こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
IPAは、昨年に発生した脅威をもとにした「情報セキュリティ10大脅威 2023」を発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】情報セキュリティの10大脅威が発表されています。昨年の10大脅威と比較して、新しく追加された脅威の内容や対策について説明します。
今回の発表は、前年に発生した脅威からIPAが候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。組織、個人ともに9位までの脅威は昨年と順位が入れ替わっただけとなっています。
組織を対象とする脅威では、3年連続でランサムウェアが1位となりました。また、個人を対象とする脅威では、2年連続でフィッシングが1位となり、2位から5位も昨年と同じ順位となりました。
IPAでは、多岐にわたる脅威に対して共通する対策をまとめて具体的に解説する「共通対策」を新たに作成し、2月下旬に公開するとしています。また、共通対策には、今回10大脅威にランクインした各脅威の手口、傾向や対策などの詳しい解説も記載されるということです。
ワンクリック請求と思われるリンクをクリックしてしまった場合の対策として、速やかにブラウザを閉じるかパソコンを再起動することが必要です。それでも請求ページが表示される場合は、請求に対しては一切応じない姿勢が必要です。
クリックしただけで一方的に請求されるワンクリック請求が10大脅威にもランクインしています。Webサイトを開いたり、入り口となるリンクをクリックしただけで、利用料金を請求されるものです。Webサイトにアクセスしているパソコンに関する情報を表示して、あたかも個人情報が窃取されたかのように装うことで、ユーザに支払いを脅迫する事例も確認されています。
誤ってワンクリック請求のリンクをクリックしてしまったら、速やかにブラウザを閉じることが必要です。ブラウザを閉じようとしても閉じられなかったり、繰り返しWebサイトが表示されるようであれば、パソコンを再起動することも検討しましょう。
どのような状況であれ、請求に対しては一切応じない姿勢が必要です。ワンクリック請求は電子消費者契約法や特定商取引法などに抵触しており、ワンクリックでは契約が成立しないため、料金の支払い義務は発生しないということです。それでも不安な際や、万が一、お金を支払ってしまった場合は、国民生活センターや警察などに相談しましょう。
ランサムウェアの四重脅迫とは、データの暗号化と情報の暴露による二重脅迫に加え、DDoS攻撃や被害者の周囲へ連絡するとさらに脅す手口です。
10大脅威でも3年連続1位となり、セキュラジでも繰り返しお伝えしてきたランサムウェアの被害が後を絶ちません。ランサムウェアの目的は被害者から身代金を窃取することですが、その目的を達成するための様々な手口が確認されています。その一つとして、データの暗号化のみならず窃取した情報を公開すると脅す「二重脅迫」に加え、DDoS攻撃を仕掛ける、被害者の顧客や利害関係者へ連絡するとさらに脅す「四重脅迫」が新たな手口として挙げられています。ランサムウェアの被害者に対して、データ損失や業務停止による経済的なダメージだけでなく、情報漏洩や利害関係者への通知による社会的なダメージも負わせ、より強く身代金の請求を迫ることを目的としています。
なお、ランサムウェアの感染経路は多岐に渡るため、基本的な対策を確実かつ多層的に適用することが重要です。具体的には、ウイルス対策、不正アクセス対策、脆弱性対策などが挙げられます。また、バックアップの取得や復旧計画を策定するといった、攻撃を受けることを想定した事前の準備も重要です。万が一、ランサムウェアに感染してしまった場合も、反社会勢力に資金を提供することになるため、身代金の支払いには応じるべきではないとされています。
今回は、昨年の10大脅威と比較して、新しく追加された脅威の内容や対策についてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ