最近のセキュリティ被害の実態
5. そのほかの被害事例
最近IPAに寄せられた被害・相談事例としては、ほかに次のものがありました。
・アダルト・サイトからの料金請求画面が消えない(ワンクリック不正請求)
・USBメモリ(iPod含む)からウイルスに感染した
・ブラウザ・ハイジャッカーに感染した
・オンライン・ゲームに関する掲示板に、ウイルスが仕込まれているサイトのURLが書きこまれている
・運用しているWebサイトを改ざんされた
特定のアダルト・サイトを訪問した際にダウンロードがはじまり、Windowsの警告を無視して「実行」ボタンを押してしまうことで感染するタイプのウイルスの相談(ワンクリック不正請求)は、1カ月あたり650件と、非常に多い状態が続いています(図3)。ウイルス対策ソフトをすり抜けてしまった場合、Windowsの警告ダイアログ・ボックスに注意を払わない癖がついていると、より危険なウイルスに感染する可能性があります。これはアダルト・サイトに限る話ではありませんので、ご注意ください。なお、ワンクリック不正請求に関するIPAからの注意喚起を、こちら(http://www.ipa.go.jp/security/topics/alert20080909.html)で公開しています。
USBメモリなどを介したウイルス感染(AUTORUNウイルスなど)は、個人だけでなく企業内でも依然発生しています。インターネットから隔離された社内ネットワークで、ウイルス対策ソフトが最新になっていない環境へのUSBメモリの持ち込みや、「モバイル用」などの特別扱いのノートPCがウイルスを運んでいるケースが報告されました。この類のウイルスが社内ネットワークに拡散すると、復旧に非常に手間がかかりますので、USBメモリなどの扱いについて、社内ルールの整備と徹底をお願いしています。外部記憶メディアを介するウイルスへの対策については、こちら(http://www.ipa.go.jp/security/txt/2008/12outline.html)を参照してください。
コンピューター・ウイルスを発見、またはコンピューター・ウイルスに感染した場合は、こちら(http://www.ipa.go.jp/security/outline/todokede-j.html)を参照し、届け出をお願いします。届け出の方法としては、Excel形式、CSV形式、またはWeb届け出フォームが使用できます。
同様に、不正アクセスの被害に遭った場合は、被害情報の届け出をお願いしています。こちら(http://www.ipa.go.jp/security/ciadr/)に、届け出様式やWeb届け出フォームがあります。
6. まとめ
今回紹介した被害事例は、そのほとんどが金銭の取得を目的とした攻撃によるものです。間接的にでも金銭に絡むサービスは、いったん標的となると、利用者・サービス提供者ともに、先に述べたオンライン・ゲームの例のようにさまざまな脅威に囲まれる可能性があります。
インターネット利用者の立場としては、自分が利用しているサービスやアカウントが狙われる危険性や、次々と生まれるウイルスに対し、「ウイルス対策ソフトを導入し、最新に保つ」「OSとアプリケーションを最新に保ち、脆弱(ぜいじゃく)性を解消する」といったセキュリティ対策を施す必要があります。また、業務で日常的に扱っている機密情報なども、何らかの金銭的な価値があると思われますので、「いつ標的となるか分からない」ということを常に心にとどめておきましょう。
サービス提供者や、そのシステムを構築するエンジニアの立場としては、最上流工程の設計の時点で、そのサービスやシステムをさまざまな手段で悪用しようとする利用者が現れることを想定し、それに耐えうるセキュリティの設計を行わなければなりません。2要素認証の採用や、利用者の不審な行動の検出機能、被害が発生した場合の復旧機能などを、あらかじめ設計に組み入れることを検討してください。
現在では、SNSをプラットフォームとして動作するソーシャル・アプリやソーシャル・ゲームの流行が、海外から日本に上陸しています。そして、そこを基盤として課金する仕組みも整いつつあります。これらは、前述のオンライン・ゲームと同じような問題を生む要素がありますし、開発・参入の容易さから、サービスの品質やセキュリティが十分に担保されないものが出回る可能性があります。利用者・開発者ともに、よく注意してください。
皆さまからのセキュリティ問題に関する情報の届け出は、被害の拡大と再発防止のための大変貴重な資料となります。
次回は、IPAが中小企業向けに作成したセキュリティの自社診断シートなどを取り上げ、チェックすべきセキュリティ項目と対策、取り組み方法などを解説します。
