ken1flanのブログ

自己紹介・最近やってることなどを書くつもりです。

情報セキュリティ10大脅威 2024を軽く読む

情報セキュリティ10大脅威 2024解説書を見て、ざっと気になったり思ったことをメモしています。

表紙

  • なにげに面白い…。
  • どんな要素が入ってますかね…?
    • 手前右、USBメモリを外部の人に渡そうとしている → 内部不正による情報漏洩
    • 手前左、持ち出し厳禁や社外秘っぽい資料がちらばっている → 不注意による情報漏洩
    • 中段右、盗聴・盗撮
    • 上段、クラッキングによる営業妨害

はじめに

  • 順位は選考会での投票
  • 個人版
    • 順位を廃止
      • 順位が危険度と誤解されるおそれのため、五十音順
    • 手口は古典的で、存在を知っているだけでも対策になる
  • 企業版
    • 社会的影響で判断

情報セキュリティ10大脅威2024

  • 順位にとらわれないで、それぞれの立場・環境で優先度をつけ直して対応してほしいそう。
  • 「セキュリティ対策の基本」が重要
    • 攻撃手口、対策、目的でまとまってて、わかりやすいかも。
    • 2015年版に攻撃の糸口が解説されているとのこと…ですが、リンクがみつけにくいです><
  • セキュリティ対策の基本の基本+α
    • 企業の対策っぽいですね。

1. 情報セキュリティ 10 大脅威(個人)

  • 攻撃者/被害者/脅威と影響/攻撃手口/事例または傾向/対策と対応 でそれぞれまとまってますね。
    • 対策と対応が予防/早期検知/被害後の対応とまとめられていて、わかりやすいです。

インターネット上のサービスからの個人情報の窃取

  • 攻撃手口
    • 脆弱性や設定不備以外にも、他のサービスから取得した認証情報を悪用…。
    • パスワードの使いまわしをすると、被害が簡単に拡大しちゃう感じですね><
      • 若干脱線かもですが、マイナンバーカードでいろいろ共通化とか、勘弁してほしい感じです…。
      • いろいろ同時に盗める便利なものは、クラックするための手間や費用がかかってもやりますよね><
  • 対策と対応
    • 不必要なサービスは退会
      • 不必要だとわかったとき = 興味がなくなっているとき なので、思い出さないですよね><
      • 今、うちの会社では使っているものをリストアップしていて、半年に1回見直している感じですね。
    • 被害の検知
      • 月に一度、クレカと銀行の明細を見るようにしてます。

インターネット上のサービスへの不正ログイン

  • 二要素認証が突破されるケースもあるみたいです💦
  • 脅威と影響
    • 金銭的な被害の他に、写真やメッセージの覗き見、嫌がらせ投稿、フィッシング詐欺の投稿も…。
    • 数年前に知り合いが「レイバンのサングラス」をインスタグラムで投稿してました…。

クレジットカード情報の不正利用

  • 事例または傾向
    • 他のものもそうですが、全く人ごとに思えません…。

スマホ決済の不正利用

  • 「攻撃者も簡単決済」…うはぁ…。

偽警告によるインターネット詐欺

  • これは、IPAの体験ページを一回やるべきです…!
  • ブラウザの通知機能、ホントうるさいですよね…。

ネット上の誹謗・中傷・デマ

  • 攻撃者
  • 対策と対応
    • これだけ毛色が違うんですよね。どこかにまとまった情報ないのかな…?
      • 情報リテラリー、モラルの学習用の資料

フィッシングによる個人情報等の詐取

  • 事例または傾向
    • 給付金、インターネットバンキングはわかりやすいですが…QRコード、接続先がみえないのでたしかにイヤですね。直前でURLをちゃんと確認するようにします…。

不正アプリによるスマートフォン利用者への被害

  • 事例または傾向
    • 公式マーケット以外はNGですが、公式マーケットにもまぎれているというのは、少し頭の片隅においておいてもいいかも。
  • 対策と対応
    • ここに書いてあること以外に、アプリの権限を不用意に与えないようにするのも大事かも。結構細かく機能を分けているので、多少期待しています。

メールや SMS 等を使った脅迫・詐欺の手口による金銭要求

  • 攻撃の手口
    • 様々すぎて参考になりますね…。
  • 対策と対応
    • 変なメールは無視は、実際のところあまり自分が見えるところに届いていません。gmailのフィルタがバンバンやってくれてて…助かりますね…。

ワンクリック請求等の不当請求による金銭被害

  • 「契約」について、ある程度の知識があれば避けられますかね…。
  • ブラウザアクセス時のデバイス情報を表示して、ここまで知ってるんだぞ!的なことを言ってきますが…職業柄通信時に送っている情報がだいたいわかってるので、せやなーと流せますが…そうでないひとはどうしたら…?
    • 何事も不当だと思ったら無視して、然るべきところへ通報、ですかね…?

コラム:パスキーを知っていますか?新しい認証方式でパスワードレスの時代に!

  • 何箇所か設定してて、少し利用しましたが…なんかうまくできないです…><
  • ただ、デバイスに連絡が来たりするのはよさそうなので、自社サービスにもなんとか入れたいです…!

コラム:そのショッピングサイト、本物ですか?

  • 情報をクロールして使われて、その上、犯罪者一味扱いされる可能性があるとか、どんだけ踏んだり蹴ったり…
  • ドメイン名のpunycode、かなりヤバいですね…。
  • SAGICHECK
    • …よい取り組みですが、毎回入れて確認するのはちょっと💦
  • ¥マーク問題…日本円と中国人民元で同じ記号ですが、1CNH ≒ 20JPY なのでトラブリやすいみたいです。

2. 情報セキュリティ10大脅威(組織)

  • 個人とまとめ方は同じで、わかりやすくていいです!

1位 ランサムウェアによる被害

  • 事例または傾向
    • 名古屋港の話が入っています…!復旧、早かったと思います。
  • 対策と対応
    • 被害を受けたときに裏取引で身代金を払ってしまうと、犯罪組織に資金提供をしたとみなされてしまうおそれが…。ええ〜…厳しい><

2位 サプライチェーンの弱点を悪用した攻撃

  • イラストがわかりやすいです!
    • このことを考えると、ビジネスで組む相手は〜の認証を取得しているところ、となるのもわかります…。
    • せめて、〜に対し、〜をしていますと説明できるくらいにしておきたいところ。
      • 認証はめちゃくちゃ高いので…。(理由はわかるけど。)
  • 攻撃手口
    • ソフトウェアのサプライチェーン攻撃は……利用しているすべてのライブラリがOSSなので、ある程度の人間の目で見られている、という安心感は自分もソースをちょくちょく覗く、という行為をしていこう、ということなのかも。
      • 時間を取るようにしましょ。
  • 事例または傾向
    • 外部委託先のシステムが…というのが多いですね。
    • 委託先の社員などが…というのは含まれないのかな?
      • 適正な価格じゃないと、質が保てないぞ、みたいな面もありますね…。
      • www3.nhk.or.jp

3位 内部不正による情報漏えい等の被害

  • 情報リテラシー、モラルについて学べる体制、チェックする体制、面倒な業務を改善する姿勢…
    • これって健康な会社そのものでは…。
  • 対策と対応
    • システム操作履歴、案外残っているので…と社員にもちゃんと周知しておくのは大事かも。
      • (ただしくっつけてすぐに誰かをわかるようにするのはしたくないし)

4位 標的型攻撃による機密情報の窃取

  • 事例または傾向
    • 東大の事例、怖いですね…。講演依頼として何度かメールのやりとりをしている中で、リンクを踏ませたみたいです。標的型は…避けられる自信はありませんね…。
    • ネットワーク貫通型
      • ネットワーク内に何らかの方法で侵入できてしまうと…。組織をターゲットにするときには動機があるので、これも避けるのが難しそう…。
      • ネットワーク内にも更に壁を作っておくとよいのかも。
        • ただし利便性が…。
        • なるべくラクな認証を組み合わせるとか…。
      • こういうことから「ゼロトラスト」が来たのかな…?
  • 対策と対応
    • 結局は、普段から対策をしっかりやっておきましょう、ということになるんですよね。銀の弾丸はない、的な。

5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃

  • 攻撃手口
    • 公開前の脆弱性ですもんね…。
    • スゴイ努力…。
    • セキュリティ関連のコミュニティ内に紛れてたりもするんでしょうね…。
  • 対策と対応
    • サポートのしっかりしたところの製品を使う、は基本ですね。

6位 不注意による情報漏えい等の被害

  • 要因
    • 情報リテラシーの低さとかプロセスの不備だとか、組織の対応が足りてない系が多いです…。
    • 体調不良、多忙…たしかに要因になりますね。パッと出てきませんでした。
  • 対策と対応
    • がんばって制度を整えていくってことですかね…。

7位 脆弱性対策情報の公開に伴う悪用増加

  • 脆弱性が公開されてパッチがリリースされた、という情報を元に攻撃…!
    • みんながみんな当てませんもんね…。
    • 残念ですが、リーズナブルな攻撃感あります。
  • 対策と対応
    • 重要なシステムにはちゃんと管理者をおいて、運用していきましょう…。

8位 ビジネスメール詐欺による金銭被害

  • 従業員になりすまして…流石にうちはこれにやられにくいですね。
  • 中規模で業務フローが整備されてないとなりそう…。
  • 対策と対応
    • 詐欺の手口をなんとなく頭に入れておくと、少しマシかも…。
      • 普段とちょっと言い回しが違う、やたら急がせる…

9位 テレワーク等のニューノーマルな働き方を狙った攻撃

  • うち、VPNそんなに使ってないからマシかも…?
    • とはいえ、個人の端末に何かしらある可能性はあるので…どこまで対策するか、ですかねえ…。
  • 対策と対応
    • 体制の整備、防御の多層化、みたいなところでしょうか…。

10位 犯罪のビジネス化(アンダーグラウンドサービス)

  • ホント、こんなものが商売になる時代が来るとは…。
    • ネットはいろんなものが売られるようになりました。
  • 事例または傾向
    • え…月額でウィルスを販売、サポートありって…。
  • 対策と対応
    • ダークウェブの監視とか、結構テクニカルなものがあるし…外注とかできたりするんでしょうか?

コラム:AI とうまく付き AI(あい)たい

  • バーチャル誘拐…そんなのもあるのか…。
  • このコラム自体はAIの利用についての話かも。

「共通対策」

  • ほとんどの攻撃に対して、それぞれに特別な対応があるわけでもなく、基本的なことをきっちりやりましょう、的な感じっぽいですね。

パスワードを適切に運用する

  • 適切な保管・運用…これ、結構難しいですよね。
    • 個人のものは心配ないですが…ひとつのアカウントをみんなで共有しようとしたときに、めっちゃ崩れてる気がします。
      • 付箋紙、簡単なパスワード…

情報リテラシー、モラルを向上させる

  • 教育する、はわかるけども…何を使えばいいんでしょう…?
    • うちは「情報セキュリティ対策自主研修」を月に一回設けてますが…題材に困りますもん。

メールの添付ファイル開封や、メールや SMS のリンク、URL のクリックを安易にしない

  • これ、サービスをしている我々はURLをメールにいっぱい書いているんですよね…。実際はどうしたらいいんでしょう…?

適切な報告/連絡/相談を行う

  • 相談先の一覧、ありがたいです!
  • 企業も、インシデント相談窓口をまとめたほうがよさそうです…。やらねば…!

インシデント対応体制を整備し対応する

  • CISO、CSIRTを構築…これは中小だと厳しくないですか…?
  • …まずは中小企業のための〜をやろうっと…!

サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う

  • やっていること、これからやりたいことが並んでいます…。
  • チェックリスト的に使おうかな…?

適切なバックアップ運用を行う

  • バックアップの復旧訓練をどこかでやりたい…!
    • そして定期訓練に…。

感想

  • うんざりするほど、対策が共通でした。つまり、当たり前のことをしっかりやっておきましょう、ということだと痛感したというか…。
  • 各脅威の最新の事例がつけられているのはとてもありがたかったです。今後何か訊かれたらこれをみに来ても良さそうです。
  • 思った以上におもしろかったので、来年も軽く流し読みしようと思います…!