No149 2019年最大の情報セキュリティ事故

えがおIT研究所

毎年のように紹介していますが、2020年もIPAから「情報セキュリ
ティ10大脅威2020」が公開されました。

今回はその内容を解説します。

目次

1. IPAとは?
2. 情報セキュリティ10大脅威とは?
3. さて、2020年版の注目点は?
4. スマホ決済の不正利用

1. IPAとは?

IPAという組織はこのメルマガで何度も紹介しています。
https://www.ipa.go.jp

URLを見るとわかる通り、最後が go.jp です。

そう、皆さんもご存知の co.jp ではなくて、go.jp なんです。
これは国や政府(goverment)に関わるサイトだけが使えるドメイン
で一般企業や団体は使えないドメインなんです。

IPAもそういった機関の一つで、正式名称は「情報処理推進機構」
と言う独立行政法人です。
ここは、情報処理技術者試験の実施や情報セキュリティの啓蒙
の推進などを主目的に設立されています。

なんちゃら機構だとか独立行政法人などといわれると、融通のきか
ない形式主義的な組織をイメージする方も多いでしょう。
ま、実際IPAもその傾向はあります。

それでも、一般の方にとっつきやすいようにマンガ形式を使って
みたり、動画を作ったりと工夫されています。
(必ずしもわかりやすいとは言いませんが)


2. 情報セキュリティ10大脅威とは?

そのIPAが毎年2~3月に発表しているのが「情報セキュリティ10
大脅威」というものです。

これは、毎年のセキュリティ事故や事件の中でも社会的に影響が
大きかったもののベスト10(いや、ワースト10か)を有識者の
審議と投票で決めたものです。

2月頃には、10大脅威の順位が発表され、3~4月にはその詳細な
解説書が刊行されます。
いずれも無料配布され、WebでもPDFが公開されています。

その情報セキュリティ10大脅威の2020年版(内容は2019年の
事件に関するもの)が発表されたのです。

「情報セキュリティ10大脅威 2020」を決定
 https://www.ipa.go.jp/security/vuln/10threats2020.html

あまり技術用語をちりばめない比較的平易な文章ですので、是非
読んでみてください。

なお、このメルマガでも2019年、2018年にも解説をしています。
興味のある方はバックナンバーをご覧ください。


3. さて、2020年版の注目点は?

「情報セキュリティ10大脅威」は個人向けと組織向けにそれ
ぞれ1位から10位を決めています。

まず、何はともあれ10大脅威の内容です。

組織向けの10大脅威
 1位 標的型攻撃による被害(前年1位)
 2位 内部不正による情報漏えい (前年5位)
 3位 ビジネスメール詐欺による被害 (前年2位)
 4位 サプライチェーンの弱点を悪用した攻撃の高まり(前年4位)
 5位 ランサムウェアによる被害(前年3位)
 6位 予期せぬIT基盤の障害に伴う業務停止(前年16位)
 7位 不注意による情報漏洩 (前年10位)
 8位 インターネットサービスからの個人情報の窃取(前年7位)
 9位 IoT機器の脆弱性の顕在化 (前年8位)
10位 サービス妨害攻撃によるサービスの停止 (前年6位)
 
個人向けの10大脅威
 1位 スマホ決済の不正利用(初登場)
 2位 フィッシングによる個人情報等の詐取(前年2位)
 3位 クレジットカード情報の不正利用(前年1位)
 4位 インターネットバンキングの不正利用(前年7位)
 5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求(前年4位)
 6位 不正アプリによるスマートフォン利用者への被害(前年3位)
 7位 ネット上の誹謗・中傷・デマ(前年5位)
 8位 インターネットサービスへの不正ログイン(前年8位)
 9位 偽警告によるインターネット詐欺(前年6位)
10位 インターネット上のサービスからの個人情報の窃取(前年12位)

例年、1つか2つの脅威が新たにリストに加わり、その他は順位が
多少上下するというのがいつものパターンです。

それは今回も同様ですが、個人向けでいきなり一位にランクイン
した脅威(スマホ決済の不正利用)が目立ちます。

今回はその解説をします。


4. スマホ決済の不正利用

2019年の夏にコンビニチェーンのセブンイレブンがスマホ決済の
システムとして7payというスマホ決済サービスをオープンしました。

しかし、オープン直後から不正アクセスが連続し、結果として数千
万円の不正利用をされた上、7payはサービス終了に追い込まれて
しまいました。

ニュースなどでも大きく扱われていましたので、ご存知の方も多い
と思います。

さて、この事件では7payのシステムにいくつも課題がありました。
これについては、以前のメルマガ(2019年8月配信のNo120 7payの
トラブルで見るセキュリティ対策の大切さ)で解説しました。
今回は攻撃を仕掛けた側の視点から解説をしてみたいと思います。

攻撃側は事前にIDとパスワードのリストや、よく使うパスワードの
リストを入手し、攻撃のための綿密な計画を立てていたようです。

攻撃側はサービス開始の直後からリストを使ってログインできそう
な利用者アカウントを探しました。
ログインできるIDをたくさん見つけると、それらのユーザでログイン
と現金チャージを行い、換金性の高い商品(プリペイドカードなど)
を店頭で購入したようです。

この一連の行動がサービス開始から一週間程度で行われたわけです。
実際には、7payのサイトへのログイン攻撃を行うチーム、盗んだ
ログインIDへのカードチャージを行うチーム、実際に店舗で商品を
購入するチーム、と複数のチームが連携して活動していたはずです。

とても、数日で準備できるプロジェクトではありません。
推測ですが、プロジェクト運営に長けた人がリーダとなり、かなり
綿密な計画を立てて取り組んだものと思われます。

これだけのチーム統率力や推進力のある人物なら、堅気の商売でも
大成功できそうなものですが。

さて、この事件では7pay側の体制やシステムの問題がクローズ
アップされますが、それだけでは片手落ちだと筆者は思います。

もし、事前入手したリストに該当するアカウントがなかったとすれ
ば、もっとずっと小さなトラブルに留まり、7payもサービス終了に
至らずに済んだかもしれません。

こういった事例が続くと、利用者が選べるサービスの種類が減り
ますから、社会的な損失も小さくありません。

システム設計を行う方であれば、キャッシュレス推進協議会が発行
している各種のガイドラインを参照してください。
https://www.paymentsjapan.or.jp/publications/%e3%83%97%e3%83%ad%e3%82%b8%e3%82%a7%e3%82%af%e3%83%88%e6%88%90%e6%9e%9c%e7%89%a9/

また、利用者としては単純なパスワードやパスワードの使い回しを
避けてください。
ダークウェブと呼ばれるアンダーグラウンドな世界では数十万、
数百万のログインIDとパスワードのセットが販売されています。
また、よく使われるパスワードのリスト販売されています。
"password"だとか、"123456"などといった単純なパスワードは簡単
にバレますので、使わないようにしてください。

今回はIPAの「情報セキュリティ10大脅威」の紹介でした。
まだ、もう少し書き足りないことがありますので、次回も10大
脅威のお話を続けます。

次回もお楽しみに。

この記事が気に入ったらサポートをしてみませんか?