情報セキュリティ - IT時代の危機管理入門 - (第1章 今日のセキュリティリスク) 株式会社エージェント BPO通信事業本部 井上 龍児
第1章 今日のセキュリティリスク 今日のセキュリティリスク 危険の認識と対策
1. 今日のセキュリティリスク 実例1: 狙われるWebサイト 実例2: 巧妙化するフィッシング詐欺 実例3: 増加する金融取引被害 実例4: P2Pファイル交換ソフトを介した 情報漏えい 実例5: 犯罪に使われるインターネット
実例1: 狙われるWEBサイト ■正規のサイトでも要注意 Webサイトが攻撃を受け、改ざんされて罠が埋め込まれ る被害が世界各国で発生 サイトの規模に関わらず攻撃を受けるおそれがある SQLインジェクションなどを許す脆弱性の存在が原因とみ られる Webサイトにアクセスしたユーザが不正プログラムをダ ウンロードさせられるなどの被害に遭う(セキュリティ対 策が不十分な場合) 正規のサイトかつ外観が正常でも安心はできない ⇔ SQLインジェクションについては、第5章 p.89参照
実例2: 巧妙化するフィッシング詐欺 ■うっかりしてると騙される? 正規の金融機関などを装った偽のWebサイトにユーザ を誘導し、個人情報や機密情報(クレジットカード番 号や暗証番号など)を盗み取る不正行為 米国では2003年頃、日本では2004年頃から発生 最近の特徴 金銭的な被害に直結 ユーザを騙す手口が巧妙化し、第二認証情報を詐取す るタイプも確認されている
実例2: 巧妙化するフィッシング詐欺 ユーザID・パスワード・乱 数表を盗み出そうとしてい る。 添付ファイルをクリッ クすると右の画面が表 示される。 ユーザID・パスワード・乱 数表を盗み出そうとしてい る。
実例3: 増加する金融取引被害 ■便利と危険は隣り合わせ インターネットバンキングのアカウント情報(ID/パス ワード)を盗む攻撃が発生 ウイルスに感染して情報が盗まれた 2011年度のインターネットバンキングの被害は158件、 総額3億5,500万円(金融庁)
実例4: P2Pファイル交換ソフトを介した情報漏えい ■知らない間に情報漏えい 2004年頃から、機密情報や個人情報がP2Pネットワー クに漏えいする事件が発生 自衛隊の資料、病院の診療記録、警察の捜査資料、 学校の生徒名簿、刑務所の受刑者情報など 原因は、個人のパソコンでファイル交換ソフトを利用 し、これを悪用するウイルスに感染したため ファイル交換ソフト: Winny、Shareなど
P2Pによる情報漏えいの仕組み
実例5: 犯罪に使われるインターネット ■共犯者をインターネットで募集 2006年6月、フィッシング詐欺(被害者: 約850人、被 害総額: 約1億2,000万)の犯人グループが逮捕 メンバーをインターネットの掲示板で募集 有用であるべきインターネットの不正利用が目立つ
2. 危険の認識と対策 1)インターネットに潜む危険 2)メールに潜む危険 3)日常業務に潜む危険 4)危険への対処法
1)インターネットに潜む危険 Webページを閲覧しただけで不正プログラムに感染して しまう リンクをクリックしただけで不正な請求をされたり、個 人情報を盗まれるなどの被害に遭うことがある 不正なプログラムを誤ってダウンロードしてしまう
2)メールに潜む危険 スパムメール(迷惑メール) マルウェア に感染 フィッシングメール マルウェア に感染 フィッシングメール マルウェア:コンピュータウイルス、スパイウェア、ボットなどの不正なプログラムのこと
3)日常業務に潜む危険 外出や出張時に資料を持ち出す、不要になった書類を廃 棄する、歓談時に仕事の話をする、といった何気ない行 為が、情報漏えいの原因となることがある。 ⇔情報漏えいを防ぐための心得は、第4章 p.75参照
4)危険への対処法 情報セキュリティの基本を知ろう⇔第2章 ウイルスなどの不正プログラム(マルウェア)について理解しよう ⇔第3章 実際のセキュリティ対策を施そう⇔第3、4章 情報セキュリティに使われている技術を理解しよう ⇔第5章 法律について認識しよう ⇔第6章
本資料の利用条件 著作権は独立行政法人情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 著作権は独立行政法人情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下 さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を 行う際にお使いいただいても結構です。 営利目的の使用はご遠慮下さい。 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等の カスタマイズは行っていただいて結構です。 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとし てください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取 得する必要はありません。 なお、参考までに、 isec-info@ipa.go.jp 宛に以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数 ご質問、ご要望等は、 isec-info@ipa.go.jp 宛にお知らせ下さい。