情報セキュリティ「個人」の10大脅威(2018版)の超個人的解釈

毎年IPAが出している”情報セキュリティ10大脅威 ”の2018年度版が出ました。

全体的な脅威の項目に大きな違いはありませんが、トレンドのようなものはありますね。

情報セキュリティ10大脅威 2018

https://www.ipa.go.jp/security/vuln/10threats2018.html

情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構 via kwout

この表で新たに入った項目と落ちたものについて考えてみます。

個人の脅威

ランクイン → 偽警告 

如何にもな広告をだしてくる押し売り的なものは以前からありましたが、似たようなものです。悪質なのはシステム(Windowsなど)が出してくる警告(のような)感じで見せつけてくるところです。

以前からあるエロサイトのようなところで数万円の偽請求をしてくるものは、何となく見ちゃったからしょうがないかも…な不安を煽るものでしたが、もう少し突発的な事故のように警告を出してきます。ウィルスに感染したとか、システムが壊れたなど…いずれも不安を煽るものです。ランクインしてくるだけあって特によく見るような気はします

おおきな違いとしては、あくまでも偽の警告なので、ブラウザの別ウィンドウのような中に、如何にもなシステムからの警告のようなものになっています。

以前から導入しているウィルス対策のソフトで、このような挙動をするものがあるのでしょうか? すべてのソフトを押さえているわけではないので何ともですが、その動き方は違うはずです。まずは通常の?普段の状態で起こる本物の警告などを知ることからはじまります。

有名なテストウィルスのサイトで確認すれば、その挙動も事前に知っておけます。知っていれば違いは解ります。

EICARテストファイル – Wikipedia

手法としては以前から多くある古典的なものですが、敵も少しずつ悪質化しているので、私たちも少しは進歩する(知っておく)ことが重要です。

ランク落ち → インターネット上のサービスを悪用した攻撃(9位)

正規のサイトに表示される不正広告や、正規のサービスをコマンド&コントロールサーバー(C&C:ウイルスに感染しているPCに対して命令するサーバー)として動作させてウイルスとの通信に悪用する等、インターネット上でサービスとして提供されている機能や仕組みを隠れみのとする攻撃

引用:https://www.ipa.go.jp/security/vuln/10threats2017.html

となっています。

逆に言えば、これらの面倒な方法で感染させることよりも、実際に感染していなくとも偽物の警告を出せば十分ということなのでしょうか?

実際に偽警告で役に立たないソフトなどを売りつけることと、上記のランク落ち攻撃とは目的が違うので比較になりませんが、敵も趣味で感染させることをしている訳ではないので、最終的には金銭が絡んでくることになります。

次回、組織の脅威についてまとめてみたいと思います。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。