情報セキュリティ 10 大脅威 2019 ~IT は便利の裏に危険あり ~ ( 独 ) 情報処理推進機構 (IPA) セキュリティセンターセキュリティ対策推進部土屋正 Copyright 2019 独立行政法人情報処理推進機構 1

(1)

（独）情報処理推進機構（ＩＰＡ）

セキュリティセンター

セキュリティ対策推進部

土屋正

1 情報セキュリティ10大脅威2019

～ＩＴは、「便利」の裏に、「危険」あり～

(2)

 日本

の

_{IT国家戦略}

を

技術面、人材面

から

支える経済産業省所管

の

独立行政法人

 誰もが安心してIT

の

メリット

を

実感できる

「頼れるIT社会」

を

目指しています

・ウイルス、不正アクセス等の届出機関

・情報セキュリティの調査研究、普及啓発活動

・標的型サイバー攻撃への情報共有・初動対応の実施

● 情報セキュリティ

・国家試験「情報処理技術者試験」の実施機関

・IT人材の育成・発掘・スキル明確のとりくみ。若手人材育成。

● IT人材育成

・新たなIT社会の動向調査、新しい技術の安全性・信頼性の確保に向けた指針策定など

● IT社会の動向調査・分析・基盤構築

ＩＰＡ(情報処理推進機構)のご紹介

(3)

ＩＰＡの「情報セキュリティ10大脅威」とは？

ＩＰＡが2006年から毎年発行している資料

前年に発生したセキュリティ事故や

攻撃の状況等から

ＩＰＡが脅威候補を選出

セキュリティ専門家や企業のシステム担当等

から構成される

「10大脅威選考会」が投票

TOP10入りした脅威を「10大脅威」

として

脅威の概要、被害事例、対策方法等を解説

3

(4)

世の中には様々な立場の人がいる

２つの10大脅威



家庭等でＰＣやスマホを利用する人

「個人」

「組織」



企業や政府機関などの組織



組織のシステム管理者や社員・職員

2016年版から

「個人」と「組織」の10大脅威を作成

立場ごとに注意すべき脅威も異なるはず

(5)

【配布資料】

「情報セキュリティ10大脅威2018」

5 ＩＰＡ 10大脅威

・過去の「10大脅威」もあります

・ウェブの「10大脅威」は無料

検索

ウェブから検索！

(6)

「個人」の10大脅威の変遷

10大脅威２０１６ 10大脅威２０１７ 10大脅威２０１８

1位

インターネットバンキングや_{クレジットカード情報の不正利用} インターネットバンキングや_{クレジットカード情報の不正利用} インターネットバンキングや_{クレジットカード情報等の不正利用}

2位

ランサムウェアを使った詐欺・恐喝ランサムウェアによる被害ランサムウェアによる被害

3位

審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリスマートフォンやスマートフォンアプリを狙った攻撃ネット上の誹謗・中傷

4位

巧妙・悪質化するワンクリック請求ウェブサービスへの不正ログインスマートフォンやスマートフォンアプリを狙った攻撃

5位

ウェブサービスへの不正ログインワンクリック請求等の不当請求ウェブサービスへの不正ログイン

6位

匿名によるネット上の誹謗・中傷ウェブサービスからの個人情報の窃取ウェブサービスからの個人情報の窃取

7位

ウェブサービスからの個人情報の窃取ネット上の誹謗・中傷情報モラル欠如に伴う犯罪の低年齢化

8位

情報モラル不足に伴う犯罪の低年齢化情報モラル欠如に伴う犯罪の低年齢化ワンクリック請求等の不当請求

9位

職業倫理欠如による不適切な情報公開インターネット上のサービスを悪用した攻撃 IoT機器の不適切な管理

10位

インターネットの広告機能を悪用した攻撃 IoT機器の不適切な管理偽警告によるインターネット詐欺 10大脅威２０１６ 10大脅威２０１７ 10大脅威２０１８

1位

2位

3位

4位

5位

6位

7位

8位

9位

10位

1位

2位

3位

4位

5位

6位

7位

8位

9位

10位

1位

2位

3位

4位

5位

6位

7位

8位

9位

10位

1位

2位

3位

4位

5位

6位

7位

8位

9位

10位

1位

2位

3位

4位

5位

6位

7位

8位

9位

10位

1位

2位

3位

4位

5位

6位

7位

8位

9位

10位

インターネットの広告機能を悪用した攻撃 IoT機器の不適切な管理偽警告によるインターネット詐欺

(7)

個人

順位

組織

クレジットカード情報の不正利用

1位標的型攻撃による被害

フィッシングによる個人情報等の詐取

2位ビジネスメール詐欺による被害

不正アプリによる

スマートフォン利用者の被害

3位ランサムウェアによる被害

メールやSNSを使った

脅迫・詐欺の手口による金銭要求

4位

サプライチェーンの弱点を

悪用した攻撃の高まり

ネット上の誹謗・中傷・デマ

5位内部不正による情報漏えい

偽警告によるインターネット詐欺

6位サービス妨害攻撃によるサービスの停止

インターネットバンキングの不正利用

7位

インターネットサービスからの

個人情報の窃取

インターネットサービスへの不正ログイン

8位 IoT機器の脆弱性の顕在化

ランサムウェアによる被害

9位脆弱性対策情報の公開に伴う悪用増加

IoT機器の不適切な管理

10位不注意による情報漏えい

情報セキュリティ10大脅威2019

個人

順位

組織

クレジットカード情報の不正利用

1位標的型攻撃による被害

フィッシングによる個人情報等の詐取

2位ビジネスメール詐欺による被害

不正アプリによる

スマートフォン利用者の被害

3位ランサムウェアによる被害

メールやSNSを使った

脅迫・詐欺の手口による金銭要求

4位

サプライチェーンの弱点を

悪用した攻撃の高まり

ネット上の誹謗・中傷・デマ

5位内部不正による情報漏えい

偽警告によるインターネット詐欺

6位サービス妨害攻撃によるサービスの停止

インターネットバンキングの不正利用

7位

インターネットサービスからの

個人情報の窃取

インターネットサービスへの不正ログイン

8位 IoT機器の脆弱性の顕在化

ランサムウェアによる被害

9位脆弱性対策情報の公開に伴う悪用増加

IoT機器の不適切な管理

10位不注意による情報漏えい

個人

順位

組織

クレジットカード情報の不正利用

1位標的型攻撃による被害

フィッシングによる個人情報等の詐取

2位ビジネスメール詐欺による被害

不正アプリによる

スマートフォン利用者の被害

3位ランサムウェアによる被害

メールやSNSを使った

脅迫・詐欺の手口による金銭要求

4位

サプライチェーンの弱点を

悪用した攻撃の高まり

ネット上の誹謗・中傷・デマ

5位内部不正による情報漏えい

偽警告によるインターネット詐欺

6位サービス妨害攻撃によるサービスの停止

インターネットバンキングの不正利用

7位

インターネットサービスからの

個人情報の窃取

インターネットサービスへの不正ログイン

8位 IoT機器の脆弱性の顕在化

ランサムウェアによる被害

9位脆弱性対策情報の公開に伴う悪用増加

IoT機器の不適切な管理

10位不注意による情報漏えい

7 個人

順位

組織

クレジットカード情報の不正利用

1位標的型攻撃による被害

フィッシングによる個人情報等の詐取

2位ビジネスメール詐欺による被害

不正アプリによる

スマートフォン利用者の被害

3位ランサムウェアによる被害

メールやSNSを使った

脅迫・詐欺の手口による金銭要求

4位

サプライチェーンの弱点を

悪用した攻撃の高まり

ネット上の誹謗・中傷・デマ

5位内部不正による情報漏えい

偽警告によるインターネット詐欺

6位サービス妨害攻撃によるサービスの停止

インターネットバンキングの不正利用

7位

インターネットサービスからの

個人情報の窃取

インターネットサービスへの不正ログイン

8位 IoT機器の脆弱性の顕在化

ランサムウェアによる被害

9位脆弱性対策情報の公開に伴う悪用増加

IoT機器の不適切な管理

10位不注意による情報漏えい

(8)

ウイルス感染やフィッシング詐欺により

クレジットカード情報を盗まれ不正利用される

(9)

9 フィッシング詐欺でカード情報を盗む

• カード会社からの案内やサポートを装う偽メールを送り

メール内のURLリンクから偽サイトへ誘導

• 個人情報の再設定を要求して情報を盗む

攻撃手口

ウイルスに感染させてカード情報を盗む

• メールの添付ファイルや悪意あるウェブサイトで感染

• 利用者がクレジットカード会社にログインするときに、

偽画面を表示して、入力した情報を盗む

(10)

番号盗用被害額は2017年から急増

・2016年から2017年で倍増

（88.9億円→176.7億円）

・2018年も2017年と同水準で推移

クレジットカード不正使用被害の発生状況

不正使用被害の約８割が

番号盗用被害

(11)

11 クレジットカード不正使用被害の発生状況

（単位:億円）クレジットカード不正使用被害額の内訳偽造カード被害額番号盗用被害額その他不正使用被害額被害額構成比被害額構成比被害額構成比 2 0 1 4 年（1 月～1 2 月） 1 1 4 .5 1 9 .5 1 7 .0 % 6 7 .3 5 8 .8 % 2 7 .7 2 4 .2 % 2 0 1 5 年（1 月～1 2 月） 1 2 0 .9 2 3 .1 1 9 .1 % 7 2 .2 5 9 .7 % 2 5 .6 2 1 .2 % 2 0 1 6 年（1 月～1 2 月） 1 4 2 .0 3 0 .6 2 1 .6 % 8 8 .9 6 2 .6 % 2 2 .5 1 5 .8 % 2 0 1 7 年（1 月～1 2 月） 2 3 6 .4 3 1 .7 1 3 .4 % 1 7 6 .7 7 4 .8 % 2 8 .0 1 1 .8 % （ 1 月～ 3 月） 5 7 .2 1 0 .6 1 8 .5 % 4 0 .3 7 0 .5 % 6 .3 1 1 .0 % （ 4 月～ 6 月） 6 2 .4 9 .6 1 5 .4 % 4 6 .1 7 3 .9 % 6 .7 1 0 .7 % （ 7 月～ 9 月） 5 7 .2 5 .6 9 .8 % 4 3 .9 7 6 .7 % 7 .7 1 3 .5 % （ 1 0 月～ 1 2 月） 5 9 .6 5 .9 9 .9 % 4 6 .4 7 7 .9 % 7 .3 1 2 .2 % 2 0 1 8 年（1 月～9 月） 1 6 5 .7 1 1 .1 6 .7 % 1 3 1 .8 7 9 .5 % 2 2 .8 1 3 .8 % （ 1 月～ 3 月） 5 7 .1 3 .2 5 .6 % 4 6 .2 8 0 .9 % 7 .7 1 3 .5 % （ 4 月～ 6 月） 5 8 .3 4 .2 7 .2 % 4 6 .6 7 9 .9 % 7 .5 1 2 .9 % （ 7 月～ 9 月） 5 0 .3 3 .7 7 .5 % 3 9 .0 7 7 .4 % 7 .6 1 5 .1 % 【出典】クレジットカード不正使用被害の発生状況（一般社団法人日本クレジット協会）クレジットカード不正使用被害額期　　間

(12)

• 予防には

–

事例や手口を知っておく

–

添付ファイルやリンクを安易にクリックしない

–

普段と違う画面には個人情報等を入力しない

–

本人認証サービス（3Dセキュア）

への登録

–

OS・ソフトウェアの更新、セキュリティソフトの導入

• 早期検知には

–

クレジットカードの利用履歴を確認

–

利用時のメール連絡機能の活用

• 被害にあったら

–

コールセンターへ連絡、クレジットカードの停止

対策一覧

(13)

13 利用者を騙して不正アプリをインストールさせ

スマートフォン内の重要な情報を窃取する

【3位】不正アプリによる

(14)

宅配便業者を騙り、偽の不在者通知を

SMS（ショートメッセージ）

で送りつけ、

偽Webサイトに誘導して不正アプリを

インストールさせる

攻撃手口

不正アプリを

公式マーケットに公開

し、

インストールさせる

(15)

15 【Android端末】

不正アプリをインストールする手口

通知

お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。

配送物は下記よりご確認ください。

https://XXXX/sagawa

←不審なリンク先（佐川急便の偽サイトが表示）

【出典】佐川急便のＨＰより抜粋

【出典】IPA「安心相談窓口だより」より抜粋

(16)

• 予防には

–

アプリは公式マーケットから入手

–

アクセス権限を確認

–

OS・アプリの更新（最新の状態に）

–

セキュリティソフトの導入

–

セキュリティ設定の実施

• 被害にあったら

–

不正アプリのアンインストールや端末初期化

対策一覧

(17)

17 【ご参考】

iPhoneを狙う手口（フィッシング）

【出典】佐川急便のＨＰより抜粋

(18)

【ご参考】

(19)

19 【4位】メールやSNSを使った脅迫・詐欺の

手口による金銭要求

「アダルトサイトを閲覧している姿を撮影した」

「有料サイトの料金が未納である」といった

メールを送りつけて脅迫し金銭を請求する

(20)

「アダルトサイトを閲覧している姿を

ウェブカメラで

撮影した」というメールを送りつけ、

「ばらされたくなければ金を払え」と脅迫

「有料サイトの料金が未納」というメールを

送りつけ、電話をかけてきた被害者に対し、

「払わなければ裁判沙汰になる」と脅迫

攻撃手口

仮想通貨での支払いを要求

(21)

21 メールに自分のパスワードが記載されている

「アダルトサイトを閲覧している姿を撮影して

連絡先情報も収集した」と脅す

脅迫メールの特徴

仮想通貨を要求する

メール送信元が自分のメールアドレス

さらに、以下のようなこともある

(22)

(23)

23

• 脅迫メールを受信したら

無視する

対策一覧

• メールに記載されたパスワードは変更する

・パスワードは

長く、複雑に、使い回さない

・そのパスワードを使っている全サービスの

パスワードを変更する

（パスワード変更は公式ページで！）

【パスワード変更の注意点】

(24)

ＰＣやスマホでインターネットを閲覧中に、

「ウイルスが検出された」という警告を表示

ソフトウェア購入やサポート契約に誘導する

(25)

25 警告音や警告アナウンスを流して不安を煽る

• スマホの場合、バイブ機能を使用するケースも

攻撃手口

「ウイルスに感染している」等の偽警告を

ＰＣやスマホの画面に表示して従わせる

サポート窓口を装い、電話をかけさせる

• 電話越しに「遠隔操作で確認する」と説明し、

不正な遠隔操作ソフトをインストールさせる

(26)

偽警告の事例（１）

（マイクロソフト社を騙って電話に誘導）

電話に誘導

偽の警告

(27)

偽警告の事例（２）

27

(28)

偽警告と偽対策を合わせたハイブリッド型

ステップ①

偽の警告

が表示される

ステップ②

無料のソフトウェア

をインストールさせる

ステップ③ インストールしたソフトウェアを実行する

ステップ④

有料のソフトウェア

を購入させる

ステップ⑥ 電話越しに

遠隔操作

を案内する

ステップ⑦

サポート契約

を持ち掛ける

ステップ⑤ ソフトウェア有効化のために、

電話をかけさせる

無料

有料

(29)

29

• 予防には

–

事例や手口の情報収集（

知っておくこと

が重要）

対策一覧

• 被害にあったら

–

遠隔操作ソフトをアンインストール

–

サポート契約の解消（

消費生活センターへ相談

）

• 偽警告が表示されたら

–

ブラウザを終了する

–

警告内容は

無視する

・電話はかけない

・遠隔操作は許可しない

・サポート契約はしない

(30)

不正に取得した認証情報（ＩＤやパスワード）を使い、

インターネットサービスにログインする

推測されやすいパスワードやパスワードの使いまわしを

していると被害にあう

(31)

31 ウイルス感染

・ウイルス感染した端末から窃取した情報でログインする

パスワードリスト攻撃

・他のウェブサイトから漏えいしたIDとパスワードを使って

・インターネットサービスへのログインを試みる

パスワード推測攻撃

・利用者が使いそうなパスワードを推測してログインを試みる

（IDと同じ、英単語（スポーツや有名人の名前）、連続した数字）

攻撃手口

(32)

WAONポイントのウェブサイトが

パスワードリスト攻撃により不正ログインされ

ポイントを第三者のカードへ不正移行された

信販会社アプラスの会員向けウェブサイトが

パスワードリスト攻撃により不正ログインされ

氏名、メールアドレス、口座情報等が閲覧された

事例紹介

(33)

2018

パスワード

2017 2016

１ 123456

１

２ Password

２

３ 123456789

６ －

４ 12345678

３

４

５ 12345

５

３

６ 111111

－

７ 1234567

８

８ sunshine

－

９ qwerty

４

６ １０ Iloveyou

１０ －

2018年に漏えいしたパスワードTop10

33 SplashData社「Worst Passwords」を基に作表

パスワードがPassword

キーボードの文字の並び

２０１３年から６年連続１位

(34)

• 予防には

–

パスワードは

長く、複雑に、使い回さない

–

パスワード管理ソフトの利用

–

ウェブサービスが推奨する認証方式の利用

（

多要素認証

や

ワンタイムパスワード

など）

–

利用しないサービスの退会

対策一覧

• 被害にあったら

–

パスワードの変更

–

クレジットカードの停止

(35)

35

(36)

原宿駅前に「パスワード」をテーマにした

マンガポスターを掲示中！

(37)

37 情報セキュリティ対策

の基本

(38)

情報セキュリティ対策の基本

攻撃の糸口

ソフトウェアの脆弱性

ウイルス感染

パスワード窃取

設定不備

誘導（罠にはめる）

攻撃の糸口

情報セキュリティ対策の基本

ソフトウェアの脆弱性

ウイルス感染

パスワード窃取

設定不備

誘導（罠にはめる）

攻撃の糸口

情報セキュリティ対策の基本

ソフトウェアの脆弱性

ＯＳやソフトは最新の状態に

ウイルス感染

セキュリティソフトを導入

パスワード窃取

設定不備

誘導（罠にはめる）

攻撃の糸口

情報セキュリティ対策の基本

ソフトウェアの脆弱性

ＯＳやソフトは最新の状態に

ウイルス感染

セキュリティソフトソフトを導入

パスワード窃取

パスワードを強化

設定不備

共有設定を見直す

誘導（罠にはめる）

攻撃の糸口

情報セキュリティ対策の基本

ソフトウェアの脆弱性

ＯＳやソフトは最新の状態に

ウイルス感染

セキュリティソフトを導入

パスワード窃取

パスワードを強化

設定不備

共有設定を見直す

誘導（罠にはめる）

脅威や攻撃の手口を知る

攻撃の糸口

情報セキュリティ対策の基本

ソフトウェアの脆弱性

ＯＳやソフトは最新の状態に

ウイルス感染

セキュリティソフトを導入

パスワード窃取

パスワードを強化

設定不備

共有設定を見直す

誘導（罠にはめる）

脅威や攻撃の手口を知る

「10大脅威」の順位は毎年変動するが、

基本的な対策の重要性は長年変わらない

(39)

ファイルが暗号化

されてしまって開けない…

情報セキュリティ安心相談窓口

ウイルス！？不正アクセス！？そんな不安を感じたら

突然

ウイルスに感染して

いる

と表示されたけど本当？

アダルトサイトの請求

画面

が消えない…

メール、電話で

相談対応を行います

平日10:00-12:00

＆ 13:30-17:00

03-5978-7509

IPA安心相談

情報セキュリティに関する技術的な相談に対して

(40)

ご清聴いただき

情報セキュリティ 10 大脅威 2019 ~IT は 便利 の裏に 危険 あり ~ ( 独 ) 情報処理推進機構 (IPA) セキュリティセンターセキュリティ対策推進部土屋正 Copyright 2019 独立行政法人情報処理推進機構 1

（独）情報処理推進機構（ＩＰＡ）

セキュリティセンター

セキュリティ対策推進部

土屋 正

1

情報セキュリティ10大脅威2019

～ＩＴは、「便利」の裏に、「危険」あり～

 日本

の

IT国家戦略

を

技術面、人材面

から

支える経済産業省所管

の

独立行政法人

 誰もが安心してIT

の

メリット

を

実感できる

「 頼れるIT社会 」

を

目指しています

・ウイルス、不正アクセス等の届出機関

・情報セキュリティの調査研究、普及啓発活動

・標的型サイバー攻撃への情報共有・初動対応の実施

● 情報セキュリティ

・国家試験「情報処理技術者試験」の実施機関

・IT人材の育成・発掘・スキル明確のとりくみ。若手人材育成。

● IT人材育成

・新たなIT社会の動向調査、新しい技術の安全性・信頼性の確保に向けた指針策定など

● IT社会の動向調査・分析・基盤構築

ＩＰＡ(情報処理推進機構)のご紹介

ＩＰＡの「情報セキュリティ10大脅威」とは？

ＩＰＡが2006年から毎年発行している資料

前年に発生したセキュリティ事故や

攻撃の状況等から

ＩＰＡが脅威候補を選出

セキュリティ専門家や企業のシステム担当等

から構成される

「10大脅威選考会」が投票

TOP10入りした脅威を「10大脅威」

として

脅威の概要、被害事例、対策方法等を解説

3

世の中には様々な立場の人がいる

２つの10大脅威



家庭等でＰＣやスマホを利用する人

「個人」

「組織」



企業や政府機関などの組織



組織のシステム管理者や社員・職員

2016年版から

「個人」と「組織」の10大脅威を作成

立場ごとに注意すべき脅威も異なるはず

【配布資料】

「情報セキュリティ10大脅威2018」

5

ＩＰＡ 10大脅威

・過去の「10大脅威」もあります

・ウェブの「10大脅威」は無料

検索

ウェブから検索！

「個人」の10大脅威の変遷

1位

2位

3位

4位

5位

6位

7位

8位

9位

10位

1位

情報セキュリティ 10 大脅威 2019 ~IT は便利の裏に危険あり ~ ( 独 ) 情報処理推進機構 (IPA) セキュリティセンターセキュリティ対策推進部土屋正 Copyright 2019 独立行政法人情報処理推進機構 1

土屋正

_{IT国家戦略}

「頼れるIT社会」

個人

組織

1位標的型攻撃による被害

2位ビジネスメール詐欺による被害

3位ランサムウェアによる被害