情報セキュリティ10大脅威2021について現役ハッカーが解説【個人編】
2021年1月27日にプレス発表されていました2021年度「情報セキュリティ10大脅威」の詳細な解説が2月26日にIPA(独立行政法人情報処理推進)から公開されました。
前年2020年度「情報セキュリティ10大脅威」が公開された際にも現役ハッカーとして解説をさせていただきましたので今年も現役ハッカーの目線で簡単に解説を行っていきたいと思います。
まずはどのような項目がランクインしたのかおさらいしておきましょう。
2021年度の「情報セキュリティ10大脅威」の注目点は組織編第3位にランクインした「テレワーク等のニューノーマルな働き方を狙った攻撃」でしょう。
組織編の解説については別回で詳しくしていきたいと思います。
今回は個人に対する脅威を現役ハッカーが気になる物を何点かピックアップして解説していきます。
・関連記事
情報セキュリティ10大脅威2020についてハッカーが詳しく解説していく【個人編】
【速報】2021年度「情報セキュリティ10大脅威」が決定!! ~「テレワーク等のニューノーマルな働き方を狙った攻撃が」初登場ランクイン~
※情報セキュリティ10大脅威 2021 IPA(独立行政法人情報処理推進) (外部サイトに移動します。)
「情報セキュリティ10大脅威」を見ていくうえでの注意点
「情報セキュリティ10大脅威」のランキングを見ていくうえでの注意点がいくつか存在しています。
この注意点はIPA(独立行政法人情報処理推進)からも出されています。
①ランキングにとらわれず自分の立場や環境を考慮する事
「情報セキュリティ10大脅威」は前年(今回でいえば2020年)の被害事例や社会的に注目度の高かったトピックスに基づいて選考委員会の会員の投票によってランキングされたものであり、上位の脅威だけに対策を講じておけば良いというわけではありません。
あくまで、情報セキュリティ対策は自分が置かれている立場や情報を扱う環境等を考慮してランキングを参考にして対策を講じてください。
②ランクインした脅威がすべてではない
今回のランキングで新しく登場した項目も存在します。その反面いままでランクインしていた項目がなくなってもいます。
しかし、ランキングが外れたからといってその脅威が100%無くなったわけではありません。前述したとおりこの「情報セキュリティ10大脅威」は前年の重要トピックスによって構成されています。
そして、情報セキュリティにおける脅威は数千、それ以上存在していると思います。日々専門機関・大学などでは情報セキュリティに関する研究が行われています。
ブラックハッカーたちは有効な攻撃方法を編み出していきます。
ランクインしなかった脅威だからといって対策を行わなくて良いわけではありません。これからも依然変わらない脅威として存在しているので継続して対策を講じていく必要があります。
③情報セキュリティ対策は基本が最も重要
情報セキュリティにおける脅威は年々高度に巧妙化していると言われています。しかし、脅威一つ一つを深く読み解いていくとどれだけ高度で巧妙化している攻撃でも入口は同じ様なものです。
「脆弱性を利用する」「ウイルス感染させる」「ソーシャルエンジニアリングを駆使する」などいつの時代も変わらず基本的手口が利用されています。
つまりは、対策を行う際も基本を忠実に行うことが重要なってきます。「情報セキュリティ対策の基本」を忠実に実行することによって被害に遭う確率を大幅に低減できます。そして、万が一被害が発生してしまっても被害を最小限に留める事が出来ます。
基本の対策が出来ない中高度な対策を行ってもあまり意味はないかもしれません。
情報セキュリティ 個人も脅威に晒されている
2020年の情報セキュリティ白書内の第1章「情報セキュリティインシデント・脆弱性の現状と対策」の項目の中に「個人をターゲットとした騙しの手口」が掲載されています。
現在、多くの方が情報端末を使用して生活を送っています。便利な技術の裏側には必ず脅威も存在しています。近年、それらを身に感じる事が非常に多くなってきています。
高度に情報化された社会では個人一人一人が責任をもって情報端末を使用することが重要になってくるでしょう。
そしてブラックハッカーたち攻撃者は大きな組織・企業を狙るためにより防御の薄い個人を標的にしてきます。
自分たちも狙われているという事を意識して情報端末をうまく活用していただければ幸いです。
第2位 フィッシングによる個人情報等の搾取
個人に対する脅威としての代表例である「フィッシングによる情報搾取」。今年もランクインしました。
これだけ啓発がなされているにも関わらず被害報告や相談件数は増加する一方です。
フィッシングとは??
実在する公的機関や有名な企業を装いメールやSMS(ショートメッセージサービス)を送信して正規のウェブサイトに模した偽サイト(フィッシングサイト)に誘導することで個人情報や認証情報などを入力させ情報をだまし取る詐欺になります。搾取された情報は様々な犯罪に活用される可能性やダークウェブ上で取引されています。
【脅威と影響】
実在する公的機関や有名な企業を装ったメールやSMSなどがブラックハッカーたちによって送信されます。そこに記載されている内容は「アカウントサービスに関する事」や「個人情報の漏洩を確認しました」など緊急性が高く機微な情報に触れるような内容になっています。そして、記載されているURLから情報の修正などが出来ると誘導して偽のサイト(フィッシングサイト)へアクセスさせます。
記載されているURLから誘導された偽のサイトは実在する機関や有名な企業の本物のサイトと区別が難しいほど精巧な出来になっています。セキュリティの専門家でも見破るのに苦労する程です。
この偽のサイトでログインすることで正規サービスで使用しているログインID・パスワードを盗まれてしまいます。そして続けて登録情報の修正やクレジットカード情報の入力を行うことでさらに機微な情報を盗まれてしまいます。
2020年は新型コロナウイルスによって通販を利用する方が増えたため被害報告・相談件数が急増しました。
対策と対応方法
前述したとおり情報セキュリティ対策の基本をしっかりすることが重要になってきます。
「フィッシングによる個人情報等の搾取」では「攻撃者に騙されない」という対策が基本になってきます。「騙されない」ようにするにはまず正しい情報を知ることが重要です。
それ以外にも基本的な対策方法や万が一騙されて場合の対応方法をご紹介しておきましょう。
・メールやSMSに記載されたURLからアクセスしない
フィッシングサイトへのアクセスは基本的にメールやSMSなどに記載されているURLからになります。(2021年3月ごろより例外が報告されてきています。)
その為、記載されているURLをクリックしなければ問題ありません。もし情報漏洩などメールに記載されている内容で心配であれば自分で検索を行い正規サイトへアクセスしましょう。
・受信したメールやウェブサイトを確認する
基本的には前述したとおり記載されているURLのクリックはしないでください。しかし、どうしてもURLからアクセスしなければいけない状況ならば、サイトドメインをしっかり確認して安全なサイトであることを確かめてください。
また、不審なメールは削除して下さい。
・ログイン履歴等を確認する
普段から不審なログインがされていないか確認してみてください。そうすることで早期の検知を行うことが出来、被害を抑える事が出来ます。
・信頼できる機関に相談する
もし、被害に遭ってしまった場合は警察などの捜査機関に相談してください。また、クレジットカード会社やサービスを提供している会社へ報告することが必要です。
現役ハッカーの目線
フィッシングの被害増加。2021年1月頃には芸能界でも被害に遭った方が告白していました。
正直、なぜフィッシングに引っ掛かってしまうのか分からないという方は多いと思います。分かり易いメールにひっかるほど馬鹿じゃないと。
しかし、ブラックハッカーたち攻撃者も馬鹿ではありません。どうすれば引っ掛かってくれるか常に研究しています。常に進化し続けています。
また、フィッシングサイトやフィッシングメールを自動送信してくれるサービスを販売しているブラックハッカーのグループも存在しています。その為、フィッシング詐欺は技術を持たない方でも簡単にできる環境が出来ています。(いわゆる攻撃のビジネス化というやつです。)
これからもフィッシングによる被害は収まらないと思っています。ブラックハッカーにとっては登竜門でありこの攻撃から多くの事を学び技術を磨いていきます。(人間の心理など)
そして、これからさらに社会の情報化が加速することで利用者が増えることでそこを狙う攻撃者も増えていくことが予想できます。
これから一層フィッシングに気を付けなければいけない時代になっていくでしょう。
第3位 ネット上の誹謗・中傷・デマ
インターネットの匿名性をいい様に利用し、特定の個人や組織に対して誹謗・中傷をしたり、デマを発信したりするような事件が国内でけでなく世界的に発生しています。
2020年の大きな事例でいえば新型コロナウイルスの感染拡大によるトイレットペーパーの枯渇などといったデマが流れ一時お店からトイレットペーパーがなくなるといった事例も発生しています。冷静に考えればありえないことではないでしょうか。
また、誹謗中傷によって自殺をしてしまう事や営業妨害を被っている事例も増加しています。
【背景】
誹謗中傷やデマといった事例の増加の背景にはSNS(ソーシャルネットワーキングサービス)の普及があります。SNSによって匿名での情報発信が容易になりました。そして情報の伝達スピードも格段にアップしたため多くの人の目に触れる機会が増えています。
【事例】
・新型コロナウイルスに関連したデマ
2020年5月に福島県の商店関係者は新型コロナウイルスに感染しているという虚偽の書き込みをした会社員を業務妨害と名誉教授の疑いで逮捕しました。容疑者は匿名のネット掲示板に商店の店名と場所と共に「家族が新型コロナウイルスに感染している」と嘘の情報を書き込みました。その後、その商店に対する無言電話などの嫌がれせ行為や売り上げの減少などの被害が発生しました。
・テレビ番組出演者に対する誹謗中傷
2020年5月にテレビのバラエティ番組の出演者がSNS上で相次いで匿名の誹謗中傷によって精神的苦痛によって自殺する事件が発生しました。警視庁はSNS上で誹謗中傷を書き込んだ男性を同年12月に侮辱罪で逮捕しました。
対策と対応
このような誹謗中傷やデマに対する対策は情報リテラシーに関する教育を家庭内そして学校等で行う事ではないでしょうか。
SNSという便利なツールを使用するにあたってどんな言葉が人を傷つけるのよく考える必要があります。そしてデマに対しては安易に情報を拡散しない、安易に信用しないという事が重要でしょう。
情報が簡単にすぐ手に入る時代だからこそ正確な情報の取捨選択を行う能力が問われます。
誹謗中傷にしろデマにしろ匿名だから行って良いものではありません。よく考えたらツールを活用することが求めています。
そして被害を受けた方は一人で抱え込まず誰かに相談してください。周りの方々は見て見ぬふりをせず手を差し出しましょう。
現役ハッカーの目線
匿名性を利用した誹謗中傷やデマもハッカーの出る幕ではないかもしれません。
しかし、人工知能の発展によって「ディープフェイク」と呼ばれる事例が報告されています。
「ディープフェイク」とはディープラーニング技術を利用した合成メディアです。その人が実際行っていない動作を行ったり、実際口に出していないことを発言したりしているかのように描くことができます。
例えば下記の動画はオバマ元アメリカ大統領になりすましています。オバマ元大統領が喋っているように見えますが実際は全くの別人が喋っています。
このように現在はデマのレベルが上がっています。ブラックハッカーたちがこのようデマを流すことで社会に混乱を招く可能性もあります。
誹謗中傷に関してはどれだけ匿名性が保たれているSNSであっても以外にバレます。実際に警察に特定され逮捕されている事例も多く存在しています。意外に匿名ではありません。匿名だから、何を書いても言っても大丈夫ではないです。
まとめ
今回は「情報セキュリティ10大脅威2021」個人編から2点の脅威について解説していきました。
10個の項目から2つ選びました。この2点だけが重要であるわけではありません。他のランクインした脅威の重要ですし、ランクインしていない多くの脅威も重要です。
では、なぜこの2点をピックアップしたのか。
①脅威の多くがメールやSMSがきっかけになっているという事。②誹謗中傷やデマが最近多すぎるという事。です。
メールやSMSは便利なツールです。特には番号さえわかれば送信するが出来ます。しかし、メールと違い「迷惑メールフィルター」や「ウイルスチェック機構」がありません。つまり、SMSは防壁がないのです。その為、自分で判断して対応しなければいけないのです。
メールに関しても、ブラックハッカーたちは巧妙な文章・内容を常に考えてきています。そして、迷惑メールフィルターやウイルス感染ソフトを搔い潜ろうと研究してきています。自分で正しく知識を持って防衛する必要があります。
自分で防衛するという事は「デマ」や「誹謗中傷」に対しても言えます。
デマに騙されない・拡散しない。誹謗中傷をしない・させない。これらがこれからより重要になっていくでしょう。
自分は大丈夫。自分は関係ない。という考えは捨て、正しい情報で正しい対策・対応を行って自分を防衛していきましょう。
※一緒に読んでほしい記事
【現役ハッカーが語る】フィッシングメール詐欺とは?? ~現状や有効な対策を知って適切な対応を~
狙われるのは組織・企業だけじゃない!!個人にも忍び寄るサイバーセキュリティの脅威!! ~SMSを利用した詐欺の手口と対策!!~
