1.目的
ITパスポートの試験にてさまざまな情報セキュリティの問題が出てきます。
説明だけでは理解しにくい点を実際の事例と照らし合わせることで直感的に
覚えやすくなると思うので記事にしていきます。
2.情報セキュリティの脅威
情報セキュリティリスクを顕在化させるものが「脅威」という。
「脅威」は大きく分けて以下のように分類されます。
-
意図的脅威
外部の人間による悪意ある行為により社会的に大きな影響を及ぼす脅威- 標的型攻撃、マルウェア、不正アクセスなど..
-
偶発的脅威
ルールを破り外部に持ち出したPCや記憶媒体が盗難にあったり、操作ミスにより情報漏洩をさせてしまうようなヒューマンエラーによる脅威- 紛失、会話からの情報漏洩、システム障害など..
-
環境的脅威
地震や台風などの自然災害による脅威- 地震、落雷、洪水、火事など..
3.セキュリティ事故事例
以下3件の事例はサイバーセキュリティ.comに記載されていたものから抜粋しました。
1.パスワードリスト型攻撃
株式会社キタムラは2020年6月12日、同社が運営するオンラインネットショップ「カメラのキタムラネットショップ」の顧客アカウント40万件に対して、外部からの不正アクセスが確認されたと明らかにしました。
同社によると、攻撃者は2020年4月4日~2020年5月27日にかけて、同社とは関係しない外部から流出したと思われる「パスワードリスト」を用いたリスト型攻撃で顧客アカウントへ不正ログイン。これにより一部顧客アカウントの情報が外部に流出したほか、数件のアカウントについてポイントを利用した不正注文が発生し、うち1件について実際に商品を発送する被害が生じたと説明しました。
・対策
パスワードリスト型攻撃は入手したパスワードリストから正規ルートでログインするため運営側が不正アクセスに築くことが難しい。そのため個人個人が他社をまたいでパスワードを使いまわさないことで対策がとれる
2.不正ログイン
LINE株式会社は2020年2月26日、同社が提供するSNSサービス「LINE」の日本ユーザーについて、短期間で4,000件以上の不正ログイン行為が確認されたと発表しました。
同社によると、攻撃者はアカウントを乗っ取ったのち、本人になりすまして商品購買やアカウントの窃取を目的としたURLを、メッセージやタイムラインに投稿。これにより被害は急速に拡大し、多くの被害が生じていると注意喚起を行っています。
・対策
不正ログインを防ぐにはパスワードの管理や適度な変更があげられるが、今回のケースだと本人になりすまして悪用を目的としたURLからアカウント等が奪われるソーシャルエンジニアリングによる被害もでているため、個人個人のセキュリティに対する意識を高く持つことも対策につながる
3. 紛失
岡山県吉備中央町に位置する学校法人・おかやま希望学園は2020年7月6日、同法人が運営する吉備高原のびのび小学校にて、児童など関係者の個人情報を記録したUSBメモリ3本を紛失したと明らかにしました。
同法人によると2020年6月12日、学園の女性校長が在宅ワークを遂行するため、USBメモリを外部に持ち出した際に紛失が発生。校長が紛失に気付いたのは持ち出しから2日後で、学校側は警察に届け出の上で思い当たる場所などの捜索を進めましたが、記事発表時点で発見に至っていないと説明しています。
・対策
まずはUSBを紛失するリスクを重々に注意喚起しておくことが大事。また、重要な情報は持ち出さないようにしどうしても持ち出さなければいけない時は必要な分だけ持ち出す、暗号化できるUSBを使用するなどが対策としてあげられる
4.まとめ
今回このように事例と照らし合わせることで情報セキュリティの脅威についての理解度がより深まりました。(実際自分はパスワードリスト型攻撃がなぜパスワードの使いまわしがいけないのか理由をあまり理解していなかったので...)
まだまだ情報セキュリティの脅威はたくさんあるので機会があれば他の事例も記事にしたいです。