2016/12/26

加速する情報セキュリティの重要性　／　柏原秀明

加速する情報セキュリティの重要性

■ はじめに

1946年にデジタルコンピュータ：ENIACが誕生して以来，情報通信技術は，飛躍的な進歩を遂げ，今日では様々な産業分野や個人の利活用になくてはならない技術になっている。特にインターネット・Web技術の進展は，“ものづくり”や“サービス”分野のビジネスに大きく貢献している。一方，インターネット・Web技術は，悪意のある者や組織が様々な犯罪をおこなう絶好の機会を提供している。ここでは，この悪意のある者や組織がおこなう情報セキュリティの脅威とその対策について紹介する。

■ 情報通信技術の飛躍的な利用の拡大と脅威

1988年，米国ゼロックス・パロアルト研究所のマーク・ワイザー（Mark Weiser）氏が，第3世代のコンピュータの利用形態として提唱されたコンセプト：“ユビキタス・コンピューティング”がある。このコンセプトは，「人間の生活環境の中にコンピュータチップとネットワークが組み込まれ，ユーザーはその場所や存在を意識することなく利用できるコンピューティング環境」として提唱した。約30年前に提唱したこのコンセプトが，現在まさに実現しつつある。最近のトピックスとして“IoT: Internet of Things”や“M2M：Machine to Machine”および“Mobile Computing”などがそれである[注-1,-2]。これらのトピックスは，モノづくりやサービスなどあらゆるところに情報通信技術が使われ大きな効用をも

たらしている。一方，この効用の反面，トピックスに示すようにすべてのモノがインターネットに繋がることにより，飛躍的に情報セキュリティの脅威が増大している。

最近の新しいサイバー犯罪の1つに「ランサムウェア」による被害報告が激増していることである。これは，コンピュータウイルスの一種で，「身代金型ウイルス」とも呼ばれている。ランサムウェアに感染すると，勝手にファイルが暗号化される・パソコンをロックされるなどで使用不能になる。この暗号化されたファイルの復元やロック解除と引き換えに金銭を要求される。身代金は，数千円から数百万円を請求される[1]。この被害に遭うと情報機器：パソコン・サーバー・スマートフォンなどの情報が暗号化されるため一切の操作ができなくなる。

独立行政法人情報処理推進機構が発表している2016年の組織および個人における優先度の高い10大脅威について紹介する[2]。

(1) 組織の場合の10大脅威

・標的型攻撃による情報流出

・内部不正による情報漏えいとそれに伴う業務停止

・ウェブサービスからの個人情報の窃取

・サービス妨害攻撃によるサービスの停止

・ウェブサイトの改ざん

・脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加

・ランサムウェアを使った詐欺・恐喝

・インターネットバンキングやクレジットカード情報の不正利用

・ウェブサービスへの不正ログイン

・過失による情報漏えい

(2)個人の場合の10大脅威

・インターネットバンキングやクレジットカード情報の不正利用

・ランサムウェアを使った詐欺・恐喝

・審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ

・巧妙・悪質化するワンクリック請求

・ウェブサービスへの不正ログイン

・匿名によるネット上の誹謗・中傷

・ウェブサービスからの個人情報の窃取

・情報モラル不足に伴う犯罪の低年齢化

・職業倫理欠如による不適切な情報公開

・インターネットの広告機能を悪用した攻撃

■　サイバー攻撃・サイバー犯罪への防止と対策

　情報セキュリティ事故は，発生しなければ実際に情報を守る必要性と重要性を意識することはあまりないのが現実であろう。しかし，一度被害に遭えばその考え方・対応は大きく変化する。つぎに，いくつかの対策について示す。

(1)　システムの外部バックアップ

　「ランサムウェア」のような脅威に対応するためには，正常稼働状態のOSを含むシステム全体を外部のハードディスクなど，完全に独立した形でバックアップしておくことである。また，このバックアップシステムが，完全復旧できるかどうかを予め確認しておくことが必要である。

(2)　メールを安易に開かない

　多くのウイルスプログラムは，メール経由で侵入してくる。メール文章のURLや添付ファイルを開くとウイルスプログラムが起動し情報の削除・改ざん・なりすましなどの事故が発生する可能性がある。特に，見知らぬメールは開かず削除することが安全である。

(3)　ソフトウェアの更新

　Windows, Adobe Flash Player, Acrobat Reader, Javaなどのソフトウェアは，攻撃者に狙われやすいので，業者から提供される更新プログラムを随時・迅速にインストールすることが安全である。

(4)　ウイルス対策ソフトウェアの導入・更新

　最低限必要なのは，ウイルス対策ソフトウェアの導入・更新である。有料・無料のソフトウェアが複数種類ある。定評のあるものを導入するとよい。また，ウイルスパターンファイルを随時最新のものにしておく必要がある。

未然防止のためにサイバー犯罪・サイバー攻撃の対策ビデオを紹介する[3]。

是非，視聴していただきたい。

・組織の情報資産を守れ！

　　-標的型サイバー攻撃に備えたマネジメント-

・そのメール本当に信用してもいいんですか？

　　-標的型サイバー攻撃メールの手口と対策　-

・デモで知る！　標的型攻撃によるパソコン乗っ取りの脅威と対策

・ウイルスはあなたのビジネスもプライベートも狙っている！

・あなたの組織が狙われている！

　　-標的型攻撃その脅威と対策-

・デモで知る！　スマートフォン乗っ取りの脅威と対策

・大丈夫？あなたのスマートフォン

　　-安心・安全のためのセキュリティ対策-

・あなたのスマートフォン，ウイルスが狙っている！

　　-スマートフォン・タブレット型端末のセキュリティ対策-

・<乗っ取り>の危険があなたのスマートフォンにも！

　　-スマートフォン・タブレット型端末のセキュリティ対策-

・情報を漏らしたのは誰だ？

　　～内部不正と情報漏えい対策～

・3つのかばん

　　-新入社員が知るべき情報漏えいの脅威-

・あなたの書き込みは世界中から見られてる

　　-適切なSNS利用の心得-

・陽だまり家族とパスワード

　　～自分を守る3つのポイント～

・検証！スマートフォンのワンクリック請求

・ワンクリック請求のワナを知ろう!

　　-巧妙化する手口とその対策-

・今　制御システムも狙われている！

　　-情報セキュリティの必要性-

・東南アジアの情報セキュリティ

　　-現状と対策について-

■　おわりに

　今日では，情報通信技術の利用なしに組織や個人の活動が円滑にできない時代になってきた。この効用と裏腹に様々な事故・事件・被害がメディアで報道されている。これらの報道は，氷山の一角である。実際には，相当数の事故・事件・被害が発生しているはずである。「ランサムウェア」に感染すれば大変な事態になる。是非とも，再度，「情報セキュリティ」は大丈夫かを振り返っていただきたい。

[注-1] IoT: モノのインターネットという。パソコンやスマホなどの情報通信機器に限らず，すべての「モノ」がインターネットにつながること。

[注-2] M2M：機器同士が人間の介在無しにコミュニケーションをおこなう動作システムのこと。

参考文献

[1]「ランサムウェア対策のための基礎知識 | 被害を受けないために」

　https://securitynavi.jp/2215#jump1

[2] IPA 独立行政法人情報処理推進機構

　https://www.ipa.go.jp/security/vuln/10threats2016.html

[3] IPA 独立行政法人情報処理推進機構　映像で知る情報セキュリティ　～映像コンテンツ一覧～

　https://www.ipa.go.jp/security/keihatsu/videos/#keihatsu

------------------------------------------------------------------------

■執筆者プロフィール

柏原　秀明(Hideaki KASHIHARA)