事件を振り返ると共に、私たちや家族の日常のデジタル生活に直接関係する事件のポイントとセキュリティ対策についてやさしくまとめました。
年末年始、きちんと対応し話し合って自分と家族の安全を守りましょう。
マカフィー発表の「2020年の10大セキュリティ事件」とは?
日本のITの専門家、企業経営者からの意見を集約した
「2020年の10大セキュリティ10大事件」は、マカフィー社が、日本国内の企業経営者、企業の情報システム担当者、従業員など22歳以上の男女1,552人を対象にした「2020年のセキュリティ事件に関する意識調査」アンケートからまとめられました。
順位 セキュリティ事件(時期) 認知度(%) 1 携帯電話会社の電子決済サービスを通じて、利用者の預金が何者かに不正に引き出されたことが判明(9月) 59.2 2 ゲームメーカーが11月16日、サイバー犯罪集団からの不正アクセスを受け、顧客や取引先に関する情報が最大で35万件流出した可能性があると発表(11月) 37.7 3 AIを使ってポルノ動画に写った人物の顔を芸能人の顔にすり替えた“ディープフェイクポルノ動画”を公開したとして、男性2人を名誉毀損と著作権法違反の疑いで逮捕(10月) 36.5 4 新型コロナウイルス感染症対策として10万円の特別定額給付金の給付が各自治体で始まるなか、自治体などのホームページを模倣したフィッシングサイトが相次いで確認(5月) 35.4 5 米海軍はサイバーセキュリティ上の懸念を理由に、政府支給のモバイルデバイスで中国製アプリ「TikTok」を使用することを禁止した(2019年12月) 35.1 6 総合電機メーカーがサイバー攻撃を受け、個人情報や機密情報が流出したおそれがあると発表(1月) 33.5 7 総合電機メーカーへのサイバー攻撃で、防衛関係の機密情報が同社から漏えいした疑いがあることが判明(5月) 32.9 8 納税などに関する大量の個人情報や秘密情報を含む地方自治体の行政文書が蓄積されたハードディスク(HDD)が、ネットオークションを通じて転売され、流出していた(2019年12月) 31.4 9 「Zoom」の「Windows」版クライアントについて、攻撃者がグループチャットのリンク共有機能を悪用した場合、リンクをクリックした人のWindowsのネットワーク認証情報が漏えいする可能性があることが明らかに(4月) 30.9 10 電気通信事業者等を傘下に置く持株会社の機密情報を不正に取得したとして、同社元社員を逮捕。容疑者が取得した機密情報は在日ロシア通商代表部の職員らに譲渡されたとみられる(1月) 30.2 ■引用元:マカフィー社サイト
今年のセキュリティ事件の特徴は
マカフィーによると、今年のセキュリティ事件の特徴は
- コロナ禍で急速にリモートワークやオンラインサービス利用が急増し、セキュリティが後回しになってしまった。
- セキュリティ人材やノウハウ不足が明らかとなる。
- コロナ禍で人々をだますフィッシング詐欺や、オンライン会議システム「Zoom」のリスクなど新しいリスクも発生。
- 大企業を狙ったサイバー攻撃、不正アクセスも相次いたが、高度な攻撃が、一般企業まで広がってきた。海外の国家が背後にいるハッカー集団の関与もうわさされている。
です。
新型コロナのおかげで、1年前は予想もつかなかったほど、私たちを取り巻くデジタル環境は変化しました。
個人の生活も驚くべき勢いでデジタル化が進んでおり、政府もデジタル庁の設立を決め、「ハンコの廃止」「検挙書・保険証のデジタル化」と大きく舵を切りました。
この傾向は来年以降もますます増えていきそうです。
こうなると、私たちも、急速なデジタル化に対応して、デジタルを安全に使うセキュリティを学び、身の回りを見直さなければなりません。
そこで次項から、マカフィーの発表した順位にしたがって「私たちの日常生活に直接影響するデジタル事件のポイント」に絞り、分析と対策をお話しします。
「2020年の10大セキュリティ事件」から学ぶ身の回りのセキュリティ対策
第1位
ドコモの決済サービスなど電子決済サービスから不正引き出し事件が相次ぐ(9月)
2020年9月に発生した「ドコモの不正口座を悪用された不正引き落とし事件」は同様の手口がゆうちょ銀行やオンライン証券会社でも発生し、大きな被害を生み出しました。
事件の原因は
- 「メールアドレスがあれば簡単に新規口座が開設できる」事を悪用し、犯人は多数の不正引き出し用のドコモ口座を作成。
- 犯人はユーザーの銀行口座とドコモの口座番号をひも付ける際のチェックが甘いことに目をつけて、別途入手した口座番号と暗証番号を使って、銀行口座とドコモ口座を不正に連携させてお金を引き出した。
ことにあります。
しかしドコモや銀行の油断も大きな問題ですが、ユーザーとして気をつけるべき事は、むしろ事件は「犯人がユーザーの口座や暗証番号を入手しなければ発生しなかった」という点です。
事件の本当の原因は「ユーザーがネット上の詐欺にだまされて、自分の口座や暗証番号を提供してしまった」ことなのです。
不正引き出し事件から家族で学ぶべき対策は?
- フィッシングメールや詐欺SMS(スミッシング)にだまされない
- いかなる場合でも、ネット上で「暗証番号」「パスワード」は提供しない
- セキュリティが信頼できないサービスは使わない
ドコモの不正利用事件が注目を浴びています。ドコモや銀行のシステム上の問題点が指摘されていますが、不正に引き落としされた本当の原因は他にあるようです。ドコモや銀行を責めるだけでなく、ユーザーの側にも対処すべきポイントがあります。現時点で予[…]
第2位
カプコンもランサムウェア攻撃の餌食。身代金は11億円(11月)
「感染するとデータを暗号化し読めなくして身代金を要求する」卑劣な不正プログラムのランサムウェアが全世界でまん延しています。
海外では国家機関や学校・病院も狙われ、多額の身代金を支払うケースも続出しています。
日本でも多くの大企業や中小企業が被害にあっていますが、2020年11月のカプコンの例は11億円という巨額の身代金要求と、カプコンが身代金を拒絶したため、犯人に機密情報を公表されたことなどから大きな話題となりました。
ランサムウェアに感染すると
- パソコン内のデータが暗号化されて読めなくなり、組織内・家庭内の危機にも感染が広がる。
- データを元に(復号化)のために身代金を要求される。身代金を支払わなかった場合、データを公表されることもある。
といった被害につながります。
ランサムウェアは以前は大企業を狙っていましたが、今は中小企業も個人も狙われています。
ランサムウェアはメールやSMSのフィッシングや、不正なダウンロードで感染し、誰にでも感染する危険があります。
身代金を支払っても、データが元通りになるとは限らず、また身代金でますます犯行を助長させることになるため、感染しないように注意するしか対策はありません。
またデジタル機器のバックアップさえとっておけば、ランサムウェアに感染してもすぐに元に戻すことができ、最大の対策になります。
ランサムウェアから家族を守る感染対策は?
- フィッシングメールや詐欺SMS(スミッシング)にだまされない
- メールやSMS上のURLからソフトやアプリを決してインストールしない
- パソコンやスマホの定期的なバックアップを必ず実施する。
ランサムウェアとは「感染するとデータを暗号化し読めなくして身代金を要求する」卑劣な不正プログラムです。カプコンやホンダなどに日本企業も狙われ、個人や中小企業、海外では学校・病院などの公的機関にも被害が広がっています。ランサムウェアとはな[…]
第3位
AIでポルノ動画の顔を芸能人にすり替えたディープフェイクポルノで犯人逮捕(10月)
AIを使った技術の向上により、とうとう「動画の顔だけ別の人と付け替え、見分けがつかないレベルの偽動画を作る」ことができるようになりました。
しかも特別な機器や技術は不要で、知識があれば一般人でもできてしまいます。
事実今回逮捕された1人は現役の大学生でした。
今では動画でもこのような処理ができてしまうのですから、写真では簡単にどんな加工でもできてしまいます。
「深く考えないでSNSなどに投稿した写真が後で悪用される例」が増えています。
ネットストーカーに個人情報を悪用されるだけでなく、個人の映像がどんな目的で流用され、加工されて悪用されるか、いったんネット上に流出したものは2度と取り返すことはできません。
このような時代に生きる私たちは、個人情報だけでなく、自分や家族の画像にも十分な注意を払う必要があるでしょう。
家族の画像が不正使用されないためには?
- 「かわいいお子様、女性」など、転用・悪用されるおそれのある写真は投稿は控える。
- 写真の人物だけでなく、周囲の背景にも十分に注意する。
ネットストーカーの被害が増えていますが、背後にはネット上の情報を集めてパズルのように組み合わせるモザイクアプローチによって個人情報を割り出す「SNS特定屋(特定班/特定厨)」の存在があります。SNSに一枚の写真を投稿するだけでどれだけの[…]
第4位
新型コロナ対策をよそおうフィッシングサイトが相次いで確認(5月)
新型コロナ発生以来、全世界でコロナ対策をかたる詐欺が頻発しています。
日本でも春の「マスクが今すぐに手に入ります」の偽通販詐欺から始まり、10月にはまだ政府も計画中の「第2回特別給付金支給」をかたるフィッシングメールまでもが飛び始めました。
フィッシングメールやフィッシングSMSは、宅配便の不在通知、銀行や通販会社からの通知を装い、猛烈な勢いで飛び交っています。
フィッシングの目的は「個人情報の不正入手」「不正アプリのインストール」にあります。
上でご説明したランサムウェアやEMOTETと呼ばれる危険なマルウェア(不正ソフト)もフィッシング経由で感染することが多いです。
フィッシングメールやSMSには本物と見分けがつかない物もありますので、デジタルに詳しくない年配者などにも十分に注意を呼びかけてください。
フィッシングの代表的な手口は
- 「不在通知」「重要」「パスワード変更のお願い」「カスタマーセンタ-からのご案内」「口座凍結解除のお願い」「口座情報確認のお願い」などの名目の不正なメールやSMSを送ってくる。
- 見ただけでは危険はないが、うっかり文中の添付ファイルを開いたり、URLをクリックすると、不正アプリを入れられたり、偽造サイトに誘導される。
です。
フッィシングから家族を守る対策は?
- フィッシングメールや詐欺SMS(スミッシング)の基本知識を身につける
- メールやSMSを信じない。文中のURLは絶対にクリックしない
- サービスの本サイトを訪問して、真偽を確認する。
新型コロナ対策で給付が検討中の「第2回目の特別定額給付金」や「助成金」などの言葉で総務省や財務省をかたるフィシング詐欺メールが表れています。フィシングメールは、新型コロナ対策からアメリカ大統領選挙、給付金まで、その時々に人々が関心を寄せ[…]
第5位
アメリカでセキュリティ上の懸念から政府支給のスマホなどで「TikTok」の使用を禁止(2019年12月)
アメリカを中心として、中国政府と関係の深いアプリの使用を禁止する動きが目立ちました。
「アプリを通して非合法に様々な個人情報が海外流出し国家の安全保障に懸念がある」という主張です。
インドなど一部の国では完全に禁止になった例もあります。
その真偽はともかくとして、スマホ上でアプリを使うという事は「各アプリの制作者にスマホの特定の動作の使用権を与えている」ことは間違いありません。
アプリによってはこの権限を悪用し、勝手にスマホ上の情報を集めたり、無断でスマホを操作するような悪質なものが存在しています。
iPhone上のアプリは構造的にかなり厳しく運用しているためあまり心配はありませんが、Androidスマホに新しいアプリをインストールする時、「このアプリに○○の権限を与えることを許可しますか?」と聴かれるときは十分な注意が必要です。
スマホアプリを安全に使うために家族で注意することは?
- 有名でユーザーが多いアプリ、信頼できる制作者が提供するアプリを使用する
- 「無料」にこだわらず「なぜ無料なのか?」考える習慣をつける。
- スマホにも定評あるセキュリティアプリを入れる。
2021年1月10日の朝日新聞にトランプ政権が危険性を指摘した「TikTokは個人情報を抜き取るのかアプリを解析」という大変興味深い記事が掲載されました。TikTok(ティックトック)は個人情報を収集して流出させているのか?危険性があるのか[…]
「デジタル遺品やデジタル遺産の継承~デジタル終活」のために「パスワードマネージャー(パスワード管理ツール)などアプリやサービスを使いたいが、いろんなサービスがありすぎで、選択に迷ってしまう」という方のため、「アプリやオンラインサービスを選ぶ[…]
第6位、第7位
三菱電機からサイバー攻撃によって個人情報や防衛関係の機密情報が漏えい(1月と5月)
大手総合電機メーカーの三菱電機が昨年末より大規模な海外からのサイバー攻撃を受けて、多くの情報漏えいを起こしました。
詳細は明らかになっていませんが、海外の支社を足がかりに三菱電機の中枢まで入り込んだ、高度なハッキング技術を使った計画的な犯行のようです。
三菱電機は大手企業の中でも厳重なセキュリティ対策で知られていた会社ですが、それでも、おそらく国家が後ろ盾になっているような高度なハッカー集団に狙われると、情報漏えいが起きてしまいます。
まして一般企業では、人為的なミスやシステムの不備も多く、「不正侵入」「情報漏えい」は日常茶飯事になってしまいました。
漏えいした個人情報は、ハッカー達によってリスト化され、ブラックマーケットで売買されて広まっていき、不正に広まった個人情報がほとんどの「不正ログイン」や「不正使用」の原因となっています。
もはや「個人情報は流出するものだ」と覚悟し、「流出しても大丈夫なような備えをする」ほうが賢明かもしれません。
特にパスワードの使い回しは、家の合鍵を配布して回ると同様の危険な行為です。
情報漏えいに備える家族の対策は?
- パスワードは1件ごとに独自のものを使い、決して使い回しをしない
- 大切なアカウントには必ず二段階認証を設定する。
- 銀行口座や決済サービスの使用状況をこまめに確認する
- 信用できるサービスだけを使用し、不要になったサービスは必ず退会する。
毎日のようなセキュリティ犯罪が発生しています。コジマ、イオンカード、三越伊勢丹、ヤマト運輸など大手のサイトがパスワードリスト攻撃により不正アクセスされ大きな被害を出してしまいました。ユーザーは防ぎようもないパスワードリスト攻撃(ブル[…]
「とても覚えられない!」と誰もがやってしまう「同じパスワードの使い回し」。「パスワードの使い回し」は、事件事故と被害に直結する最悪の行為ですが最新の調査では「パスワードを使い回している人の割合は8割」という衝撃的な結果も出ました。ど[…]
第8位
神奈川県庁のハードディスク(HDD)が不正に転売され情報流出(2019年12月)
2019年12月に発生した、神奈川県庁のハードディスクの転売事件では「県庁の廃棄するサーバーを扱う業者の従業員が、勝手に記憶媒体(ハードディスク)を持ち出して、ネックオークションで販売していた」という衝撃的な事件でした。
幸いオークションで落札した人が「データが残っている」事を発見し、通報したことで発覚し、被害は確認されていませんが、個人情報を扱う大手の業者ですら、ずさんな処理をしていたことが明らかになりました。
事件の背景にあることは
- ハードディスクのような記憶媒体は「消去」だけでは完全に情報が消えない。容易にデータを復元することができる。
- データが復元されないためには、時間をかけて「完全削除」するか、記憶媒体を物理的に壊すしかない。
という忘れがちなデジタル機器の盲点です。。
デジタル機器の廃棄の問題は、自治体や企業だけでなく、個人も同じです。
パソコンのハードディスク、デジカメのメモリーカード、USBメモリー、そしてスマホ自体、身の回りのあらゆるデジタル機器に同様の危険が潜んでいます。
「ハードディスク転売事件」から学ぶべき対策は?
- デジタル機器を処分・売却するは完全にデータを消去する作業が絶対に必要
- 特に注意すべきは個人情報の固まりである「スマホ」の内部データ
- 盗難・紛失への備えとして「暗号化」と「ロック機能」を再確認しよう
誰にだって他人に見せたくないデータや写真はあります。いわば「私の黒歴史」とも言える恥ずかしいデータをどうすべきか?間違ってデジタル遺品として継承されては大変ですから、削除はデジタル終活の重要なテーマです。不要なデータはまずは断捨離してさ[…]
「他人に見せたくないスマホの写真やデータ」。実は削除(消去)しただけではデータや写真の実体はスマホの上に残っていて、簡単に復元できてしまいます。原因は、メモリーにデータを記録する仕組みにあり、AndroidもiPhone(iOS)もパソ[…]
第9位
「Zoom」に情報漏えいなどセキュリティリスクが指摘される(4月)
ZOOMは新型コロナ対策の中でも最も活躍したサービスと言えるでしょう。
しかし急に利用者が増えたために、一時セキュリティの問題や、会議に乱入する「ZOOM爆弾」などのトラブルが相次ぎました。
その後は改良され、今のZOOMでは危険はなくなり安全に使用できるようになりました。
急速なテレワーク、在宅勤務の拡大は、withコロナのこれからも続くでしょう。
しかし急速な拡大に私たちの意識が追いつかず、その隙を犯罪者に狙われる機会も増えてしまいました。
比較的安全な企業のオフィスと違い、家庭にはまだいろいろな隙が残っています。本人が気をつけても、家族の不要な使い方で、不正ソフトが持ち込まれることもあります。
Web会議システムだけでなく、外部から企業に接続するVPNや、wifiについても十分な注意が必要です。
ZOOMのセキュリティ事件から家族で学ぶべき対策は?
- 脆弱性対策のため、ソフト・アプリ・OSは常に最新版にアップデートする。
- 重要なアカウントは不正使用を防ぐため必ず二段階認証を設定する。
- セキュリティが信頼できないwifiやオンラインサービスは使わない
- 家庭内に脅威を持ち込まないよう十分に話し合い、対策を施す。
ZOOMは新型コロナ対策の中でも最も活躍したサービスです。しかし一時セキュリティや暗号化の脆弱性だけでなく、会議に不正に乱入する「ZOOM爆弾」などのトラブルが相次ぎましたが、改良され今では危険は少なくなっています。しかしZOOMを狙う[…]
2020年8月、日本の有名企業がVPNの欠陥をついた海外からの攻撃により、機密情報が流出した事件が報道されました。VPNはパソコンやスマホから会社に安全に接続できるテレワーク時代に必須の技術です。事故の原因から、知っているようで知らない[…]
第10位
会社の機密情報を不正に取得して在日ロシア通商代表部に流した社員を逮捕(1月)
ソフトバンクの社員が会社の機密情報を無断で持出し金銭を得ていたと警視庁に逮捕されました。
同様の事件はしばしば発生しますが、映画やドラマのように「外部のハッカーが特殊な技術を使ってシステムに侵入して盗み出す」ような事例はまれで、ほとんどは組織内部の関係者による犯行です。
このように人間の心の弱さや隙に乗じて行う犯行を「ツーシャルエンジニアリング」と言います。
2020年はtwitterがコマ手口で多くな情報漏えいを引き起こしました。
また似た行為で「電車で隣の人のスマホをのぞき見て、覚えた情報を悪用する」ことを「ショルダーハック」と言います。
ショルダーハックで不審者に脅されたような事例が発生しています。
国家や企業の機密ですら、このような原始的な手法で盗まれることが多いのでも家庭内や知人友人の間でも十分に注意が必要です。
機密情報の持出事件から家族で学ぶべき対策は?
- スマホやパソコンには必ずロックをかける
- 重要なパスワードは家族と言えども決して共有しない
- パスワードなど重要な情報を人目につくところに放置しない
2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。「犯行の手口はソーシャルエンジニアリング」とされています。ソ[…]
人の隙を見て機密情報を盗み取るショルダーハックこそ実はもっとも多くの被害を生み出しているサイバー犯罪です。ショルダーハックのやり方(ショルダーハッキングの)の手口と、過去の事件や事例を元に、被害を防ぐ対策、防止策をやさしく解説します。[…]
まとめ:
年末年始、ぜひ家族で話し合い、セキュリティの基本を共有しましょう
世間を騒がせたセキュリティ事件も、実は私たちの日常生活に密着していることはご理解いただけたと思います。
来年以降も、ますますデジタル化の波は私たちの生活を変えていくはずです。
セキュリティの不安を減らすため、この年末年始、ぜひぜひご家族で話し合ってみてください。
Withコロナでデジタルへの依存度が急速に高まった今日、ネット詐欺やサイバー犯罪に家族が巻き込まれるリスクはますます高まっています。せっかくのお休みも自宅に籠もり、ネット三昧という方も多いことでしょう。しかしネット詐欺やサイバー攻撃[…]