情報セキュリティ10大脅威 2022(個人)でフィッシングが1位になってしまった。。。

2022.02.28に情報処理推進機構(IPA)から情報セキュリティ10大脅威 2022が発表されました。

情報セキュリティ10大脅威 2022

また、合わせて個人編の解説書も公開されています。
情報セキュリティ10大脅威は、前年に発生した社会的に影響が大きかったセキュリティ事案に基づき、IPAが候補を選出、研究者や実務担当者などで構成される10大脅威選考会で審議・投票を行って毎年決定しているもので、今年も引き続き社会的に大きな影響を与える可能性が高いモノと考えてよいと思います。

miyoshiは、会社でも個人的にもフィッシング対策コミュニティーの一員として活動をしているので、最近のフィッシング(特にSMSを利用したスミッシング)の増加には歯噛みする思いでしたが、ついに1位になってしまったということで、「ますます対策を強める必要がある」と気を引き締めています。
そこで、個人編で1位となった「フィッシングによる個人情報等の窃取」について書きたいと思います。

情報セキュリティ10大脅威 2022：IPA 独立行政法人 情報処理推進機構

情報セキュリティ10大脅威 2022 解説書

https://www.ipa.go.jp/files/000096258.pdf

フィッシング詐欺について

個人編に関しては、全ての脅威が2021年にランクインしたモノの順位が入れ替わっただけで、新たな脅威のランクインは有りませんでした。
印象的なのは、「フィッシングによる個人情報等の窃取」がついに1位となった点です。

フィッシング詐欺とは、公的機関、金融機関、ショッピングサイト、企業などを騙ったメールやSMSで、正規のWebサイトを装ったフィッシングサイトに誘導し、ID,パスワードなどの認証情報、クレジットカード情報、その他個人情報を入力させて詐取する攻撃のことです。

対策方法は？

気になる対策について。

確実に本物につながるルートを確保して利用する

フィッシング対策として、重要なのは普段から利用するWebサービスについては、メールからのリンクなどを使わず、予め登録したブックマークや正規のスマホアプリなどを利用してアクセスをすることを心掛けることです。
また、皆さんに気をつけて頂きたいのは、偽物のメールやサイトを見破ろうとしないことです。
以下の対策を目にすることがありますが、誤りと考えてください。

✗URLが本物か確認すること
✗httpsを利用しているか確認すること

と言った対策を目にすることがあります。
しかし、本物によく似たURLを用意することは簡単に出来ます。また、最近のフィッシングサイトなどの悪性のWebサイトは大半がhttpsを利用しています。
ですので、メールやSMSが来た際に本物かどうかを見極めようとすることはしないでください。
前述した様に、予めブックマークしておくことや正規のアプリをインストールして、確実に本物につながるルートを確保して利用してください。

また、フィッシングサイトへの誘導に検索結果に偽サイトへ誘導する広告を掲載させると言う手口があります。
こちらも、検索結果ではなく、予めブックマークしておくことや正規のアプリをインストールして、確実に本物につながるルートを確保して利用することが有効です。

他には

多要素認証を有効にする
ログイン通知を有効にする
ログイン履歴、クレジットカード等の利用明細をこまめにチェックする
などで、詐取後の被害を食い止めたり、最小限にする方法があります。

被害に遭ってしまったら？

フィッシングサイトに情報を入力してしまったらどうしたら良いのでしょうか？情報セキュリティ10大脅威 2022 解説書には。

パスワードを変更する（他のサービスで同じ
パスワードを使っていた場合は同様に対応）
・利用しているサービスへの利用停止を連絡
・信頼できる機関に相談
警察、国民生活センター、地域の消費生活
センターに相談する。

情報セキュリティ10大脅威 2022 解説書 https://www.ipa.go.jp/files/000096258.pdf

この内、パスワードの変更について私見を少々。

パスワードの変更

Webサービスの認証情報を詐取された場合、その後も該当の正規サービスにログインできる様であれば、パスワードを変更しましょう。パスワードは当然ですが、該当サービスにそのIDが確実に存在しているということが攻撃者に判明してしまっているので、IDも可能であれば変更しましょう。
これは、あくまでも被害の拡大を防止するための一時的な対策ですので、ついでサービス提供企業に連絡などの対処をされることをお勧めします。

同じID・パスワードのセットを使っている他のサービスについても同様に変更します。また、同じパスワードのみを使っている場合についても、パスワードを変更することが望ましいです。同じIDのみを使っている場合、パスワードが簡単なものであれば変更が望ましいです。IDを自由に変更できるものについては、変更した方が良いと思います。
これは、盗まれたID・パスワードは、盗んだ本人が悪用する以外にも攻撃者のマーケットで売買され、標的情報として多くの攻撃者に流通している可能性がゼロでは無いからです。

関連して

フィッシングに関連して、以下の4つの脅威に関しても情報詐取の方法としてフィッシングが用いられる可能性があると考えられています。フィッシングで情報詐取をされると以下の様な被害に派生する可能性があります。

• 4位 クレジットカード情報の不正利用

• 5位 スマホ決済の不正利用

• 9位 インターネットバンキングの不正利用

• 10位 インターネット上のサービスへの不正ログイン

これらの被害にあった方にの中には、フィッシングサイトで情報を入力した時点では全く気付かずに、金銭の被害やサービスの不正利用などが発生してから、
「そう言えば、メールがきていて、操作したけどログイン出来なかった」
とおっしゃられるケースがままあります。
正規のサービスと思ってアクセスしてしまっているので、被害に気付かず放置することに繋がるのだとおもいます。
また、私自身、普段からフィッシング対策を含むセキュリティの業務に携わっていますが、フィッシングメールに「本物かな？」と触ってしまいたくなります。

なので、普段から確実に本物につながるルートを確保して利用する習慣をつけることが大切です。

最後に

情報セキュリティ10大脅威 2022 個人 第1位の「フィッシングによる個人情報等の窃取」について書かせて頂きました。

私の言いたいことは、

• フィッシングメールや偽広告は、常に身近に存在していて、自分がいつフィッシングサイトに誘導されるかわからない

• Webサービスの利用には、ブックマークや正規アプリを利用することで、確実に本物につながるルートを確保して利用する習慣をつける。

という2点になります。

セキュリティ畑で働く人間として、間違ったことは書いていないつもりですが、あくまで私見ですので、10大脅威については、解説書をご覧になってください。
情報セキュリティ10大脅威 2022 解説書

https://www.ipa.go.jp/files/000096258.pdf

この記事では、フィッシングについてのみ記載しましたが、後で個人編の全体について俯瞰した記事も書こうと思います。また、組織編についても解説書が公開されたら記事にしたいなと思っています。(ビビリなんで、大嘘書かない様に解説書見てから書きますw)

なお、10大脅威は、社会的影響が大きいと思われるモノをPickupした内容です。他にも身近な情報セキュリティ脅威は沢山ありますので、10大脅威の対策をしておけば、オールオッケーではありませんのでご注意を。