前回、情報処理推進機構(IPA)の情報セキュリティ10大脅威 2015の脅威2まで見てきました。

基本的に脅威は、ソーシャルエンジニアリングなどのハッキング技術、そして、僕ら自身や所属する集団の甘さが根本的な原因でした。今回は、順番に残りの脅威を見ていく中で、僕らがどのような意識を持って日々を送っていくべきかを見ていきましょう。

脅威3 「標的型攻撃による諜報活動」

次は、「標的型攻撃」です。こちらも、脅威2と同じく、基本的に、個人ではなく企業や組織の話となります。

最近の例では、日本年金機構の個人情報流出事件がこれにあたります。この件は、マイナンバー法が可決する前で、非常に物議を醸し、「.exeファイルが危険」のような誤報に近いようなニュースが流れるなど世間を賑わせました。

同僚や取引先からのEメールを装って添付の実行可能ファイルを開かせる行為や、マルウェア(ウィルスなどの悪意を持ったソフトウェア)を含んだUSBメモリなどをフロアにわざと落として仕事用のPCに挿入させるといった手の込んだものもあります。

また、組織の中の多くの人が利用するWebサイトを改ざんすることで、悪意のある操作を行ったりさせたりするものもあります。

まず、脅威2と同じく、OSやソフトウェアのセキュリティアップデートを済ませているかどうかがポイントとなります。基本的にソフトウェアは最新の状態で利用することです。この対策は、全てのセキュリティ対策の基本となります。何らかのソフトウェアを古いままで使う場合は、どうぞ無断で侵入してくださいと言っているのと同じです。

次に、セキュリティ教育をしっかりと組織全体で行なうことです。そして、誰がいつどこで何をしているかをしっかりと記録に残すことで、組織の作業フローを管理します。その上で、漏洩の危険性を察知したり、より効率的で安全な手法を選択したりします。管理されていないカオスからリスクを取り除くことは、ほとんど不可能なので、教育をきちーっとおこなっていくことです。

話が脱線しますが、僕が学生のころ、授業のレポートなどはUSBメモリに入れて持ち歩いていました。ハエを媒介する細菌のように、USBメモリからコンピュータへ、コンピュータからUSBメモリへと次々と感染していくということが日常でした。ウィルス対策ソフトが検知できないウィルスだったのでしょう。同じコンピュータとUSBメモリを持つ全ての学生が気づかずに凶器を持ち歩いていたことになりますね。見事に標的型攻撃を受けていることになりますね。

脅威4 「ウェブサービスへの不正ログイン」

再び、個人も対象のセキュリティリスクに戻ってきました。不正ログインしてなにか操作をすることは、不正アクセス禁止法によって、法律で罰せられます。皆さん気をつけましょう。

まず、不正ログインを防ぐには、特に、異なるサイトで同じパスワードを使わないということが大事となります。Webサイトの管理者によっては、パスワードを十分な暗号化を施さずに保存している場合があります。悪意のあるWebサイト管理者は、不正にユーザのIDとパスワードを使って、他のサイトにログインすることがあるかもしれません。脅威2と関連しますね。

脅威2や脅威3に犯されやすい企業は、細かい権限の付与、不必要なID/パスワードの削除や、パスワードをこまめに変えることが非常に効果的だといえます。

しかし、企業と違って、個人は、パスワードを変えることで、パスワードの法則性がバレやすかったり、余計な情報を悪意のある第三者に教えてしまう可能性が非常に高いです。パスワードをこまめに変更することは、必ずしもセキュリティの向上に対して効果がないことを覚えておいてください。

そして、サービスによりますが2段階認証できるのであれば、不正ログインはほぼ防げるといっても過言ではないでしょう。ID/パスワードでのログイン方式の他にデバイスなどの情報を紐付けた2段階認証は、不正なログインの試行を検知することにも貢献します。ぜひ活用してみてください。

いずれの方法も、公共Wifiやトラップとして仕掛けらている無料で解放されたWifiなどのほとんど盗聴されているといって過言ではない環境でインターネットに接続することは、パスワードや認証方法を悪人に教えてあげていることと同じになります。

Wifi接続は、使っていないときには切ることと、接続設定をこまめに見直すことが必要となります。特にスマートフォンは、Wifiルータに近づくだけで勝手に接続するので、信頼のおけるネットワーク以外には接続しないように設定してください。

ちょっと話変わりますが、東京工業大学のコンピュータリテラシの一番最初の授業で、僕らが教官にさらっと言われたことを載せておきます。

「ハッキングなどをして出席履歴を改ざんしたり、他人のレポートを盗用するなどの不正行為は、現実の法律に則って処理させていただきます。」(記憶なので若干内容は異なる場合があります。)

つまり、東京工業大学の学生が、授業中に不正を犯した場合、逮捕される可能性もあるということをほのめかされたのでした。確かにこれぞ、コンピュータリテラシだなと思ったものでした。これから展開される授業への期待が高まった瞬間でした。

まとめ

長くなってしまったので、次回に続きます!