情報セキュリティ10大脅威2022について現役ハッカーが解説【個人編】
2022年1月27日にプレス発表されていました2022年度「情報セキュリティ10大脅威」の詳細な解説が2月28日にIPA(独立行政法人情報処理推進)から公開されました。
前年2021年度「情報セキュリティ10大脅威」が公開された際にも現役ハッカーとして解説をさせていただきましたので今年も現役ハッカーの目線で簡単に解説を行っていきたいと思います。
まずはどのような項目がランクインしたのかおさらいしておきましょう。
2022年度の「情報セキュリティ10大脅威」の注目点は2年連続で「組織」編で1位にランクインした「ランサムウェアの被害」でしょう。ランサムウェアは日本国内だけでなく全世界で多くに被害を発生させているマルウェアになります。感染してしまうと情報端末・システムの使用ができなくなり業務を停止せざる負えません。そして、それらを解消するために身代金を要求してきます。さらに盗んだデータを盾にさらに身代金を要求するという悪質な進化も遂げています。
そんな凶悪なマルウェア「ランサムウェアの被害」1位にランクインした組織編の解説については別回で詳しくしていきたいと思います。
今回は個人に対する脅威を現役ハッカーが気になる物を何点かピックアップして解説していきます。
※関連記事
【速報】「情報セキュリティ10大脅威 2022」が公開 組織編の1位は昨年と変わらず「ランサムウェアの被害」
・IPA(独立行政法人情報処理推進機構):情報セキュリティ10大脅威 2022(外部サイトに移ります。)
「情報セキュリティ10大脅威」を見ていくうえでの注意点
「情報セキュリティ10大脅威」のランキングを見ていくうえでの注意点がいくつか存在しています。
この注意点はIPA(独立行政法人情報処理推進)からも出されています。
①ランキングにとらわれず自分の立場や環境を考慮する事
「情報セキュリティ10大脅威」は前年(今回でいえば2021年)の被害事例や社会的に注目度の高かったトピックスに基づいて選考委員会の会員の投票によってランキングされたものであり、上位の脅威だけに対策を講じておけば良いというわけではありません。
あくまで、情報セキュリティ対策は自分が置かれている立場や情報を扱う環境等を考慮してランキングを参考にして対策を講じてください。
②ランクインした脅威がすべてではない
今回のランキングで新しく登場した項目も存在します。その反面いままでランクインしていた項目がなくなってもいます。
しかし、ランキングが外れたからといってその脅威が100%無くなったわけではありません。前述したとおりこの「情報セキュリティ10大脅威」は前年の重要トピックスによって構成されています。
そして、情報セキュリティにおける脅威は数千、それ以上存在していると思います。日々専門機関・大学などでは情報セキュリティに関する研究が行われています。
ブラックハッカーたちは有効な攻撃方法を編み出していきます。
ランクインしなかった脅威だからといって対策を行わなくて良いわけではありません。これからも依然変わらない脅威として存在しているので継続して対策を講じていく必要があります。
③情報セキュリティ対策は基本が最も重要
情報セキュリティにおける脅威は年々高度に巧妙化していると言われています。しかし、脅威一つ一つを深く読み解いていくとどれだけ高度で巧妙化している攻撃でも入口は同じ様なものです。
「脆弱性を利用する」「ウイルス感染させる」「ソーシャルエンジニアリングを駆使する」などいつの時代も変わらず基本的手口が利用されています。
つまりは、対策を行う際も基本を忠実に行うことが重要なってきます。「情報セキュリティ対策の基本」を忠実に実行することによって被害に遭う確率を大幅に低減できます。そして、万が一被害が発生してしまっても被害を最小限に留める事が出来ます。
基本の対策が出来ない中高度な対策を行ってもあまり意味はないかもしれません。
昨今多くの企業や個人がGoogleDriveやOneDrive、icloudなどのようなクラウドサービスを利用するシーンが増加しています。そのようなクラウドサービスを利用する際には下記の情報セキュリティ対策の基本がより重要になるとされます。
個人が標的になるのが当たり前の時代に
情報機器の発達により誰もがパソコンやスマートフォンといった情報端末を個人で所有する時代になっています。マイボイスコム株式会社が毎年実施している『スマートフォン』に関するインターネット調査によれば2021年のスマートフォンの普及率は86.9%となっています。所有率は若年層で高く、10・20代で約98%、30~50代で9割前後、70代で8割弱となっています。幅広い年齢層でスマートフォンが普及しており個人を標的にした攻撃・被害が発生しやすい状況になっています。
このように個人が狙われる状況は当たり前になっています。そのため、どの様な攻撃が存在するのか、実際にどのような被害が発生しているのかを知り、理解することが非常に重要になっています。
「自分は大丈夫」「自分は関係ない」「自分は狙われない」という意識は捨て、自分の端末は自分で守るという意識がこれまで以上に必要でしょう。
第1位 フィッシングによる個人情報等の詐取
個人に対する脅威としての代表例である「フィッシングによる情報搾取」。今年もランクインしました。
これだけ啓発がなされているにも関わらず被害報告や相談件数は増加する一方です。
フィッシング詐欺とは?
実在する公的機関や有名な企業を装いメールやSMS(ショートメッセージサービス)を送信して正規のウェブサイトに模した偽サイト(フィッシングサイト)に誘導することで個人情報や認証情報などを入力させ情報をだまし取る詐欺になります。搾取された情報は様々な犯罪に活用される可能性やダークウェブ上で取引されています。
【脅威と影響】
実在する公的機関や有名な企業を装ったメールやSMSなどがブラックハッカーたちによって送信されます。そこに記載されている内容は「アカウントサービスに関する事」や「個人情報の漏洩を確認しました」など緊急性が高く機微な情報に触れるような内容になっています。そして、記載されているURLから情報の修正などが出来ると誘導して偽のサイト(フィッシングサイト)へアクセスさせます。
記載されているURLから誘導された偽のサイトは実在する機関や有名な企業の本物のサイトと区別が難しいほど精巧な出来になっています。セキュリティの専門家でも見破るのに苦労する程です。
この偽のサイトでログインすることで正規サービスで使用しているログインID・パスワードを盗まれてしまいます。そして続けて登録情報の修正やクレジットカード情報の入力を行うことでさらに機微な情報を盗まれてしまいます。
2021年も新型コロナウイルスによって通販を利用する方が増えたため被害報告・相談件数が急増しました。
対策と対応方法
前述したとおり情報セキュリティ対策の基本をしっかりすることが重要になってきます。
「フィッシングによる個人情報等の搾取」では「攻撃者に騙されない」という対策が基本になってきます。「騙されない」ようにするにはまず正しい情報を知ることが重要です。
それ以外にも基本的な対策方法や万が一騙されて場合の対応方法をご紹介しておきましょう。
・メールやSMSに記載されたURLからアクセスしない
基本的には前述したとおり記載されているURLのクリックはしないでください。しかし、どうしてもURLからアクセスしなければいけない状況ならば、サイトドメインをしっかり確認して安全なサイトであることを確かめてください。
また、不審なメールは削除して下さい。
・ログイン履歴等を確認する
普段から不審なログインがされていないか確認してみてください。そうすることで早期の検知を行うことが出来、被害を抑える事が出来ます。
・信頼できる機関に相談する
もし、被害に遭ってしまった場合は警察などの捜査機関に相談してください。また、クレジットカード会社やサービスを提供している会社へ報告することが必要です。
現役ハッカーの目線
正直、なぜフィッシングに引っ掛かってしまうのか分からないという方は多いと思います。分かり易いメールにひっかるほど馬鹿じゃないと。
しかし、ブラックハッカーたち攻撃者も馬鹿ではありません。どうすれば引っ掛かってくれるか常に研究しています。常に進化し続けています。
また、フィッシングサイトやフィッシングメールを自動送信してくれるサービスを販売しているブラックハッカーのグループも存在しています。その為、フィッシング詐欺は技術を持たない方でも簡単にできる環境が出来ています。(いわゆる攻撃のビジネス化というやつです。)
これからもフィッシングによる被害は収まらないと思っています。ブラックハッカーにとっては登竜門でありこの攻撃から多くの事を学び技術を磨いていきます。(人間の心理など)
そして、これからさらに社会の情報化が加速することで利用者が増えることでそこを狙う攻撃者も増えていくことが予想できます。
これから一層フィッシングに気を付けなければいけない時代になっていくでしょう。
第3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求
個人の秘密を家族や知人にばらすと脅迫したり、身に覚えのない有料サイトの未納料金を請求したりするメールやSMS(ショートメッセージサービス)、LINE等を使った詐欺による金銭被害が発生しています。公的機関を装った偽の相談窓口に誘導するといった手口も確認されています。
【脅威と影響】
「アダルトサイトを閲覧している姿を撮影した」等の脅迫メールや有料サイトの未納金があるといった架空請求のメールを送信し、金銭を詐取しようとする攻撃が行われています。
また、メールやSMS、LINE等を使った同様の手口も確認されています。脅迫・詐欺のメールの内容は虚偽のものですが、その内容を信じてしまい不安に思ったメール受信者が金銭を支払ってしまうという影響が出ています。
そして、一度でも攻撃が成功してしまうと、その脅迫は効果が期待できると攻撃者に認識され、同様の手口で多数の宛先へメール送信を行い、さらに被害が拡大するおそれがあります。
攻撃手口
脅迫や架空請求によって金銭を要求する内容のメールやSMS、LINE等を不特定多数に送り、金銭を詐取しようとしてきます。指定される支払方法には暗号資産(仮想通貨)や電子マネーが多く確認されています。
また、騙す手口として以下が確認されています。
・セクストーション(性的脅迫)
「アダルトサイトを閲覧している姿を撮影した」等、周囲に相談しにくい性的な内容で脅す手口。
・ハッキングしたように見せかける
被害者のパスワードや住所等の個人情報をメールに記載し、あたかも被害者のPCをハッキングして情報を得たかのように見せかけてきます。
記載している情報はハッキングによるものではなく、外部のサービスから何らかの原因で漏えいした情報が使用されています。。
・公的機関を装う
公的機関等信頼できる組織の発信を装うことでメール等の信憑性、緊急性を高め、騙そうとしてきます。
・メールや電話を併用して信憑性を高める
脅迫・詐欺目的のメールに、偽の問合せ窓口の電話番号を記載して送信し、この電話番号宛に被害者から電話を掛けさせようとします。
電話を掛けてきた被害者に対して、攻撃者は更に脅迫を行ったり、電話口で公的機関を装った偽の相談窓口を紹介し、その窓口に電話を掛けさせて信頼させた上で金銭を支払わせたりします。
また、攻撃者から被害者に対して金銭を要求する電話をかけ、その後に弁護士を装った攻撃者から和解を求める旨のメールを送信し、信憑性を高めて騙そうする手口も確認されています。
対策と対応方法
対策は「フィッシング詐欺」に対する対策方法とほとんど同じになります。そして、情報セキュリティ対策の基本を忠実に実施することが大切だと言えます。
「騙されない」ことが重要になります。その為には実際にどのような事例が存在するのかを知ることが非常に大切になります。知ることで心の予防をしてください。
それ以外にも基本的な対策方法や万が一騙されて場合の対応方法をご紹介しておきましょう。
・メールに記載されている番号に電話をしない
受信した脅迫や架空請求のメールについて専門機関に相談したい場合は、そのメールに記載された連絡先ではなく、自身で調べた正規の電話番号やメールアドレスに連絡するようにしましょう。
・パスワードを変更する(他のサービスで同じパスワードを使っていた場合は同様に対応)
脅迫・詐欺メールに記載されたパスワードが自身の実際のパスワードと一致しているのであれば、そのパスワードを利用しているサイトからパスワードが漏えいした可能性があるので、早急にパスワードを変更する必要があります。
また、パスワードの使いまわしをしないという対策も必要です。
現役ハッカーの目線
2021年に多く確認された事例は主にSMSやlineを利用しての攻撃になっていました。
SMSやlineは公共機関や多くの企業も活用しているサービスになってきています。その為、実生活の中で個人で利用する機会も多くのなっています。そのように利用する人間・機会が多いサービスを攻撃者は活用してきます。
攻撃者も顧客満足度を上げようと便利なサービスをあの手この手で活用してきます。利便性と安全性は表裏一体なのかもしれません。
特にSMSは電話番号でメッセージを送ることが出来るため、攻撃者は090、080、070以下の8桁の数字をランダムに生成して手当たり次第メッセージを送る事が可能です。その為、簡単に攻撃を仕掛けることが出来る状況です。
このように便利なサービスは攻撃者にとっても便利な攻撃ツールになります。
より一層自分に身は自分で守るという意識が重要になります。
第6位 偽警告によるインターネット詐欺
PCやスマートフォンからウェブサイトを閲覧中に、突然「ウイルスに感染しています」等、偽のセキュリティ警告画面を表示して、不審なソフトウェアをインストールさせたり、攻撃者が用意したサポート窓口に電話を掛けさせてPCの遠隔操作や有償サポート契約を結ばされたり、修復費用として金銭を騙し取られたりする被害(サポート詐欺)が発生しています。
【脅威と影響】
ウェブサイトを閲覧中に、突然「ウイルスが見つかりました」、「Windowsのシステムが破損しています」等の偽の警告画面が表示されることがあります。
表示された警告画面は、実在する企業からの通知のように偽っており、通知される内容を信用させ指示に従うよう促してきます。
指示に従ってしまうと不審なソフトウェアのインストールや購入をさせられてしまいます。
また、偽のサポート窓口に連絡をしてしまい、PCの遠隔操作や有償サポート契約を結ばされたり、修復費用を要求されたりします。スマートフォン利用者であれば、不審なアプリをインストールするように誘導されます。
さらに、ソフトウェアの購入やサポート契約時に入力した氏名、メールアドレス、クレジットカード情報等の個人情報は別の詐欺に悪用され、二次被害につながるおそれもあります。
攻撃手口
・巧妙に細工が施された偽の警告画面
閲覧者を騙すためにウェブサイト等に表示される偽警告は、警告内容を信じさせるために、実在する企業ロゴを使う場合があります。
また、警告音を鳴らしたり警告メッセージを音声で流したり、偽警告のポップアップ画面を閉じられないと誤解させたりすることでさらに不安を煽ってきます。
・有償セキュリティソフトの購入へ誘導
閲覧者を偽警告の画面からダウンロードページに誘導し、偽のセキュリティソフトをインストールさせます。
最終的に有償ソフトウェアの購入へ誘導してきます。
・サポート詐欺
・スマホアプリのインストールへ誘導
偽警告をスマートフォンの画面に表示し、解決方法として、公式マーケットからスマホアプリをインストールするように誘導します。
誘導したことに対して広告主からアフィリエイト収益を得たり、サブスクリプション(自動継続課金)による利用者への料金請求で収益を得たりすることが目的と考えられています。
対策と対応方法
この事例においても情報セキュリティ対策の基本を忠実に実施することが大切だと言えます。
そして不安を煽るような仕組みがとられている為、一番大切なのは慌てずに冷静に対処することです。一呼吸おいて冷静に対処すれば何ら怖がる必要はありません。
それ以外にも基本的な対策方法や万が一騙されて場合の対応方法をご紹介しておきましょう。
・偽警告が表示されても従わない
偽警告によって指示されるアプリやソフトウェアはインストールしない。
また、電話を掛けない、遠隔操作は許可しない、契約には応じない。
・偽警告が表示されたらブラウザを終了する
警告の表示が出されても慌てず右上の×印で閉じて問題ありません。
ウイルス感染が不安であればウイルス対策ソフトのスキャン機能でマルウェアをチェックしてみてください。
現役ハッカーの目線
偽警告による被害は毎年多く報告されています。
この攻撃事例も昔からよくある攻撃ではないでしょうか。では、なぜ被害がなくならないのか。それは、この攻撃の肝が利用者の不安を煽るという所にあると思います。大きな音や不安を煽るような画面表示をすることで平常心を保てずに冷静な判断が出来ないようにしています。
また、攻撃の内容として最近ではテクニカルサポート詐欺という事例も出てきています。遠隔でウイルス感染を修理しますと言われ金銭をだまし取るという方法です。
昔からある攻撃を攻撃者は現代風に、新しく常にアップデートしています。明日には新たな手法が編み出されているかもしれんせん。
まとめ
今回は「情報セキュリティ10大脅威2022」個人編から3つの脅威について解説していきました。
10個の項目から3つ選びました。この3つだけが重要であるわけではありません。他のランクインした脅威の重要ですし、ランクインしていない多くの脅威も重要です。
今回ピックアップした脅威はそれぞれが被害の入り口になるという事です。この3つの攻撃を起点に多くの攻撃を仕掛けることが出来ます。また、近年多くの被害は発生している事例になります。
そして、新たな手法が開発されより被害にあいやすいようになっています。
メールやSMSは便利なツールです。特にはSMSは番号さえわかれば送信するが出来ます。しかし、メールと違い「迷惑メールフィルター」や「ウイルスチェック機構」がありません。つまり、SMSは防壁がないのです。その為、自分で判断して対応しなければいけないのです。
メールに関しても、ブラックハッカーたちは巧妙な文章・内容を常に考えてきています。そして、迷惑メールフィルターやウイルス感染ソフトを搔い潜ろうと研究してきています。自分で正しく知識を持って防衛する必要があります。
偽警告も知っているだけで対処することが容易になります。冷静に対処することで被害を防ぐことが出来ます。
セキュリティ対策の導入も大切ですがシステムに過信せずに自分で守る事も重要になってきています。システムと人とのハイブリットな対策で被害を防いでいきましょう。
自分は大丈夫。自分は関係ない。という考えは捨て、正しい情報で正しい対策・対応を行って自分を防衛していきましょう。
※一緒に読んでほしい記事
【現役ハッカーが語る】フィッシングメール詐欺とは?? ~現状や有効な対策を知って適切な対応を~
狙われるのは組織・企業だけじゃない!!個人にも忍び寄るサイバーセキュリティの脅威!! ~SMSを利用した詐欺の手口と対策!!~
