こうして見ると、ユーザーが増えた領域、その上で金銭や多くの価値がやりとりされるようになった領域があれば、脅威が即座に進出していることが分かります。
ただ、変わらないこともあると黒谷氏は述べました。「多数の脅威があるが、『攻撃の糸口』は似通っている。それを防ぐための基本的な対策の重要性も変わらない」とし
――という5つの対策を挙げました。
例えば、ソフトウェアの脆弱性を利用した攻撃は、今も昔も変わらず起こっていることが10大脅威のまとめからは分かります。古くは09年、WebサーバとクライアントOS、両方の脆弱性を突いて感染を広げた「Gumbler」にしても、WannaCryのようなランサムウェアにしても、更新されていないソフトウェアの脆弱性を突いてくることに変わりはありません。
「やはり最新のソフトウェアに更新して脆弱性を修正することが大切だ。また、ウイルス感染を防ぐため、ウイルス対策ソフトを利用したり、ファイアウォールで不正な通信をブロックしてほしい。Windows標準のセキュリティ機能もあるので、ぜひ有効にしてほしい」(黒谷氏)
また、不正ログインなどの糸口として「フィッシング」と、ユーザーをだます「ソーシャルエンジニアリング」も、形を変えながら続いています。古くはワンクリック詐欺にはじまり、セキュリティソフトを装った偽警告、さらには最近ではBECや宅配便の通知を語るSMSのように、細かな手法に違いはありますが、ユーザーを驚かしたり脅したりして、IDやパスワード情報を盗み取るのは「定番」の手口です。
「ぜひパスワードを適切に管理し、認証を強化してほしい。推測しにくいパスワードを設定するのはもちろんだが、過去に流出したパスワードリストを用いて侵入する攻撃もある。こうした手法による被害を限定するためにも、異なるサービスで同一のパスワードを使い回しするのはやめるべきだし、二要素認証など、より強固な認証方式を採用するのも対策の1つだ」(黒谷氏)
さらに、誤った設定やデフォルトのまま放置されている設定につけ込まれないよう、不要な機能は無効にし、ソフトウェア更新の自動化をオンにするなど、設定を見直して適切に使うことが重要だと述べました。
いまだに、フィッシングやソーシャルエンジニアリングといったユーザーをだます手口は増えているといいます。これらに対抗する上で一番大事なのは、「最新の脅威や相手の手口を知ることだ」と黒谷氏は述べました。サイバー以外の詐欺でもそうですが、どのような方法で自分たちをだまそうとするのかを知っていれば、一呼吸置いて対処することもできます。「セキュリティ組織からの注意喚起やニュースに注目してほしい。SNSやメールマガジンなどでも『こんな手口がある』といった情報が紹介されている」と黒谷氏は述べ、ぜひアンテナを張ってほしいと呼び掛けました。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR