彼を知り己を知れば百戦殆からず　ネットを介する悪意のある攻撃トップ10はこれだ！

　情報処理推進機構（IPA）は2月6日、「情報セキュリティ10大脅威 2015」を発表した。これは、2014年に起きたインターネット関連の事件や事故の中から、影響の多い順に選んだもの。自分だけは被害に遭わないとか、大丈夫とか思っていても、思わぬタイミングで引っかかってしまうもの。どんな事件が起きているのかを知っておけば、いざという時に被害を回避できる可能性が高まる。まずは、悪意のある輩たちの手段をチェックしてみよう。

　第1位は「オンラインバンキングやクレジットカード情報の不正利用」。やはり、現金を盗むことができるので、ネット銀行やクレジットカードは狙われる。IDやパスワードに加え、セキュリティコードなどは自分でしっかり管理すること。また、最も多いのが、偽装サイトを用意し、DMを送ってくるケース。残高のチェックやパスワードの変更など、もっともらしい理由を付けて、偽のサイトにログインさせてIDやパスワードを盗むのだ。偽装サイトを見破るには、URLをチェックしたり、暗号化通信を行っていることを示す鍵のアイコンを確認するという手法がある。しかし、最新のウイルスは高度な手法で、これらも偽装する。日ごろからセキュリティソフトをきちんと運用していることが重要だ。

　第2位は、内部不正による情報漏えい。企業の経営者にとっては頭痛の種だが、ITの運用ポリシーをきちんと決めて、重要なデータを運用する必要がある。ユーザーは手軽にアクセスできて、お金になりそうなデータでも盗んだり売ったりしてはいけない。莫大な損害賠償請求や窃盗罪・横領罪・不正アクセス罪といった刑事責任を問われるなど、想像以上のリスクを負うことになる。

　第3位は「標的型攻撃による諜報活動」。特定の組織を狙ってウイルスを仕込んだURLが書かれたメールを送信し、不正アクセスしようとするものだ。映画みたいな内容だが、2013年の調査では、約2割の企業がこの攻撃を受け、その3割が実被害に遭っている。

　第4位は「ウェブサービスへの不正ログイン」。この対策は、本連載で何度も伝えているように、自分のアカウント情報はきちんと管理・運用すること。IDやパスワードの使い回しなど、もってのほかだ。

　第5位の「ウェブサービスからの顧客情報の窃取」は、ユーザーとしての対応策はない。とはいえ、IDとパスワードを使い回していなければ、万一漏えいしても、他のサービスに不正アクセスされるようなことはないので、被害は抑えられる。

　第6位「ハッカー集団によるサイバーテロ」や、第7位の「ウェブサイトの改ざん」は、個人が標的にされることはほとんどないので、企業のセキュリティ部門の問題。