追いつかない対策、進化する「情報」への攻撃にどう立ち向かう

増大する被害額！変化する「10大脅威」

独立行政法人情報処理推進機構（IPA）は、情報セキュリティ上の「10大脅威」に関する2011年版の報告書[pdf] において2010年上半期のデータをまとめ、詳細な内容を発表している。この報告書によれば、以下の結果が表示されている。

表１

コンピューターの普及による高度情報化社会への進展に伴い、個人情報への意識が高まる一方、情報漏えいの手口も複雑化し、件数も増加している。

一般的に個人情報漏えい事件では、個人情報を収集した個人情報取扱事業者が、安全管理義務（個人情報保護法第20条）や従業者・委託先の監督義務（同21条及び22条）に違反したとして損害賠償請求される事例も多いが、過去において宇治市住民基本台帳事件（1万円の慰謝料と5000円の弁護士費用）やTBC事件（３万円の慰謝料と5000円の弁護士費用）に代表されるように、通常１人当たり１万円前後、二次被害があった場合でも最大３万円程度が認定されているにすぎない。

ところが表１によると裁判を経ない和解による示談も多く、一人当たりの平均損害賠償額は裁判ベースをはるかに超えた４倍程度の４万823円となっている。

次に過去５年間の情報社会の10大脅威を比較したリスク順位が表２のとおりとなっている。この結果によれば、５年間でリスク内容は大幅に変化し、特に2010年では新たに携帯電話、スマートフォンやSNSなどを対象に５つのリスクが10大脅威に入ったことが特徴となっている。

表２

注：IPAが公表している「10大脅威」において、2010年新しく登場した脅威

組織へのビジネスインパクトへの脅威

一般的には代表的なセキュリティ事故である「情報流出」「システム停止」「ウェブサイトの改ざん」などが企業活動に影響を与えるものとなるが、昨今では特に「クレジットカード情報の流出」「健康診断結果や履歴書情報の漏えい」「研究開発情報の漏えい」などが顕著になっている。

2010年10大脅威の中で特徴的なものを挙げると、データの持ち出し、組織外部への情報の流布、誤送信、紛失・盗難などによる「人」の起こすミスや故意の犯罪の多発が顕在化した。データによる分析では、メール等の誤送信に伴う「誤操作」が37％を占め、次いで内部ルールの整備不良に伴う「管理ミス」が30％を占めた。

新たな脅威

スマートフォンでは、ソフトウエアに脆弱性が存在する機種で、Webサイトを閲覧させる、又はファイルを開かせることで攻撃が成功する脆弱性を悪用するタイプと、正規のアプリケーションを装ったウィルスをインストールさせるタイプが顕在化した。

また、2010年にはソフトウエアの脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャル・エンジニアリングにより特定企業や個人を狙った攻撃が顕著となった。

さらに、公開しているシステムや事業に活用しているシステムに対して、不正アクセスなどを引き金にセキュリティ上の問題が発生し、その結果として、サービスの中断や風評等により、組織活動に支障をきたしたり、事業継続が困難となる場合や、対策に不備があるシステムを公開し続けた結果、攻撃の踏み台に悪用され、ネット社会に多大な迷惑や被害を及ぼした事例などが確認された。

SNSへの攻撃

ミニブログサービスやSNSに対する攻撃も新たに確認されている。これらの特徴を悪用し、利用者を騙したり、ウィルスに感染させようとする攻撃が出現している。ツイッター上で、利用者が興味を持つ内容を発言し、貼付けたURLをクリックさせて外部サイトに誘導させようとするが、このURLは「短縮URL」サービスが使用されクリックするまでどのようなWebサイトに誘導されるかわからない。SNSにおいてもWebサイトの脆弱性を悪用し、利用者の偽の情報を表示させたり、意図しない操作をさせたりする事例が多数確認されている。