのような中に、如何にもなシステムからの警告のようなものになっています。
以前から導入しているウィルス対策のソフトで、このような挙動をするものがあるのでしょうか? すべてのソフトを押さえているわけではないので何ともですが、その動き方は違うはずです。まずは通常の?普段の状態で起こる本物の警告などを知ることからはじまります。
有名なテストウィルスのサイトで確認すれば、その挙動も事前に知っておけます。知っていれば違いは解ります。
手法としては以前から多くある古典的なものですが、敵も少しずつ悪質化しているので、私たちも少しは進歩する(知っておく)ことが重要です。
ランク落ち → インターネット上のサービスを悪用した攻撃(9位)
正規のサイトに表示される不正広告や、正規のサービスをコマンド&コントロールサーバー(C&C:ウイルスに感染しているPCに対して命令するサーバー)として動作させてウイルスとの通信に悪用する等、インターネット上でサービスとして提供されている機能や仕組みを隠れみのとする攻撃
となっています。
逆に言えば、これらの面倒な方法で感染させることよりも、実際に感染していなくとも偽物の警告を出せば十分ということなのでしょうか?
実際に偽警告で役に立たないソフトなどを売りつけることと、上記のランク落ち攻撃とは目的が違うので比較になりませんが、敵も趣味で感染させることをしている訳ではないので、最終的には金銭が絡んでくることになります。
次回、組織の脅威についてまとめてみたいと思います。
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。