2021年05月25日

情報セキュリティ10大脅威(個人編)~インターネット上のサービスへの不正ログイン~

ishihama
石濱 雄基 記事一覧
Posted in クラウド, 事例, 情報セキュリティ,
このエントリーをはてなブックマークに追加 LINEで送る

情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は皆さんにも身近な「個人編」がテーマです。

第10位 インターネット上のサービスへの不正ログイン

概要

インターネット上のサービスに対して、不正に入手したIDやパスワードを利用して不正ログインを行うものです。
不正ログインの結果として例えば、以下のような被害が発生することが考えられます。

ショッピングサイトへの
不正ログイン		 ・個人情報やクレジットカード情報が盗まれる
・ショッピングサイトで不正購入、ポイントの不正利用が行われる
・盗んだクレジットカード情報を不正利用される
ネットバンキングへの
不正ログイン		 ・不正出金
・不正送金
SNSやメールなどへの
不正ログイン		 ・プライベートなやり取りの覗き見
・スパムメールの送信元に利用される
・不審な内容を投稿される

具体的な不正ログインの手口をご紹介します。

1. パスワードリスト攻撃

不正に入手したIDとパスワードのリストを使って、これらを自動的に入力するプラグラムなどを用いることで、不正ログインを試みる手口です。
パスワードの使いまわしなどを行っている場合、特に被害に遭いやすいです。

2. パスワード推測攻撃

使われやすそうなパスワードを推測したり、本人に関する情報などからパスワードを推測して、不正ログインを試みる手口です。

推測されやすいものとして、例えば以下が挙げられます。

  • 氏名(イニシャルや語呂合わせ)
  • 誕生日(自分・家族・パートナー・好きな芸能人など)
  • メールアドレス
  • 一般的に利用されるような単語(passwordなど)
  • 数字の羅列(1111111、123456など)
  • キーボードの配列(qwerty、asdfghなど)
  • 英数字混合でも推測しやすい物(p@ssw0rd、名前_誕生日など)
3. ウイルス感染

サービス利用者に悪意のあるウェブサイトのリンクや添付ファイルを開かせることで使用している端末をウイルスに感染させ、利用者が感染した端末でサービスにログインすることで、入力したIDやパスワードを盗み取り、不正ログインを行う手口です。
キーロガーと呼ばれる、キーボードの入力状況を読み取るものなども存在しています。

対策

1. 怪しいメールの添付ファイルやリンクは開かない

日常的に迷惑メールと呼ばれるようなメールが送られてくる方も多いのではないでしょうか。
また、これらのメールは日に日に精巧さが増しています。
ウイルス感染がもととなる不正ログインを防ぐためにも、日常的に怪しいメールを見分ける力、開かないという判断力を鍛えておきましょう。

見分けるポイントの例として以下が挙げられます。

  • メールアドレスに違和感がないか(公式企業と文字列が違うなど)
  • 意味のない添付ファイルやリンクが張り付けられていないか
  • 件名に【重要】や【緊急】など焦らせる文言がないか
  • 日本語がおかしくないか(海外から送られることが多いため、違和感があります)
2. 強いパスワードの利用、管理をする

パスワード情報が盗まれていなかったとしても、推測で解読されてしまう可能性もあります。
また、総当たり攻撃(001、002などすべて試していく方法)などで短く単純なパスワードの場合簡単に解読されてしまいます。

パスワードはできるだけ長く、複雑なものを利用するようにしましょう。明確な基準は定まっていませんが、現状だと10桁以上でできるなら英数字+記号混合型がある程度安全でおすすめです。
その上で、パスワードは絶対に使いまわさないようにしましょう。

とはいえ、長くて複雑なパスワードを使いまわさずすべて覚えるのは困難だと思います。
このような場合には、パスワード管理ツールなどを利用することもおすすめです。

3. 利用しないサービスは退会してしまう

そもそも利用していないサービスに登録し続けているということは、無駄に不正アクセスのリスクを広げてしまっているということです。
現状全く使っておらず、近々でも利用する予定がないサービスについては退会してしまうこともおすすめです。

4. 関係各所への連絡(被害に遭った場合)

これは対策ではありませんが、仮に被害に遭ってしまった場合には対応が求められます。
例えば、不正ログインに遭ったことが想定される場合すぐにパスワードの変更を行うようにしましょう。
その上で、不正ログインによってクレジットカード情報が漏えいした、ネットバンキングにアクセスされたといった被害が想定される場合にはクレジットカード会社や銀行などに取引停止などを求めることも大切です。

まとめ

今回は、「情報セキュリティ10大脅威(個人編)」の第10位をご紹介しました。

現在ではひとりで何十何百ものサービスを利用しているというのも普通でしょう。
利用するサービスが増えるとそれだけ不正ログインのリスクも大きくなります。つまり、今後も確実に拡大が続くであろう脅威と言えます。
しっかりと対策を行って、安心安全に様々なサービスを利用できるようにしましょう。

次回は、「第9位 不正アプリによるスマートフォン利用者への被害」をご紹介します。

このエントリーをはてなブックマークに追加 LINEで送る

2021年5月25日

情報セキュリティ10大脅威(個人編)~インターネット上のサービスへの不正ログイン~

Posted in クラウド, 事例, 情報セキュリティ

情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は皆さんにも身近な「個人編」がテーマです。

第10位 インターネット上のサービスへの不正ログイン

概要

インターネット上のサービスに対して、不正に入手したIDやパスワードを利用して不正ログインを行うものです。
不正ログインの結果として例えば、以下のような被害が発生することが考えられます。

ショッピングサイトへの
不正ログイン		 ・個人情報やクレジットカード情報が盗まれる
・ショッピングサイトで不正購入、ポイントの不正利用が行われる
・盗んだクレジットカード情報を不正利用される
ネットバンキングへの
不正ログイン		 ・不正出金
・不正送金
SNSやメールなどへの
不正ログイン		 ・プライベートなやり取りの覗き見
・スパムメールの送信元に利用される
・不審な内容を投稿される

具体的な不正ログインの手口をご紹介します。

1. パスワードリスト攻撃

不正に入手したIDとパスワードのリストを使って、これらを自動的に入力するプラグラムなどを用いることで、不正ログインを試みる手口です。
パスワードの使いまわしなどを行っている場合、特に被害に遭いやすいです。

2. パスワード推測攻撃

使われやすそうなパスワードを推測したり、本人に関する情報などからパスワードを推測して、不正ログインを試みる手口です。

推測されやすいものとして、例えば以下が挙げられます。

  • 氏名(イニシャルや語呂合わせ)
  • 誕生日(自分・家族・パートナー・好きな芸能人など)
  • メールアドレス
  • 一般的に利用されるような単語(passwordなど)
  • 数字の羅列(1111111、123456など)
  • キーボードの配列(qwerty、asdfghなど)
  • 英数字混合でも推測しやすい物(p@ssw0rd、名前_誕生日など)
3. ウイルス感染

サービス利用者に悪意のあるウェブサイトのリンクや添付ファイルを開かせることで使用している端末をウイルスに感染させ、利用者が感染した端末でサービスにログインすることで、入力したIDやパスワードを盗み取り、不正ログインを行う手口です。
キーロガーと呼ばれる、キーボードの入力状況を読み取るものなども存在しています。

対策

1. 怪しいメールの添付ファイルやリンクは開かない

日常的に迷惑メールと呼ばれるようなメールが送られてくる方も多いのではないでしょうか。
また、これらのメールは日に日に精巧さが増しています。
ウイルス感染がもととなる不正ログインを防ぐためにも、日常的に怪しいメールを見分ける力、開かないという判断力を鍛えておきましょう。

見分けるポイントの例として以下が挙げられます。

  • メールアドレスに違和感がないか(公式企業と文字列が違うなど)
  • 意味のない添付ファイルやリンクが張り付けられていないか
  • 件名に【重要】や【緊急】など焦らせる文言がないか
  • 日本語がおかしくないか(海外から送られることが多いため、違和感があります)
2. 強いパスワードの利用、管理をする

パスワード情報が盗まれていなかったとしても、推測で解読されてしまう可能性もあります。
また、総当たり攻撃(001、002などすべて試していく方法)などで短く単純なパスワードの場合簡単に解読されてしまいます。

パスワードはできるだけ長く、複雑なものを利用するようにしましょう。明確な基準は定まっていませんが、現状だと10桁以上でできるなら英数字+記号混合型がある程度安全でおすすめです。
その上で、パスワードは絶対に使いまわさないようにしましょう。

とはいえ、長くて複雑なパスワードを使いまわさずすべて覚えるのは困難だと思います。
このような場合には、パスワード管理ツールなどを利用することもおすすめです。

3. 利用しないサービスは退会してしまう

そもそも利用していないサービスに登録し続けているということは、無駄に不正アクセスのリスクを広げてしまっているということです。
現状全く使っておらず、近々でも利用する予定がないサービスについては退会してしまうこともおすすめです。

4. 関係各所への連絡(被害に遭った場合)

これは対策ではありませんが、仮に被害に遭ってしまった場合には対応が求められます。
例えば、不正ログインに遭ったことが想定される場合すぐにパスワードの変更を行うようにしましょう。
その上で、不正ログインによってクレジットカード情報が漏えいした、ネットバンキングにアクセスされたといった被害が想定される場合にはクレジットカード会社や銀行などに取引停止などを求めることも大切です。

まとめ

今回は、「情報セキュリティ10大脅威(個人編)」の第10位をご紹介しました。

現在ではひとりで何十何百ものサービスを利用しているというのも普通でしょう。
利用するサービスが増えるとそれだけ不正ログインのリスクも大きくなります。つまり、今後も確実に拡大が続くであろう脅威と言えます。
しっかりと対策を行って、安心安全に様々なサービスを利用できるようにしましょう。

次回は、「第9位 不正アプリによるスマートフォン利用者への被害」をご紹介します。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする