情報処理推進機構(IPA)は2月に公開した「情報セキュリティ10大脅威 2015」について情報セキュリティ専門家が詳細の解説をした3章構成の資料を公開した。
1章では情報セキュリティ対策の基本としてソフトウェアの脆弱性への対策にソフトウェアの更新、ウィルス感染の対策としてウィルス対策ソフトの導入、パスワード窃取の対策にパスワード・認証の強化、設備不備の対策として設定の見直し、(フィッシングや詐欺などの)誘導の対策として脅威・手口を知る、などの対策が必要となるとして脅威とその対策について説明している。その他の対策として、情報資産の把握、セキュリティポリシーなど文書によるセキュリティ対策の明文化、ファイアウォールやフィルタリングなどのシステムによる制限や強制、バックアップやシステムの冗長化、検査や監査、セキュリティ認証の取得などが必要となる。
2章では情報セキュリティ10大脅威として2014年に社会的影響の大きかったセキュリティ上の脅威の順位付けを行った。
第一位はインターネットバンキングやクレジットカード情報の不正利用で、インターネットバンキングやインターネット販売などによるクレジットカード利用が普及し、これらを狙ったフィッシング詐欺やウィルス感染による犯罪が増えた。また、2014年は個人口座だけでなく、法人口座からの不正送金による被害が拡大した。またPOSシステムのウィルス感染によるクレジットカード情報の窃取事件も多発した。
第二位は内部不正による情報漏えいで、企業の従業員が内部情報を窃取し、外部の名簿業者に販売したり私的利用などを行うケースが多く発生した。
第三位は標的型攻撃による諜報活動で、ウィルス感染させたPCの遠隔操作により情報を窃取する標的型攻撃による被害が後を絶たず、その手口は日に日に巧妙化している。
第四位はウェブサービスへの不正ログインで、脆弱なウェブサービスから窃取したIDとパスワードの悪用により別のサービスへの不正ログイン被害が多く発生している。特に他のウェブサービスで同じパスワードを使いまわしている場合などは一つのサービスで情報が漏えいすると、他社サービスでもそのIDとパスワードで不正ログインされ、ショッピングやポイント窃取などされる。また、推測されやすい簡単なパスワードの使用も不正ログインされる原因となる。
第五位はウェブサービスからの顧客情報の窃取で、ウェブサービスに使用されているソフトウェアの脆弱性や設定不備などのセキュリティ上の問題が存在するとその脆弱性を突いた攻撃を受けて個人情報が窃取され、フィッシング詐欺や悪徳なセールス詐欺などに悪用される恐れがある。
三章では注目すべき課題や懸念についての解説を行っており、3つの課題を挙げている。
一つ目は迅速に対応できる体制の構築で、ソフトウェアに深刻な脆弱性が発見され脆弱性対策情報が公開された場合やその脆弱性を突いた攻撃をされた場合、ウィルス感染や情報漏えいが発生した場合、内部不正が発覚した場合など、企業はこれらに対する対応策を迅速に決定し、実施することが求められる。
二つ目はネットワーク対応機器の増加でモノのインターネット(IoT)と称され、将来は爆発的な増加が予想されている。これらの機器はLANやインターネットに接続でき、PCやスマートフォンからの操作も可能なため利便性が高いが、一方でネットワークを介した攻撃により機器が乗っ取られたりウィルス感染により情報漏えいされるなどの懸念があり、今後大きな脅威となる可能性がある。これらの被害を防ぐためにもセキュリティを高い設定にしたり、インターネットのアクセス制限を設けたりする対策が必要となる。
3つ目は拡大するネット犯罪の被害で、犯罪者がITを悪用した金銭窃取の事件が増加している。ウィルス感染によるインターネットバンキングからの不正送金や偽銀行サイトへのログインなどのフィッシング詐欺、スマートフォン利用者を狙ったワンクリック請求などの不正請求やランサムウェアなど様々な手口により被害が拡大している。空き巣や振り込め詐欺などと同様にITを利用した詐欺にも手口を知ることで防犯対策が可能となるため、常に最新の手口を把握しておくことで、被害を防ぐことができる。