あなたの銀行口座が狙われている――情報セキュリティ10大脅威 2015:半径300メートルのIT
IPAが発表した10大脅威、堂々の1位を飾ったのは「インターネットバンキングやクレジットカード情報の不正利用」。明確に日本国内の口座を対象とした攻撃もあります。
情報処理推進機構(IPA)が「情報セキュリティ10大脅威 2015(参照リンク)」を発表しました。単なるランキングではなく、「ソフトウェアの更新」「ウイルス対策ソフトの導入」「パスワード・認証の強化」「設定の見直し」「脅威の手口を知る」などの基本的なセキュリティ対策の重要性が分かる内容です。
インターネットバンキング対策、できていますか
堂々の1位を飾ったのは「インターネットバンキングやクレジットカード情報の不正利用」でした。あなたのお金を狙う犯罪です。そして、企業の「法人口座」もターゲットになっていることにも注目です。明確に日本国内の口座を対象とした攻撃もあり、もはや対岸の火事ではないと考えるべき脅威です。
(出典:IPA)法人口座のセキュリティ対策は個人口座以上に行われているハズだという前提があります。全国銀行協会(全銀協)が2014年7月17日に公開した「法人向けインターネット・バンキングにおける預金等の不正な払戻しに関する補償の考え方について(参照リンク)」を引いてみましょう。
一般に法人のお客さまによるセキュリティ対策等への対応力は、個人のお客さまに比べれば相対的に高いと考えられる。(中略)サービスの提供者である銀行のセキュリティ対策に加え、サービスの利用者である法人のお客さまにもセキュリティ対策を講じていただき、サービスの提供者と利用者の双方が不正利用被害の防止に努めていくことが重要であると考えられる。
このガイドラインでは、明確に法人利用者が実施すべきセキュリティ対策を示しています。そして、セキュリティ対策が施されていなかった場合、補償が減額、もしくは行われない可能性にも言及します。とはいえ、ガイドラインで示された項目はセキュリティ対策の基礎とも言うべきもの。多くの企業ではクリアできていると期待したい内容です。
口は災いの元? インターネットバンキング対策は「人」も重要
実はもう一つ、企業のセキュリティ担当者が気にしておくべきことがあります。それは「経営者のSNSやチャット、メールの内容」です。攻撃者はハードウェアやネットワークに次いで「人」の脆弱性も狙っています。
例えば、ある会社の経営者がTwitterやFacebookなどで「週末に香港旅行を満喫するつもりだ」と投稿したとします。ありがちな話題ですし、ビジネスに直結する話でもないので「それがどうした?」と思うでしょう。
しかし、一見たいしたことがない情報でも蓄積されていけば話が変わってきます。その経営者が過去に「うちの会社のVPNはつながりにくい。何とかならないか」とツイートしていたことを知った攻撃者は、経営者になりすましてこんな偽メールを会社に送ります。
取引先の社長からメールが届いて、入金口座を変えてくれとのことだ。振込期日までに時間がないので、すまないが代理で振込処理をしてくれないか? 香港からだとVPNがいつも以上につながりにくくて、本当に困るな。
「オレオレ詐欺」でも対象者の情報が増えるほど成功率は上がるといいます。実際に約20億円もの資金を詐欺師に送ってしまった事例が報告されています(参照リンク)。
今回は「情報セキュリティ10大脅威 2015」で選ばれた第1位の脅威だけをかいつまんで紹介しました。残り9つの脅威についてもセキュリティ対策のヒントが詰まった資料になっています。現場の担当者だけでなく、ITに関わるすべての人に読んでほしいと思います。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
筆者より:
2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。
これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。みなさんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。
さらにありがたいことに、誠ブログの読者からも書評が届いています。こちらもぜひ、ご覧ください。
- セキュリティ業界の専門家が教えるWindowsに入れるべきツール(書評:デジタルの作法(1))
- 「こいつ、セキュリティ意識が低いな」という人に読ませたい『デジタルの作法』
- 「デジタルの作法」1億総スマホ時代のセキュリティ講座 もう、パスワードの作り方だけで1300円分の価値あります
関連記事
「DDoS攻撃、800円でやってあげる」が成り立つワケ
昨年、高校生がオンラインゲームのサーバにDDoS攻撃を仕掛けたとして書類送検されました。ちょっと調べてみると簡単に”サイバー攻撃サービス”が見つかります。
Twitterの「レイバン激安」で考える、もう1つの「使い回し対策」
レイバンやプラダ、UGGなどの偽ブランド品を紹介するTwitterスパムの被害が止まりません。根本的な原因は、IDとパスワードの使いまわしにありそうです。
いつの間にかやられている「やり取り型」攻撃って知ってる?
今さら「オレオレ詐欺」に引っ掛かる人はいないよね――。そんな油断を突いて攻撃者はさまざまな“情シス助けて詐欺”を仕掛けてきます。
情シスさん、パスワードの定期変更よりもやるべきことがある
定期的なパスワード変更を強制させるだけで情報漏えいが防げるハズはありません。定期変更が無意味だとはいいませんが、パスワードに関してもっと注力すべき点があります。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
ITmediaはアイティメディア株式会社の登録商標です。