ツール3-2「脅威一覧」 <本付録で紹介する脅威の一覧> 脅威の影響 利用場面 おもな脅威 機 完 可 そ 密 全 用 の 性 性 性 他 ①PC で用いている OS の脆弱性を悪用した攻撃 場面 1 ②業務アプリの脆弱性を悪用した攻撃 PC で会計アプリ、 ③PC で閲覧した外部サイト経由でのマルウェア感染 給与計算アプリ等 の業務アプリを利用 ④ランサムウェアによるデータの喪失または損失の発生 ⑤PC のバックアップを怠ることによるデータの喪失 ● ● ①社内サーバの脆弱性を悪用した攻撃 場面 2 社内サーバで業務 ②業務アプリの脆弱性を悪用した攻撃 ア プ リ 、 フ ァ イ ル 共 ③サーバのバックアップを怠ることによるデータの喪失 有 ④正当なアクセス権限を有する者による内部不正 ● ● ①電子メールサーバの脆弱性を悪用した乗っ取り ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ②ウェブサーバの脆弱性を悪用したホームページ改ざん ● ● 場面 3 独自ドメインで電子 ③DNS サーバの脆弱性を悪用することによる、電子メール用とホー ● ● ● メールとホームペー ムページ用の各サーバのなりすまし ジを利用 ④ドメインの継続手続きを失念することによる、悪意の第三者による ● ドメインの乗っ取り ①スマートデバイスの脆弱性を悪用した攻撃 ● ● 場面 4 ②スパイウェアの機能を隠し持った不正アプリを無害と思い込んでインス スマートデバイスを ● トールしてしまうことによる情報漏えい 業務利用 ③スマートデバイスの紛失・盗難による情報漏えい・なりすまし ● ● ①クラウドサービスの認証情報に安易なパスワードを用いることによるア ● ● ● カウントの乗っ取り ②ファイルの完全性を保証しないクラウドサービスを使いながら、バック 場面 5 アップを怠ることによるファイルの喪失 クラウドサービスで ③国内で管理しなければならないファイルを、運用場所に関する担保のない ファイル共有 クラウドサービス上で共有することによる法令違反 ● ● ● ④特定のクラウドサービスの機能に依存したシステムを構築した結果、当 該クラウドサービスが撤退した場合の移行困難 ● ①銀行を装った詐欺メールを信じてしまい、認証に必要な情報をすべて偽 サイトに入力してしまうことによる、インターネットバンキングアカウント の乗っ取り ● ②正規のインターネットバンキングを装ったフィッシングサイトに正規の認 証情報を入力してしまうことによる、インターネットバンキングアカウント 場面 6 イ ン タ ー ネ ッ ト バ ン の乗っ取り キングを利用 ③マルウェア感染を通じたインターネットバンキングのアカウント情報の 乗っ取り ④不正アプリがインストールされたスマートフォン等からインターネットバン キングを利用することによる、認証情報の漏えいとこれを用いたイン ターネットバンキングアカウントの乗っ取り ● ● ● ● 場面 1:PC で会計アプリ、給与計算アプリ等の業務アプリを利用 1-① PC で用いている OS の脆弱性を悪用した攻撃 ■脅威の概要 PC で用いている OS では、利用されている中で随時脆弱性が発見されてお り、その修復を行うためのソフトウェア(パッチ)が定期的に OS のベンダ から配布されます。パッチは攻撃者にとってもどのような脆弱性があるのか を知る手がかりとなるため、パッチ公表後に対策をしないでいると、攻撃者 にとっての格好のターゲットとなります。 脆弱性を悪用することでどのような攻撃が可能となるかは、脆弱性の種類に よっても様々ですが、過去の被害には次のようなものがあります。 ・PC 内の秘密情報が外部に漏えいする ・PC 内の重要情報が消去される ・他の PC を攻撃するための踏み台として悪用される ・PC が本来の機能を発揮しなくなってしまう ■脅威への対策 PC のアップデート(パッチを適用すること)が必要です。実施忘れを防止 するため、自動的に更新するように設定しておきます。 OS のベンダがパッチを提供するのは、OS の提供開始から一定期間のみで す。パッチの提供期間を過ぎてしまった OS は、脆弱性が発見されても対応 がなされないため、古い OS を利用しないようにします。 場面 1:PC で会計アプリ、給与計算アプリ等の業務アプリを利用 1-② 業務アプリの脆弱性を悪用した攻撃 ■脅威の概要 1-①と同様に業務アプリについても、脆弱性が発見された場合、業務アプ リのベンダから対策のためのパッチが公表されます。 脆弱性を放置した場合、業務アプリを使う権限をもたないはずの外部の攻撃 者が、保存されているデータを閲覧したり、改変や消去したりする恐れがあ ります。 ■脅威への対策 業務アプリのアップデート(パッチを適用すること)が必要です。アップデー トの方法は、業務アプリによって様々であり、アップデートを行うにあたっ てユーザ登録に関する情報が必要となることもあります。 業務の内容によっては、ベンダによるサポートの期限を過ぎても古い業務ア プリを使い続ける必要がある場合があります。このような場合は、業務アプ リをインストールしている PC はその業務アプリ専用とし、電子メールやウェ ブへのアクセスには利用しないようにした上で、あらかじめ許可したアプリ 以外は動作しないようにするセキュリティ対策ソフトウェア1を導入するこ とで、脅威の影響を受けにくくすることができます。 1 こうした機能は一般に「ホワイトリスト型」と呼ばれています。 場面 1:PC で会計アプリ、給与計算アプリ等の業務アプリを利用 1-③ PC で閲覧した外部サイト経由でのマルウェア感染 ■脅威の概要 閲覧するだけでマルウェアに感染するように改ざんされたオンラインショッ プ等のウェブサイトにアクセスすることで、閲覧した PC がマルウェアに感 染します。いわゆる「怪しいウェブサイト」にアクセスしなくても感染の恐 れがある点で注意が必要です。 マルウェア感染後にどのような被害が生じるかについては、マルウェアの種 類のよって異なりますが、感染した PC で扱われていた情報が外部に漏えい したり、他のサーバ等を攻撃する際の踏み台として利用されたりすることが あります。 ■脅威への対策 ウイルス対策ソフトを導入及び更新しておくと、ウェブサイトにアクセスし、 マルウェアがインストールされそうになった場合に防ぐことができる場合が あります。 上述の通り、どのウェブサイトでも感染の可能性はあるため、重要なデータ を扱う PC では社外のウェブサイトにアクセスしないなど、複数の PC を使 い分けることで脅威の影響を受けにくくすることができます。 場面 1:PC で会計アプリ、給与計算アプリ等の業務アプリを利用 1-④ ランサムウェアによるデータの喪失または損失の発生 ■脅威の概要 ランサムウェアとは、感染した PC に保存されているファイルを外部に流出 させるのではなく、暗号化してしまうマルウェアのことを言います。攻撃者 は、ファイルを復号するための暗号鍵を提供する見返りとして金銭を得るこ とによって目的を達成します。 ランサムウェアの感染経路は他のマルウェアと同様、発信者を詐称した電子 メール、正規のウェブサイトの改ざんなどによって行われます。 ■脅威への対策 通常のマルウェア対策(ウイルス対策ソフトウェアの導入と更新、不審な電 子メールへの留意、重要な文書を扱う PC で業務上不要なウェブサイトにア クセスしない等)を講じると同時に、重要な文書のバックアップを行ってお くことが重要です。 書き換えができない電子媒体(CD-R や DVD-R 等)に保存したり、バック アップ用の記録媒体(USB メモリ、外付けハードディスク等)をふだん PC に接続しておかないようにしたりすることで、ランサムウェアに感染しても 実害が生じないようにすることができます。 場面 1:PC で会計アプリ、給与計算アプリ等の業務アプリを利用 1-⑤ PC のバックアップを怠ることによるデータの喪失 ■脅威の概要 悪意の攻撃者が介在しなくても、機器の故障や老朽化、自然災害等で PC に 保存されていたデータが読めなくなることがあります。また、過失により重 要なデータを削除してしまったり、別のデータで上書きしてしまったりする ことで、同様にデータを失うことがあります。 ■脅威への対策 ランサムウェアへの対策と同様、重要なデータはバックアップをしておくこ とが重要です。 バックアップの方法によって利便性や効果が異なるため、下表を参考に目的 に応じて最適な方法を選びます。 バックアップ方法 操作を自動化 できるか 脅威に対する効果 故障 自然災害 誤操作 ランサムウェア 常時 自動実施 高 低 低 低 クラウドサービスへの 隔地保存 容易 高 高 中 中 USB メモリや外付け 記録装置への保存 困難 高 中 高 高 PC や NAS での ミラーリング (注)NAS: Network Attached Storage(ネットワークに直接接続する記録装置) 場面 2:社内サーバで業務アプリ、ファイル共有 2-① 社内サーバの脆弱性を悪用した攻撃 ■脅威の概要 サーバで用いられる OS でも、PC と同様に脆弱性が発見され、その修復を 行うためのソフトウェア(パッチ)が定期的に OS のベンダから配布されま す。パッチは攻撃者にとってもどのような脆弱性があるのかを知る手がかり となるため、パッチ公表後に対策をしないでいると、攻撃者にとっての格好 のターゲットとなります。 脆弱性を悪用することでどのような攻撃が可能となるかは、脆弱性の種類に よっても様々ですが、過去の被害には次のようなものがあります。 ・サーバ内の秘密情報が外部に漏えいする ・サーバ内の重要情報が消去される ・他のサーバを攻撃するための踏み台として悪用される ・サーバが本来の機能を提供しなくなってしまう ■脅威への対策 サーバ用 OS のアップデート(パッチを適用すること)が必要です。ただし、 アップデートすることでサーバ上のソフトウェアが正しく動作しなくなる可 能性があります。可能であればサーバとして利用しているハードウェア・ソ フトウェアと同じ構成の検証環境を用意し、問題がないことを確認すると確 実です。 場面 2:社内サーバで業務アプリ、ファイル共有 2-② サーバで利用するソフトウェアの脆弱性を悪用した攻撃 ■脅威の概要 サーバで利用するソフトウェアの脆弱性を悪用することで、攻撃者は本来で あれば入手できないはずのサーバ上の秘密情報を得ることができます。 ■脅威への対策 利用しているソフトウェア製品の脆弱性対策等が公開されたら、即座の対応 が必要です。ただし、サーバに組込まれているソフトウェア製品の場合は修 正によって不具合が生じる可能性があります。事前にサーバへの影響を確認 し、対策の実施の判断を行ってください。不具合等を確認した場合は、代替 策を検討してください。 社内サーバが外部からのアクセスを必要としない場合、サーバやネットワー ク上の設定により、外部からのアクセスを拒否することで、攻撃の影響を受 けにくくすることができます。 場面 2:社内サーバで業務アプリ、ファイル共有 2-③ サーバのバックアップを怠ることによるデータの喪失 ■脅威の概要 悪意の攻撃者が介在しなくても、機器の故障や老朽化、自然災害等でサーバ に保存されていたデータが読めなくなることがあります。また、過失により 重要なデータを削除してしまったり、別のデータで上書きしてしまったりす ることで、同様にデータを失うことがあります。 ■脅威への対策 バックアップを行います。社内にサーバを設置している場合、バックアップ 用の外付けハードディスクを複数台用意し、順番に使うようにすると仮にバッ クアップが途中で失敗した場合でも被害が最小限で済みます。 クラウドサービスの中には、バックアップを自動で行う機能を提供している ものもあるので、そうしたサービスを選ぶことでバックアップの手間を省く ことも可能です。 場面 2:社内サーバで業務アプリ、ファイル共有 2-⑤ 正当なアクセス権限を有する者による内部不正 ■脅威の概要 重要情報が保存されているシステムのアクセス権限を有する従業員が悪意を 持つと、正当な権限を用いて情報を窃取できてしまいます。 内部不正の目的としては、金銭や復讐等の悪意だけでなく、自宅で業務を進 めようとしてルール違反を承知で秘密情報を持ち出すケースも含まれます。 ■脅威への対策 内部不正を防止するには、次の状況的犯罪予防の考え方が参考になります。 ・犯行を難しくする(やりにくくする) ・捕まるリスクを高める(やると見つかる) ・犯行の見返りを減らす(割に合わない) ・犯行の誘因を減らす(その気にさせない) ・犯行の弁明をさせない(言い訳させない) 具体的な対策としては、情報の重要度に応じたアクセス権限の設定や離職者 のアクセス権の抹消等、厳格な管理と監視を継続的に行う必要があります。 詳しくは、IPA で公表している「組織における内部不正防止ガイドライン」 (付録 4 で紹介)を参照してください。 場面 3:独自ドメインで電子メールとホームページを利用 3-① 電子メールサーバの脆弱性を悪用した乗っ取り ■脅威の概要 自社の電子メールサービスを提供しているサーバの OS や、サーバ上で動作 している電子メールサービスその他のソフトウェアの脆弱性を悪用すること で、サーバが攻撃者に乗っ取られた状態になります。 この結果、攻撃者は電子メールの内容を見るだけでなく、内容の改ざん、な りすましによる送信などが行えるようになります。 ■脅威への対策 電子メールサーバで用いている OS やソフトウェアにパッチが提供されたら、 できるだけすみやかにサーバに適用するようにします。 電子メールサーバとしての安定的な運用を重視する場合、ウェブサーバや DNS サーバなどと併用せず、電子メールサーバ専用で用いるようにするこ とで、脅威の影響を受けにくくすることが可能です。 場面 3:独自ドメインで電子メールとホームページを利用 3-② ウェブサーバの脆弱性を悪用したホームページ改ざん ■脅威の概要 自社のウェブサーバ用の OS や、サーバ上で動作しているウェブ用その他の ソフトウェアの脆弱性を悪用することで、サーバが攻撃者に乗っ取られた状 態になります。 この結果、攻撃者はウェブの内容を改ざんしたり、自社のウェブにアクセス してきた人から送られてきた情報を見たりすることができるようになります。 ■脅威への対策 ウェブサーバで用いている OS やソフトウェアにパッチが提供されたら、で きるだけすみやかにサーバに適用するようにします。 ウェブサーバは外部に公開する必要があることもあって、外部からの攻撃を 受けやすいため、インターネットにおいて標準的に利用されている OS やソ フトウェアのみを用いて構築しておくと、パッチが提供された時点で迅速に 適用できるなど、多くの利点があります。 場面 3:独自ドメインで電子メールとホームページを利用 3-③ DNS サーバの脆弱性を悪用することによる、電子メール用とホームペー ジ用の各サーバのなりすまし ■脅威の概要 自社のドメインに関する情報を提供している DNS サーバの OS や、DNS サー バ上で動作しているソフトウェアの脆弱性を悪用することで、サーバが攻撃 者に乗っ取られた状態になります。 この結果、攻撃者は偽の電子メールサーバやウェブサーバを、本物のサーバ に見せかけることが可能となるため、自社のホームページが改ざんされたの と同様の状態になるほか、外部からの電子メールが届かなくなります。 ■脅威への対策 DNS メールサーバで用いている OS やソフトウェアにパッチが提供された ら、できるだけすみやかにサーバに適用するようにします。 DNS サーバとしての安定的な運用を重視する場合、ウェブサーバや電子サー バなどと併用せず、DNS サーバ専用で用いるようにすることで、脅威の影 響を受けにくくすることが可能です。 場面 3:独自ドメインで電子メールとホームページを利用 3-④ ドメインの継続手続きを失念することによる、悪意の第三者によるドメ インの乗っ取り ■脅威の概要 企業等が用いているドメイン(example.co.jp や example.com 等)はドメイ ンの管理機関と契約している間のみ有効なものであり、定期的に利用継続の 手続きが必要です。この手続きを怠ると、契約失効後に悪意の第三者がその ドメインを取得し、元の利用者になりすましたホームページを公開すること で、誤解した一般の利用者に偽の情報を提供したり、マルウェアを配布した りすることが可能となってしまいます。 自社の電子メール用に用いているドメインの継続失念は考えにくいと思われ ますが、キャンペーン等で取得したドメインの場合、キャンペーン終了後に こうした状況が成立する可能性があります。 ■脅威への対策 いったん取得したドメインを手放すと上述の問題が生ずるため、可能であれ ばずっと自社で保有し続けることが望ましいといえます。特に、印刷物等に URL が掲載されている場合は、数年後であってもアクセスしてくる利用者 がいる可能性があります。 やむを得ない事情で手放す場合、契約期限まで通常のホームページを公開し ているとこうした問題が生じやすいため、十分な期間にわたって「このペー ジは終了しました」などのメッセージを掲示しておくことで、アクセスして きた人が誤解をしないように配慮します。 場面 4:スマートデバイスを業務利用 4-① スマートデバイスの脆弱性を悪用した攻撃 ■脅威の概要 スマートフォンやタブレット端末等のスマートデバイスでは、PC よりもお おむね高い頻度で OS やアプリのアップデートが行われています。攻撃者は アップデートの内容を分析することで、どのような脆弱性があったのかを知 ることができるため、 アップデートを行わずに放置していると、攻撃者にとっ て格好のターゲットとなり、情報漏えいやなりすましなどが行われる危険性 が高まります。 ■脅威への対策 アップデートが公開された旨が通知されたら、できるだけ早く適用するよう にします。何らかの事情で直ちにアップデートできない場合は、アップデー トするまでの間、外部ホームページへのアクセスは極力行わないようにした ほうが安全です。 場面 4:スマートデバイスを業務利用 4-② スパイウェアの機能を隠し持った不正アプリを無害と思い込んでインス トールしてしまうことによる情報漏えい ■脅威の概要 スマートデバイス用のアプリは、スマートデバイスの OS を提供しているベ ンダが提供している公式マーケットからインストールするのが安全と言われ ています。しかしながら、公式マーケットに悪意あるアプリが紛れ込む事例 が発生しており、こうした悪意あるアプリにより、スマートフォンや個人用 のクラウドサービスに保存された情報が搾取される恐れがあります。 ■脅威への対策 業務で利用するスマートデバイスには、業務上必要なアプリのみをインストー ルするようにします。また、こうしたアプリはなるべく信頼できるベンダに よって提供され、多くの人が利用していているものに限るようにするのが望 ましいでしょう。 場面 4:スマートデバイスを業務利用 4-③ スマートデバイスの紛失・盗難による情報漏えい・なりすまし ■脅威の概要 業務で用いているスマートデバイスを紛失したり、盗難にあったりすること で、スマートフォンに保存されていたり、スマートフォンからアクセス可能 な情報が悪意の第三者に漏えいする可能性があります。 スマートフォンに自社システムや、外部クラウドサービスの認証情報が保存 されている場合は、そうしたシステムやサービスへの不正アクセスのきっか けとなる恐れもあります。 ■脅威への対策 スマートデバイスのセキュリティ機能を利用し、パスワード、ジェスチャー またはバイオメトリクス情報(指紋、顔認証等)が持ち主のものと一致しな いと操作できないように設定しておきます。 スマートデバイスを業務で利用する場合、スマートデバイスの付加サービス として提供されている、「紛失時のデータ消去サービス」等を契約しておく ことで、情報漏えいが生じる可能性を抑制することが可能です。ただし、ス マートデバイスが悪意の第三者の手元にある場合、電波の届かない場所で使 えばデータ消去は行われないため、万全の効果があるとは言えません。 場面 5:クラウドサービスでファイル共有 5-① クラウドサービスの認証情報に安易なパスワードを用いることによるア カウントの乗っ取り ■脅威の概要 クラウドサービスへのログインに安易なパスワードを用いていると、悪意の 第三者に推定されることで、不正ログインを許してしまうことにつながりま す。この結果、クラウドサービス上で共有しているファイルの内容が外部に 漏えいする恐れがあります。また、クラウドサービスを違法な情報の保存場 所として利用されるなど悪用の危険性もあります。 ■脅威への対策 クラウドサービスに限らず、パスワードには安易な言葉(password, 12345678, 自分の名前やニックネーム等)を使わないようにします。 同様に、他のサービスで用いているパスワードの使い回しも避けます。これ は、他のサービスに脆弱性があることでパスワードが外部に漏えいしたよう な場合に、連鎖的に攻撃が成功するのを防ぐためです。 場面 5:クラウドサービスでファイル共有 5-② ファイルの完全性を保証しないクラウドサービスを使いながら、バック アップを怠ることによるファイルの喪失 ■脅威の概要 クラウドサービスの中には、クラウドに保存しているデータについてバック アップを行っているものと、利用者の自己管理に委ねているものの両方があ ります。このとき、後者のサービスにおいて事故が発生し、ファイルの喪失 や一部欠損等が発生しても補償等は行われません。これはそれぞれのサービ スを申し込む際の契約内容に示されており、利用者は同意したことが前提と なっています。こうした前提に対する自覚がない場合、データが失われて初 めて問題を認識することになりかねません。 ■脅威への対策 クラウドサービスをファイルのやりとりの手段としてのみ用いる場合などで はバックアップの必要はないため、常にバックアップが行われるサービスの ほうがよいとは限りません。利用者はクラウドの利用目的とサービス内容、 費用の三者のバランスを考慮してサービスを選定する必要があります。 場面 5:クラウドサービスでファイル共有 5-③ 国内で管理しなければならないファイルを、運用場所に関する担保のな いクラウドサービス上で共有することによる法令違反 ■脅威の概要 グローバルに運用されているクラウドサービスの場合、利用者が保存したデー タの実態がどの国に設置されたサーバにあるのかを特定できない場合があり ます。このとき、データの内容が外国為替及び外国貿易法(外為法)に基づ く安全保障貿易管理における「機微な技術情報」とみなされる場合や、海外 の第三者への提供に関して本人の同意を得ていない個人情報の場合、クラウ ドの管理方法によっては違法となる場合があります。 ■脅威への対策 海外での保存が違法となる可能性があるデータを扱う場合、国内のサーバ上 に保存することが保証されているサービスを選定することが安全です。 上述した例以外でも、サービス利用上の紛争が生じた場合に海外の裁判所で 裁判を行う必要があるケースや、海外の機関によるデータの閲覧が利用者へ の連絡無しに行われるケースもあるため、そうした条件が問題になるおそれ はないかを事前に検討する必要があります。 場面 5:クラウドサービスでファイル共有 5-④ 特定のクラウドサービスの機能に依存したシステムを構築した結果、当 該クラウドサービスが撤退した場合の移行困難 ■脅威の概要 ある特定のクラウドサービスのみが提供している機能を用いてシステムを構 築してしまうと、他のサービスへの移行が困難になります2。そうした状況 の中で当該クラウドサービスが撤退を決めた場合、他のサービス向けのシス テムを再構築する費用が確保できなければ、システムが提供する機能を維持 することが困難になってしまいます。 ■脅威への対策 特定のクラウドサービスのみが提供する機能を用いてシステムを構築するこ とに合理的な理由があれば、そうした方針自体には問題はありませんが、当 該サービスが撤退する場合に備えた準備をしておくことは必要です。 一般的には、より優れた技術やサービスが後から提供される可能性が高いこ とから、システムの仕様は特定のサービスに過度に依存するのではなく、移 行を想定した構成としておくことが望ましいと言えます。 2 こうした状況のことを「ベンダーロックイン」と呼びます。 場面 6:インターネットバンキングを利用 6-① 銀行を装った詐欺メールを信じてしまい、認証に必要な情報をすべて偽 サイトに入力してしまうことによる、インターネットバンキングアカウントの 乗っ取り ■脅威の概要 攻撃者はインターネットバンキングの利用者に対し、銀行を装って「システ ムトラブルが生じたため、利用者全員に期日までに確認していただく必要が 生じました。ついては次の URL をクリックして確認ページにアクセスし、 正しい認証情報を入力してください」といって偽サイトに誘導します。それ を信じた利用者が認証に必要な情報を入力してしまうことで、攻撃者が利用 者になりすまして不正送金等を行うことが可能となります。 ■脅威への対策 仮にどんなシステムトラブルが生じても、銀行が電子メールで利用者に認証 情報の入力を要求することはありません。本当に認証関連のシステムトラブ ルであれば、既存の認証情報を破棄して、新たな認証情報を利用者が登録し ている正規の住所に郵送するなどの方法をとるものと考えられます。 利用者は、こうした詐欺行為が行われていることを認知し、冷静に対処(こ の場合は当該電子メールを無視)することが必要です。 場面 6:インターネットバンキングを利用 6-② 正規のインターネットバンキングを装ったフィッシングサイトに正規の 認証情報を入力してしまうことによる、インターネットバンキングアカウント の乗っ取り ■脅威の概要 6-①に似ていますが、詐欺のための特別なページを作るのではなく、正規 のインターネットバンキングの画面にそっくりな偽ページを用意し、それを 正しいページと信じてログインした利用者の認証情報を不正に取得すること で、利用者になりますまして不正送金を行います。 巧妙な偽ページの場合、攻撃者は入力された情報をもとに実際のインターネッ トバンキングの取引を行い、その結果を利用者に還元するため、利用者は偽 サイトを利用したことを全く自覚できないこともあります。 ■脅威への対策 インターネットバンキングにアクセスする際は、ウェブサイト上のリンクを クリックするのではなく、あらかじめ自分で登録したブックマーク等を用い て URL を指定するようにします。 一部のインターネットバンキングで提供されているワンタイムパスワードに よる認証方式を用いると、マルウェアを通じてアカウント情報を窃取されて も同じパスワードを用いたログインができないため被害を生ずることがあり ません。 フィッシング対策機能を備えたウイルス対策ソフトウェアの中には、こうし た偽サイトにアクセスしようとすると警告を出すものもあります。 場面 6:インターネットバンキングを利用 6-③ マルウェア感染を通じたインターネットバンキングのアカウントの乗っ 取り ■脅威の概要 攻撃対象となる PC 等に何らかの方法でマルウェアを感染させ、そのマルウェ アを通じてインターネットバンキングのアカウントを窃取します。 巧妙なマルウェアの場合、利用者はマルウェアに感染した事実に気付くこと はなく、不正送金などで損失が生じてはじめて認識することになります。 ■脅威への対策 一部のインターネットバンキングで提供されているワンタイムパスワードに よる認証方式を用いると、マルウェアを通じてアカウント情報を窃取されて も同じパスワードを用いたログインができないため被害を生ずることがあり ません。 インターネットバンキングにおける取引履歴を確認し、身に覚えのない取引 があればこうした感染の可能性を疑います。 場面 6:インターネットバンキングを利用 6-④ 不正アプリがインストールされたスマートデバイスからインターネット バンキングを利用することによる、認証情報の漏えいとこれを用いたインター ネットバンキングアカウントの乗っ取り ■脅威の概要 通常のインターネットバンキングの場合、利用者が操作する端末と銀行との 間は暗号化されているため、途中の経路上で認証情報を窃取することは不可 能です。一方、利用者が操作する端末内では、何らかの形で入力された内容 を把握することができれば乗っ取りに用いることができます。 スマートデバイス用の不正アプリとしては様々な形態が想定されます。かつ て仮名漢字変換として公開されていたアプリが入力された情報を外部のサー バに送信していることが問題視されましたが、こうしたアプリでも不正に用 いることは可能です。 ■脅威への対策 4-②の対策と共通しますが、インターネットバンキングに用いるスマート デバイスには、業務上必要なアプリのみをインストールするようにします。 また、こうしたアプリはなるべく信頼できるベンダによって提供され、多く の人が利用していているものに限るようにするのが望ましいでしょう。
© Copyright 2024 ExpyDoc
