独立行政法人情報処理推進機構 (IPA)
情報セ
ュ
10
大
威
2018
~
2
章
情報セ
ュ
10
大
威
個人編~
~引
行わ
攻撃
情報セ
ュ
10
大
威
2018
10
大
威
?
2006
年
IPA
毎年
行
い
資料
10
大
威
考会
投票
1
章
.
情報セ
ュ
対策
基
IoT
機器
情報家電
編
•
IoT
機器
情報家電
セ
ュ
対策
基
解
2
章
.
情報セ
ュ
10
大
威
2018
•
威
概要
対策
い
解
•
個人
組織
2
立場
解
3
章
.
注目
威や懸念
•
知
く
威や懸念
解
章構成
情報セ
ュ
10
大
威
2018
個人 向 威 組織 向 威
ン ネ ン ン や 情報等 不 利用
1 標的型攻撃 被害
ン 被害 2 ン 被害
ネ 誹謗 中傷 3 ネ 詐欺 被害 ンや ン
狙 攻撃
4 弱性対策情報 公開 伴う 悪用増加
不 ン 5
威 対応
セ ュ 人材 不足
個人情報 窃 6 個人情報 窃 情報 欠如 伴う犯罪 年齢化 7 IoT機器 弱性 顕在化
2
章
.
情報セキュリティ
10
大脅威
2018
感染や
ン
詐欺
情報等
窃
不
金等
悪用
1
ン
ネ
ン
ン
や
情報等
不
利用
攻撃手口
感染
認証情報
窃
•悪意あ 添付 信 開
•悪意あ 表示 ン
ン
詐欺
認証情報
窃
•実在 企業 模 偽 やURL 作成 記
載 ン セ
• 件 や 文 い 思わ う 細工
施
1
ン
ネ
ン
ン
や
情報等
不
利用
2017
年
事例
/
傾向
不
金被害
減少傾向
仮想通
交換所
攻撃対象
•不 金 生件数425件 前年 866件減少
•個人 不 金被害額約10億8,100 前年 約6億 減少
•2017年 仮想通 交換所 対 金 行う手口 確認
情報窃
URSNIF
亜種
感染被害
増加
• 情報等 窃 PC 乗 能性
番号盗用被害額
増加
•番号盗用 被害額130億3,000 (前年 2倍近く 増加)
1
ン
ネ
ン
ン
や
情報等
不
利用
対策一覧
利用者
•被害 予防
– や 十 確認
– 添付 や ン 易
い
– 普段表示 い画面 個人情報等
入力 い
– 事例や手口 情報 集
– OS ソ 更新
– セ ュ ソ 入
– 拡張子 表示 設
– ワ 適 管理 運用
–
1
ン
ネ
ン
ン
や
情報等
不
利用
~
被害 生 仮想通 関 被害~
•被害 期検知
– 不審 ン履 確認
– 口 や 利用
履 確認
– 利用時 連絡機能等
活用
•被害 後 対応
– セン 連絡
– 停
– 復元 初期化
2
ン
被害
~
ン 感染経路拡大~
PC
や
ン
暗号化
画面
復
金銭
要求
攻撃手口
添付
感染
• ン 付 や ン ン
添付 添付 開
感染
• ン 攻撃者 用意 悪意あ や
改 閲覧
OS
弱性
悪用
公式
不
公開
•入手 実体 ン 機能 持 不
2
ン
被害
2017
年
事例
/
傾向
自己増殖型
ン
WannaCry
場
5
•OS 弱性 悪用 ネ ワ 接 い
PC間 感染 拡大 場
•国 大手企業や地方公共団体等 被害 生
対策
い
い機器
攻撃
対象
11
セ
ュ
対策
日々進化
一方
攻撃手法
進化
•機械学習 利用 セ ュ 対策 回避 ン 場
2
ン
被害
対策一覧
PC
ン利用者
•被害 予防
– 信 や 十 確認
– 添付 や ン 易 い
– OS ソ 更新
– セ ュ ソ 入 義 更新
– OS 利用停 移行
– 得
2
ン
被害
~
ン 感染経路拡大~
•被害 後 対応
– 復
– 復元 活用
ュ
誹謗
中傷や犯罪予告
書
込
後
絶
い
3
3
ネ
誹謗
中傷
要因
/
目的
情報
や自己抑制力
欠如
•自 言 人 心理的 追い そ あ 理解 い い
•自身 持 不満や 捌 口 過激 言 個人 組織等 評判 落 う 言 行う
個人
信
公共
場
増加
•個人 自由 信 匿 あ 違い 結果 信者 詐称や誹謗 中傷 犯罪予告 信 使わ
3
ネ
誹謗
中傷
2017
年
事例
/
傾向
個人
中傷
投稿
•投稿者 被害関 者 業 妨害 疑い 書類 検
•投稿目的 閲覧数 伸 広告 入 得
掲示板や
等
使
迫行為
•家電量 店 設置 PC 使い犯行予告 投稿
容疑者
父親
いう
拡散
業
妨害
•嫌 や中傷 含 電 容疑者 無関 会社 殺到
3
ネ
誹謗
中傷
対策一覧
投稿者
•情報 法 意識 向
– 誹謗 中傷や公序良俗 投稿 い
– 投稿前 容 再確認
投稿
閲覧
側
•情報 法 意識 向
– 情報 信頼性 確認
– 誹謗 中傷 人 支え
誹謗
中傷
側
•被害 後 対応
– 冷静 対応 支援者 相談
3
ネ
誹謗
中傷
不
公開
い
知
ン
不
操作
4
ンや
ン
狙
攻撃
攻撃手口
公式
不
紛
込
人気
偽装
• ン 件数等 多い人気 偽装 公式 公開
影響
連絡先等
端
重要
情報
窃
録画
写真
通
録音機能
不
利用
ン
感染
DDoS
攻撃等
踏
4
ンや
ン
狙
攻撃
2017
年
事例
/
傾向
人気
便乗
不
在
組
込
ZNIU
場
•Linux 弱性 Dirty COW 悪用
•感染 管理者 限 持 込 攻撃者
ン 乗 能性
Android
端
向
ン
LeakerLocker
場
•感染 個人情報 連絡先 録 い 先 転 利用者 迫 金銭 要求
And
r
oid
端
攻撃
踏
不
場
4
ンや
ン
狙
攻撃
対策一覧
利用者
•被害 予防
– 公式 入手
– セ 限 確認
– OS 更新
– セ ュ ソ 入
– セ ュ 設 実施
– 得
4
ンや
ン
狙
攻撃
~依然 公式 不 在 感染 注意~
•被害 後 対応
– 不 ン ン や端 初期化
不
得
認証情報
使い
不
利用
利用者
推測
や
い
ワ
使用や
ワ
5
不
ン
手口
/
影響
ワ
攻撃
• 漏えい ID ワ 組 合わ 悪用
•複数 ID ワ 利用 い 場合 そ
不 ン
ワ
推測攻撃
•利用者 使いそう ワ 推測 不 ン 試
•ID ワ 一 単純 単語 連 英数 使用 い 場合 攻撃者 推測 う
感染
•感染 端 窃 情報 使用 利用者 成 不 利用
5
不
ン
2017
年
事例
/
傾向
不
ン
個人情報流出
ン
不
利用
• 電気料金情報 Web照会 不 ン
ン
乗
被害
経
者
全体
約
4
割
• ン ネ や端 セ ュ 意識 い い いう回答 人 全体 約3割
面識
い女性
ン
不
利用
•IDや ワ SNS 公開 い 前や誕生日 推測
• 保 い 画像 盗 見 い
5
不
ン
対策一覧
利用者
•被害 予防
– ワ 長く 複雑
– ワ 使い回 い
– ワ 管理ソ 利用
– 推奨 認証方式 利用
– 利用 や 会
5
不
ン
~
ワ 使い わ 注意~
•被害 後 対応
– ワ 変更
弱性
悪用
録
個人情報
や
情報等
窃
窃
情報
悪用
不審
信
6
個人情報
窃
手口
/
影響
ソ
弱性
悪用
• 弱性 悪用 攻撃 個人情報等 重要情報 窃
広く使用
い
ソ
弱性
• 広く使用 い ソ 弱性 見
攻撃手法 判明 多く 様
攻撃や被害 生
6
個人情報
窃
2017
年
事例
/
傾向
都税
支払い
不
セ
•約72 件 関 情報 漏えい 能性
•不 セ 広く利用 い
Apache Struts2 弱性 悪用
通
ョン
弱性
突く不
セ
•公式通 最大189件 個人情報や 情報 漏 えい 能性
局
不
セ
• 不 セ 約1,270件 氏 流出 能性
• 在 弱性 悪用 不 セ 能性
6
個人情報
窃
対策一覧
利用者
•情報 向
– 不要 情報 録 い
– 利用 い 会
6
個人情報
窃
~
利用者 録 個人情報 必要最 限~
•被害 期 見
– 利用明細 確認
•被害 後 対応
– 会社 連絡
– 停
2017
年
成年者
犯罪
確認
ン
ネ
通
攻撃
悪用
7
情報
欠如
伴う犯罪
年齢化
要因
情報
欠如
•自 行為 犯罪 あ 理解 金銭目的 私利
私欲 犯罪 行う
•自己顕示欲や社会 乱 目的 行う
•注目 集 SNS等 犯行声明 出 標的 募集
情報
不足
•自 行為 犯罪 あ 理解 面白半 行 う
攻撃
や攻撃
流通
7
情報
欠如
伴う犯罪
年齢化
2017
年
事例
/
傾向
成年者
ン
作成
逮捕
•14 少年 ン ネ ソ 等 組 合わ 作成
• ン 作成 動機 自 知
情報
売買
•13 少年 ン ュ 関 情報 出品
•出品 少年 金銭目的 購入 意思 示 少年 使い い
高校生
3
人
不
セ
•被害者 中学生 ID ワ 使 不 セ 行い 勝手 467 料契約 結
7
情報
欠如
伴う犯罪
年齢化
対策一覧
利用者
家庭
教育機関
•情報 や情報 向
– 情報 や情報 教育 法教育 徹底
7
情報
欠如
伴う犯罪
年齢化
~
来あ 若者 情報 教育~
•被害 予防
– ン ネ 利用 制限 や 活用
PC
や
ン
請求画面
表示
金銭
不当
請求
被害
依然
生
8
ワン
請求等
不当請求
手口
/
影響
悪意あ
閲覧
•表示 い 画像 会員 録完了画面
移 不当 金銭 要求
記載
ン
•入会完了画面 表示 高額 入会金 請求
不
ン
•無料動画 ン 等 偽 ン
電
う
誘
•電 金銭 支払い 迫
• 会や支払い 免除 称 個人情報 聞 出
8
ワン
請求等
不当請求
2017
年
事例
/
傾向
依然
多いワン
請求
•2017年10 160 件 詐欺 確認
•PC く ン 対象 詐欺
複数回
詐欺
場
• 再生 や 意 等 目 複数回 入会 意思 不当 請求 行う
ワン
請求
被害者
狙
詐欺
•被害者 消費生活セン 検索 検索結果 表示 公的機関 外 相談 結果 依頼料 請求
ワン
請求
券
騙
• 会料 いう 目 券 購入 利用番号 聞 出
8
ワン
請求等
不当請求
対策一覧
利用者
•被害 予防
– 不当請求 応 い
– 信 容 確認
– セ 確認
– SNS Twitter Facebook 等 セ
ン 不用意 い
– セ 限 確認
– 事件 手口 情報 集 学習
8
ワン
請求等
不当請求
~
複数回 不当請求~
•被害 後 対応
– 相談 際 信頼 機関 利用
管理
怠
い
IoT
機器
乗
遠隔
IoT
通
室
覗
見や盗撮
9
IoT
機器
不適
管理
手口
/
影響
初期設
IoT
機器
感染
弱性
悪用
攻撃
•公開 弱性 悪用 IoT機器 乗
IoT
機器
IoT
機器
感染
拡大
覗
見や盗撮
• 機能 持 IoT機器 乗 遠隔 操作
DDoS
攻撃等
踏
9
IoT
機器
不適
管理
2017
年
事例
/
傾向
IoT
機器
感染
Mirai
亜種
活
化
•国 WiFi 11機種 被害
IoT
機器
破壊
BrickerBot
•感染 IoT機器 完全 使用不能
•目的 Mirai 感染 IoT機器 対抗
掃除機
不
操作
弱性
• 弱性 悪用 掃除機 乗
9
IoT
機器
不適
管理
•被害 後 対応
– IoT機器 電源
– IoT機器 初期化後 被害 予防 実施
– 窓口 相談
対策一覧
IoT
機器
利用者
•情報 向
– 使用前 扱い 明書 確認
•被害 予防
– 初期設 ワ 長く複雑
変更
– 不要 機能や 無効化
– 更新 迅速 更新
自動更新 効
– 使用 い い IoT機器 電源
– 廃棄前や 出 前 必 初期化
9
IoT
機器
不適
管理
偽警告
記載
操作
行う
金銭的
被害や
個人情報
窃
巧妙
細工
施
偽警告
閲覧者
信
込
10
偽警告
ン
ネ
詐欺
手口
/
影響
感染
い
等
偽警告
表示
従わ
警告音や警告
ン
流
不
煽
• ン 場合 ョン機能 使用
窓口
装い
電
•電 越 遠隔操作 確認 いう 明 不 遠隔 操作ソ ン
10
偽警告
ン
ネ
詐欺
2017
年
事例
/
傾向
ョン等
利用
巧妙
騙
手口
• ン 勝手 動い い う ョン 表示
• ソ 社 URL セ い う 画像 表示
• 5 等 時間制限 表示 利用者 焦
社
騙
偽警告
• ン 感染 い いう偽警告 表示
•Google社 偽装 画面 表示 入手 実行
10
偽警告
ン
ネ
詐欺
対策一覧
ン
ネ
利用者
•被害 予防
– 事例や手口 情報 集
– 偽警告 表示 易 従わ い
– 偽警告 表示 終了
10
偽警告
ン
ネ
詐欺
~
そ 警告 セ 信 大 夫?~
•被害 後 対応
– 遠隔操作ソ ン ン
