目 次
情報セキュリティセミナー in 大阪とは?
「情報セキュリティ10大脅威 2023」に基づいたセキュリティセミナー
1.情報セキュリティ10大脅威 2023「個人編」
2.情報セキュリティ10大脅威 2023「組織編」
様々な角度で質問があがった、FAQパート
それぞれの立場で、日頃からサイバーセキュリティの情報収集をすることが大切
サイバー攻撃の脅威がますます高まる昨今、正しいサイバーセキュリティ知識の習得は、個人・企業を問わず必須の課題となっています。
エムオーテックス株式会社(以下エムオーテックス)は、関西サイバーセキュリティ・ネットワーク事務局※ が、令和5年3月17日(金)に開催した「情報セキュリティセミナー in 大阪」に、講師として登壇。
2022年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPA(情報処理推進機構)が脅威候補を選出し決定した 「情報セキュリティ10大脅威 2023」の内容をクイズ形式で出題しました。
総勢50名の方に参加いただき、大盛況だったセミナーの様子をレポートします。
※近畿経済産業局、近畿総合通信局、一般財団法人関西情報センターが運営。平成30年10月、関西のサイバーセキュリティの認知・人材醸成を目的に発足された。
エムオーテックス株式会社 登壇者
中本 琢也(なかもと たくや)
エムオーテックス株式会社 経営企画本部 本部長
経歴:2004年にエムオーテックスに入社後、開発部門にて自社製品LanScopeシリーズの設計、開発を経験。2015年に経営企画本部の本部長として、新規事業や海外展開に従事。2017年にMOTEX-CSIRTを構築し、自社のセキュリティを推進。2021年プロダクトマネージャー。
西井 晃(にしい あきら)
エムオーテックス株式会社 プロフェッショナルサービス本部 エキスパート
経歴:セキュリティアナリストとして、セキュリティ監視サービスやインシデント対応サービスに従事。近年では、デジタルフォレンジックによるインシデント調査を実施。
当日のアジェンダ
1.「個人向け」情報セキュリティ10大脅威 2023 (講演パート・クイズパート)
2.「組織向け」情報セキュリティ10大脅威 2023 (講演パート・クイズパート)
3.質疑応答
【講演パート講師】
独立行政法人情報処理推進機構(IPA)セキュリティ対策推進部脆弱性対策グループ
土屋正(つちや ただし)氏
【クイズパート講師】
エムオーテックス株式会社
情報セキュリティセミナー in 大阪とは?
令和5年3月17日、大阪の梅田センタービルにて開催された「情報セキュリティセミナーin大阪」は、サイバーセキュリティ知識の定着と、対策状況の自己点検を目的に、関西サイバーセキュリティ・ネットワーク事務局(総務省)が主催。
「サイバーセキュリティ月間 (2月1日~3月18日)」の一環として、数年前から定期的に開催されています。
「サイバーセキュリティに興味のある方」であれば誰でも無料で受講でき、今回も管理職の方から若手の情シス担当者さんまで、様々な立場・年齢の皆さんが、足を運んでくださいました。
「情報セキュリティ10大脅威 2023」に基づいたセキュリティセミナー
今回のセミナーのテーマとなる「情報セキュリティ10大脅威」とは、前年度に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から、IPAが脅威候補を選出し「10大脅威選考会」の審議・投票によって、決定したものです。
「10大脅威選考会」は、情報セキュリティ分野の研究者・企業の実務担当者など、 約200名のメンバーから構成。エムオーテックスからも、数名がセキュリティのスペシャリストとして参加しています。
情報セキュリティ10大脅威には「個人編」と「組織編」があり、それぞれの立場別に、特に配慮すべき重大脅威が発表されています。
[出典]IPA:「情報セキュリティ10大脅威2023」を公開
1.情報セキュリティ10大脅威 2023「個人編」
前半のセクションでは、「情報セキュリティ10大脅威 2023」より「個人向け」の内容について「講演パート」「クイズパート」が行われます。
はじめに、独立行政法人情報処理推進機構(IPA)セキュリティ対策推進部脆弱性対策グループの土屋正(つちや ただし)氏より、個人向けのセキュリティ脅威に関して、犯行手口や被害事例・対策方法などが解説されました。
個人向けのセキュリティ脅威は「騙しの手口」が多い。事前の情報収集が大切
土屋氏:「個人編」ではここ数年、下位の脅威に多少の入れ替わりがあるものの、ランクインしている脅威の内容自体はほぼ変わっていません。特に5位以上の脅威は、順位も含めほぼ固定化されており、脅威度の高さがうかがえます。
情報セキュリティ10大脅威 2023「個人編」
順位 | 個人向け | 前年順位 |
---|---|---|
1位 | フィッシングによる個人情報等の詐取 | 1位 |
2位 | ネット上の誹謗・中傷・デマ | 2位 |
3位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 3位 |
4位 | クレジットカード情報の不正利用 | 4位 |
5位 | スマホ決済の不正利用 | 5位 |
6位 | 不正アプリによるスマートフォン利用者への被害 | 7位 |
7位 | 偽警告によるインターネット詐欺 | 6位 |
8位 | インターネット上のサービスからの個人情報の窃取 | 8位 |
9位 | インターネット上のサービスへの不正ログイン | 10位 |
10位 | ワンクリック請求等の不当請求による金銭被害 | 県外 |
土屋氏:個人向けのセキュリティ脅威は特に「騙し」の手口が多く、その手法は数年前から大きく変わっていません。あらかじめ手口の内容を知っておけば被害の多くは回避できるので、テレビニュースやIPAのサイトで10大脅威の発信を見るなど、様々な方法で情報収集をしていただくことが大切です。
例えば、今年1位にランクインした「フィッシングによる個人情報等の搾取」は、名前の通り「釣り」をイメージしていただくとわかりやすい手口。攻撃者は美味しそうな餌(罠)を仕掛け、思わず引っかかってしまった被害者を悪意あるサイトへ誘導し、IDやパスワード・カード番号などの個人情報を入力させます。
具体的には、水道局や宅配業者・大手通販サイトを装ったメールやSMSを配信し、URLをクリックするとフィッシングサイトへ誘導される、といった仕組みです。
[出典]安心相談窓口だより: IPA 独立行政法人 情報処理推進機構
こういった「騙し」の手口を回避するには、安易にURLや添付ファイルをクリックしないことはもちろん、多要素認証を使う・IDやパスワードを使いまわさない・信頼できないWebサイトへアクセスしない、などの対策を日ごろから心がけることが重要です。
「個人編」後半パートでは、情報セキュリティ10大脅威に基づいたクイズを出題!
「個人編」の後半パートでは、エムオーテックスの中本・西井より「情報セキュリティ10大脅威」に基づいた「セキュリティクイズ」が出題されました。
より参加者の皆様に楽しんでいただくため、今回はスマートフォンを活用しリアルタイムで4択クイズに参加いただきました。クイズは正答率だけでなく、回答が早いほど高得点となります。
以下では、当日「個人編」で出題したクイズをピックアップしてご紹介します。
Q1. あなたは、緊急性のあるSMSメッセージを受信しました。? 以下のメッセージを受信したその後の行動として?、不適切なものはどれでしょうか?
正解は……
「C. リンクをクリックする」が、メッセージ受信後の行動として不適切となります。
西井:フィッシングの中でも、メッセージ機能であるSMSを利用し、銀行や大手通販サイトを名乗って、?受信者をフィッシングサイトへ誘導する手口(スミッシング)が増加しています。
不審なSMSを受信した際は、まずは一呼吸おいて、不用意にリンクをクリックしないことが重要です。
中本:先ほどの講演でも「無視をする」というアドバイスがあったとおり、不審なメッセージは無視・安易に対応しないことが大切ですね。
続いて「SMSのメッセージからURLをクリックし、Webサイトへアクセスしてしまった」という想定で、第2問。
Q2 . 「ねんきんネット」にログインするため URLをクリックしたところ、以下のサイトが?表示されました。正規のサイトはどちらでしょうか??
少し難易度が高いですが、正解は……
「B」が正規のサイト、「A」は複製されたフィッシングサイトとなります。
西井:近のフィッシングサイトは、Webサイトをみただけでは一見本物と見分けがつかないので、前提として、そもそも「見分けようとしない」ことが望ましいです。
ただしフィッシングサイトの中には、今回のように「ドメイン」を見れば、正規サイトと判別できるケースもあります。?例題の年金機構のサイトの場合、正規サイトであれば>ドメインの最後に「go.jp」の表示があります。
フィッシングサイト:https ://[HOGEHOGE].go.jp.pgrxiy.top?/
正規サイト: https ://[HOGEHOGE].nenkin.go.jp/?
ですが、フィッシングサイトの構造によっては、今回のようにドメインで判断できない場合もあります。
中本:見分けがつかないケースが大半なので、基本的には「見分けよう」とせず、送信元の信頼できないメッセージはスルーするように、安易にリンクをクリックしない・アクセスしないことが一番です。
「個人編」の最終結果は……?
白熱した、情報セキュリティ10大脅威 2023 「個人編」のクイズパート。全5問を終え、栄えある1位に輝いたのは……
練習問題から1位を獲得していた、Nicolaus(ニコラス)さんでした。おめでとうございます!
2.情報セキュリティ10大脅威 2023「組織編」
後半は、情報セキュリティ10大脅威 2023「組織編」に関するセクションとなります。
個人編に続き、まずは土屋氏より「組織」で対策すべき、セキュリティの重大脅威について語られました。
情報セキュリティ10大脅威 2023「組織編」 講演パート
土屋氏:組織編の10大脅威に関しても、個人編と同じく昨年と同じ脅威内容が多くランクインする結果となりました。
1位~3位に選ばれた「ランサムウェアによる被害」「サプライチェーン攻撃」「標的型攻撃」に関しては、脅威として名称は分けているものの、手口としては似ており、明確な区別がつかない部分もあります。
情報セキュリティ10大脅威 2023「組織編」
順位 | 組織 | 前年順位 |
---|---|---|
1位 | ランサムウェアによる被害 | 1位 |
2位 | サプライチェーンの弱点を悪用した攻撃 | 3位 |
3位 | 標的型攻撃による機密情報の窃取 | 2位 |
4位 | 内部不正による情報漏えい | 5位 |
5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4位 |
6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7位 |
7位 | ビジネスメール詐欺による金銭被害 | 8位 |
8位 | 脆弱性対策情報の公開に伴う悪用増加 | 6位 |
9位 | 不注意による情報漏えい等の被害 | 10位 |
10位 | 犯罪のビジネス化(アンダーグラウンドビジネス) | 圏外 |
また、最近ではリモートワークも定着し、VPN機器やリモートデスクトップの脆弱性を狙った犯行も多く見られます。テレワークのセキュリティ対策強化には、情シス部門のルール策定や従業員一人ひとりがルールを順守する意識が大切です。
組織編に関しても、「ソフトウェアの更新」「セキュリティソフトの導入」「パスワードの管理・認証の強化」といった、基本的な対策方法の重要性は今も変わりません。また、昨今ではクラウドサービスの利用も一般的になりつつあるので、クラウド利用を想定した「従来+α」の対策を取ることが重要です。
情報セキュリティ10大脅威 2023「組織編」 クイズパート
「組織編」クイズパート 練習問題の様子
個人編に引き続き、エムオーテックスの中本・西井より「情報セキュリティ10大脅威 2023 組織編」の内容に基づいた、クイズを出題しました。
以下では、当日「組織編」で出題したクイズをピックアップしてご紹介します。
Q2:あなたがパソコンを利用していたら、パソコンの画面に「ウイルス感染した」と?警告メッセージが表示されました。?その時のあなたの対応として、もっとも適切なものはどれですか?
正解は……
「B. ネットワークを切断し、エスカレーションする 」が、選択肢の中で最も適切な対処となります。
西井:組織で端末がウイルス感染した際の対応として、今回の問題では「エスカレーションする」が、最も適切な行動です(エスカレーションとは、問題が発生した際に、組織としてしかるべき部門に相談や指示を仰いだりすること)。
「A. 端末の電源を切る」ですが、もしウイルス感染時に電源を切ってしまうと、原因や影響範囲の調査に影響してしまうため、望ましくありません。
また「C. 自分でウイルスを駆除する」「D. 見なかったことにして業務を続ける」なども被害が拡大する要因となるので、まずはいち早く社内へ報告し、会社の問題として一丸となって対応することが重要です。
ただし、組織によってはそれぞれで取り決めた方法で対応している場合もあるので、?事前に自組織のルールを確認しておきましょう。
Q3:データが暗号化され、金銭を要求されるランサムウェアの被害が?注目を浴びており、事業が停止する事態が発生しています。
ランサムウェア感染時の対策に着目したバックアップに関する対応において、?もっとも対策効果が見込めないものは何でしょうか?
正解は……
「A. オンラインでバックアップを取得する」が、ランサムウェア感染時のバックアップとして、最も不適切な方法です。
西井:弊社でも「ランサムウェアに感染したので助けてほしい」というご連絡を、お客様からよくいただきます。その際、多くの企業がおっしゃるのが「データが暗号化され、事業が継続できない」ということです。
そもそも「データのバックアップを取得していなかった」というケースが多い一方、企業様の中には「オンラインでバックアップしていたため、バックアップしたデータまで暗号化されてしまった」という場合も少なくありません。
ランサムウェアの感染対策として、オンラインでのバックアップと併用して、オフラインで定期的にバックアップを取得し、保管しておくことが重用となります。また、いざというときのために、手順書の作成や復旧テストを事前に実施しておくことも、併せて必要と考えています。
また、攻撃者はデータの復旧と引き換えに身代金を要求しますが、対処法として「身代金の支払い」はおすすめできません。「復号できる保証がない」ことに加え「攻撃者に支払う体質の企業と思われ、再攻撃のターゲットになる」可能性があります。?
参考:ランサムウェア攻撃 身代金を支払った組織の8割が再被害との調査結果
こういった事態を回避するためにも、日頃からバックアップに関する、取得方法の見直しや準備を行ってほしいと思います。
「組織向け 10大脅威」クイズパート、栄えある優勝者は……?
「個人編」に引き続き、非常に盛り上がった「組織編」。優勝者は「Ginji」さんでした。おめでとうございます!
会場・オフライン共に、参加者の皆さんが楽しみながら回答してくださっている様子が印象的でした。これにて「クイズパート」は終了し、皆さんからの質疑応答へ移ります。
様々な角度で質問があがった、FAQパート
土屋氏(写真中央)・エムオーテックスの中本(写真左)・西井(写真右)
FAQパートでは、講義を担当された土屋氏・エムオーテックスの中本・西井の3名が、皆様からの質問にお答えしました。 。
会場・オンラインを問わず、参加者の皆様から質問を募集したところ
「自社のセキュリティ対策を強化したいが、十分な予算が確保できない。社内理解を得るためには、どうすれば良いか?」
「近年、チャットGPTやAIツールの活用が注目されているが、それらを悪用したセキュリティ犯罪に対する心構えを教えてほしい」
など、さまざまな角度から相談が集まりました。
皆さんのサイバーセキュリティに関する「関心の高さ」がうかがえたと同時に、一般の方が「どういった分野に悩みや関心を抱いているか」に触れる、良い機会となりました。
それぞれの立場で、日頃からサイバーセキュリティの情報収集をすることが大切
2時間40分が ”あっという間”に感じられた、情報セキュリティセミナー in 大阪。「情報セキュリティ10大脅威 2023」に基づき、近年のサイバー攻撃の特性を扱った講演は、サイバーセキュリティへの理解を深めるきっかけになったのではないでしょうか。
サイバー攻撃は日々、新しい手口が生まれており、その脅威性や巧妙さも日を追うごとに高まっています。ニュースでは、大手企業や病院の被害ばかりが注目されがちですが、実際は中小企業や小規模組織・個人の被害も数多く報告されています。
深刻な被害に遭わないためにも、それぞれの立場で、日頃からサイバーセキュリティに関する情報収集を行い、準備や対策を行う意識が大切です。
当日配布されたパンフレットと、エムオーテックスのマスコット「バンニャ」
エムオーテックスでは、皆さんのサイバーセキュリティに関する認知や正しい知識習得を支援するため、引き続き今回のような活動を行っていきます。