No201 パスワード管理とネット中傷（１０大脅威2021その4）

前回に続き、IPAから公開された「情報セキュリティ１０大脅威
２０２１」について解説を行います。

前回までで、組織向けの脅威の解説を行いましたので、今回は個人
向けの脅威について解説します。

1. IPA？１０大脅威？（再掲）

詳しくは198号をご覧いただきたいのですが、IPAというのは独立
行政法人の一つで正式名称を「情報処理推進機構」と言います。

ここは、情報処理技術者試験の実施や情報セキュリティの啓蒙
の推進などを主目的に設立されています。

そのIPAが毎年２～３月に発表しているのが「情報セキュリティ
１０大脅威」というものです。

これは、毎年のセキュリティ事故や事件の中でも社会的に影響が
大きかった手法（脅威）のワースト１０を有識者の審議と投票で
決めたもので、発表と同時にPDFが無償公開されています。

「情報セキュリティ10大脅威 2021」を公開
　https://www.ipa.go.jp/security/vuln/10threats2021.html

このメルマガではこの10大脅威については昨年も解説しています
ので、興味のある方はご覧ください。

「No149 2019年最大の情報セキュリティ事故」
　https://note.com/egao_it/n/n00ecc7ad5446
「No150 多要素認証をも破る攻撃手法（情報セキュリティ１０大
　脅威　２） 」
　https://note.com/egao_it/n/n19a2d55142a4

2. 個人向けの脅威に大きな変化はないが、注意は必要

前回まで、組織向けの脅威について解説しました。

今回は個人向けの１０大脅威の解説をするのですが、今年はあまり
大きな変化はありません。
2021年度の個人向けの１０大脅威は次の通りです。

　1位　スマホ決済の不正利用（前年1位）
　2位　フィッシングによる個人情報等の詐取(前年2位)
　3位　ネット上の誹謗・中傷・デマ(前年7位)
　4位　メールやSMS等を使った脅迫・詐欺の手口による金銭要求（前年5位)
　5位　クレジットカード情報の不正利用(前年3位)
　6位　インターネットバンキングの不正利用(前年4位)
　7位　インターネット上のサービスからの個人情報の窃取(前年10位）
　8位　偽警告によるインターネット詐欺(前年9位)
　9位　不正アプリによるスマートフォン利用者への被害(前年6位)
10位　インターネットサービスへの不正ログイン(前年8位)

新たな脅威が現れなかったのは良いニュースといえます。
ですが、攻撃の総数は減るどころか増え続けてますし、同じ脅威で
あっても、手法が変質したり進化したりしていることも多いため、
気を許して良い状況ではありません。

是非、皆さん自身で「情報セキュリティ10大脅威 2021」個人編を
ご覧いただきたいと思います。
　https://www.ipa.go.jp/security/vuln/10threats2021.html

3. パスワード管理は大切

例年、情報や金銭を盗み取られる脅威が上位を占めており、その
傾向は今年も同様です。

その中でも「パスワードの使い回しを避けましょう」というのは
今年の1位、4位、5位、7位、10位の５つ脅威対策に書かれており、
パスワードの使い回しをしている人が多いことを示しています。

この「パスワードを使い回ししない」というのは以前からずっと
言われていることですが、特に2017年頃からよく言われるように
なっています。

なぜパスワードの使い回しをするのがダメなのかご存知でしょう
か？

世の中にはメールアドレス＋パスワードでログインできるサー
ビスがたくさんあります。

犯罪者がどこかのサービスその組み合わせを入手できれば、
その組み合わせをあらゆるサービスでログインの試行をします。

どのサービスに加入しているかなんてわかりません。「下手な
鉄砲も数打ちゃあたる」方式で、世の何百、何千のサービスに
ログインを試してみるのです。

「そんな何千ものサービスにログインなんて手間のかかること
やったって成功率低すぎるでしょ！ホントにそんなことやって
るの？」と思うのも無理はありません。

ですが、犯罪者側はこんなのを手作業でやりません。実行する
プログラムを作ってコンピュータに実行させるのです。

こうすれば、ごく短時間のうちに何百や何千のサービスへのログ
イン確認ができてしまいます。「バレた！」と思って手作業でパス
ワード変更を行っても間に合う可能性はかなり低いのです。

また、不正情報の売買サイトでは、多数（数百万件や数千万件）の
漏洩したIDとパスワードの組み合わせや「よく使われるパスワード
リスト」が販売されていて、安易なパスワード（123456やpassword、
p@sswordなど）は全てバレていると考えてください。

パスワードの使い回しをしていると、自ら被害を拡げるだけです。

もし、同じパスワードを使い回しているのであれば、少なくとも
次の２つのサービスは違うパスワードに変えておきましょう。
　１）金融系などのお金に直結しているサービス
　２）通信販売など、氏名以外の住所や趣味といった価値のある
　　　情報を持っているサービス

パスワードの管理方法については、このメルマガでも毎年のよう
に解説しています。2021年版についても、近いうちに解説を行う
予定です。

4. デマや中傷は他人事ではない

今年の10大脅威で筆者が驚いたのは３位に入っていた「ネット上の
誹謗・中傷・デマ」でした。

例年、これも10大脅威の常連ではあるのですが、2020年にはとある
テレビ出演者がSNS上で炎上し、ご本人が自殺されるという痛ましい
事件がありました。

この引き金となったのが、多数の匿名投稿者による誹謗中傷でした。

こういった事件の常ですが、投稿者はさしたる悪意もなく、投稿
する内容が相手をどれひど傷付けるかも考えずに、安易な投稿を
行ったとのこと。SNSなどでは顔が見えないという匿名性が災いし、
対面では決して取らない言動を取りがちです。

その心理や行動は本メルマガの守備範囲ではありませんので触れ
ませんが、ここでは「ネットの匿名性」について解説しておきます。

強調しておきたいのは、ネットに匿名性などない、という点です。

多くの方が感違いしていますが、ネット上の発言などはサービス
運営者には自明の事実です。通常は個人の通信の秘密は保持され
ますから、サービス運営側が公開したりはしません。

ですが、それが大きな問題となれば、公権力による捜査が行われ
ます。この場合、匿名性など全くないのは当然です。

確かにTor（トーア）のように技術的に追跡が難しい隠敝方式と
いうのは存在します。
Torというのは、わざとデータをあちこちのサーバを経由させて
最初の発信者と目的サーバをわかりにくくする（事実上特定でき
ない）通信アプリです。
実際、サイバー犯罪を意図的に行う集団ではこういった技術を用い
ることで、公権力からの追跡を阻んでいます。

ですが、一般の方が通常にネット上で発言した内容は全てサービス
提供側で把握できています。

ネット上では過激な発言が多くなりがちだからといって、根も葉も
ない話を流布してはいけません。あたりまえのことです。

これは、実世界でもネット世界でも何も違いはありません。

5. まとめ

IPAという独立行政法人が発行している「情報セキュリティ１０大脅威」
今回は10大脅威のうち、個人向けの内容について紹介と解説をしました。

多くの脅威の対策としてパスワード管理が繰り返し書かれています。

パスワード管理は難しいのですが、同じパスワードを使い回していると
いもづる式に他のサービスにも不正ログインされ、被害を自ら拡げて
しまいます。

「他のサービスまでわざわざ調べたりしないだろう」というのは甘い
です。他のサービスへのログインも自動化されていますから、さほど
手間をかけずに、ごく短時間のうちに、あなたに関する情報が全て
集められてしまいます。

また、今回は３位に「ネット上の誹謗中傷」というものが挙げられて
います。

ネットでの発言は匿名性があるかのように見えますから無頓着な
発言ができてしまいます。ですが、ネットの匿名性などは実は存在
しません。実際に誰の発言かは確実に特定できます。書き込みには
注意しましょう。

個人にしても組織にしても、脅威の手口を知ることで対策の意義を
理解でき、情報セキュリティ対策のモチベーションも上げられます。

次回もお楽しみに。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html