2018年10月のIT総括

2018年10月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

標的型メール攻撃の約9割を「ばらまき型」が占めたと警視庁が発表

10月5日、警視庁は、サイバー攻撃などの状況をまとめた「平成30年上半期におけるサイバー空間をめぐる脅威の情勢について」を公開しました。

これによると、この上半期に都内の警察が報告を受けた標的型メール攻撃は2,578件となり、前年同期から1,989件の増加となりました。実在の企業などをかたり不特定多数にメールを送りつける「ばらまき型」の手口が攻撃全体の約87%を占めています。

また、サイバー犯罪の相談受理件数は5,623件と、前年同期比1,757件の減少となりました。都内におけるインターネットバンキングの不正送金事犯は、発生件数は134件、被害額は約1億9,900万円となり、前年同期比で発生件数は8件増加、被害額は約200万円の減少となりました。

標的型メール攻撃の約9割を「ばらまき型」が占めたと警視庁が発表(セキュリティニュース)

ジェムアルトが情報漏洩危険度指数の2018年上半期集計結果を発表

10月9日、セキュリティ企業のジェムアルト社は、グローバルでのデータ漏洩事例のデータベースである「Breach Level Index」(BLI:情報漏洩危険度指数)の2018年上半期の集計結果を発表しました。

これによると、2018年上半期に全世界で発生したデータ漏洩事件は945件、漏洩したデータは45億件と、前年と比べてデータ漏洩事件の件数は減少しているものの、漏洩したデータ件数は133%の増加となっています。

データの漏洩原因のうち最も割合が高かったのが「悪意ある部外者」(56%)で、漏洩したデータの種類は、個人情報が最多でした。漏洩によって盗まれた個人情報の件数は前年と比べて539%の増加となっており、全盗難データ件数の87%強を個人情報が占めています。

ジェムアルトが情報漏洩危険度指数の2018年上半期集計結果を発表 (セキュリティニュース)

「アダルトサイトを閲覧する姿を撮影した」と脅迫する迷惑メールに注意

10月10日、独立行政法人 情報処理推進機構(IPA)は、「安心相談窓口だより」を公開し、性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求する迷惑メールに注意を呼びかけました。2018年7月以降、「アダルトサイトを閲覧しているあなたの姿をWebカメラで撮影した。家族や同僚にばらまかれたくなければ仮想通貨で金銭を支払え」というメールに関する相談が多く寄せられています。

IPAは、メール文中にあるべき映像へのリンクや添付ファイルがないことなどから、単なる迷惑メールの可能性が高いと指摘。受信したメールは無視し、仮想通貨の支払いは行わないことや、メールに記載されていたパスワードを現在も使用している場合は、パスワードを変更するよう呼びかけています。

「アダルトサイトを閲覧する姿を撮影した」と脅迫する迷惑メールに注意(セキュリティニュース)

CrowdStrikeが2018年上半期の「脅威ハンティングの最前線からの考察」を発表

10月11日、米国のセキュリティ企業であるCrowdStrike社は、2018年上半期のサイバー脅威の傾向をまとめた報告書「Observations From the Front Lines of Threat Hunting」(脅威ハンティングの最前線からの考察)を公開しました。

これによると、外部からの不正侵入が多かった分野とその割合は「テクノロジー」(36%)、「プロフェッショナルサービス」(17%)、「ホスピタリティ」(8%)となっています。

そして、脅威のハイライトとして「中国による脅威の増加」「仮想通貨マイニングに関心を抱く電子犯罪者の増加」「バイオテクノロジー業界を標的とする攻撃の増加」「ネット犯罪と国家が関与するサイバー攻撃の違いが曖昧に」といった4つのポイントを挙げています。

CrowdStrikeが2018年上半期の「脅威ハンティングの最前線からの考察」を発表 | セキュリティニュース | 日立ソリューションズの情報セキュリティブログ(セキュリティニュース)

「お使いのAmazon IDがロックされます!」などとAmazonをかたるフィッシングメールに注意喚起

10月19日、フィッシング対策協議会は、Amazonをかたる複数のフィッシングメールが出回っているとして注意を呼びかけました。

これによると、メールの件名は「お使いのAmazon IDがロックされます! サービス番号:」「お使いのAmazon IDがロックされます! [受信者のメールアドレス] 」などとなっており、「セキュリティのリスクがあるため、アカウントが停止された」と、アカウント情報の確認を促す本文の内容となっています。

そして、リンク先の偽サイト(フィッシングサイト)ではメールアドレスやパスワードなどのアカウント情報の入力が促されます。同協議会では、フィッシングサイトでメールアドレスやパスワードなどのアカウント情報、住所やクレジットカード情報などの個人情報を絶対に入力しないよう注意を呼びかけています。

「お使いのAmazon IDがロックされます!」などとAmazonをかたるフィッシングメールに注意喚起(セキュリティニュース)

JIPDECが全国の企業等の常時SSL化の対応状況について調査結果を発表

10月23日、一般財団法人 日本情報経済社会推進協会(JIPDEC)は、全国の企業や団体のWebサイトにおける常時SSL化の対応状況について、調査結果を発表しました。

これによると、国内企業や組織のWebサイトで常時SSLに対応している割合は20.6%でした。業種ごとに見ると、大学(57.0%)が最も高く、銀行(51.2%)、小学校・中学校・高校(42.5%)、旅館・ホテル(39.3%)、通信販売(39.2%)と続いています。

企業や組織の規模で見ると、従業員が1,000人以上では48.8%、300〜1000人で38.1%、100〜300人は28.5%と、従業員が多い組織ほど常時SSL対応が進んでいる傾向にあることがわかりました。

企業のSSL/TLSサーバ証明書の利用状況を踏まえた常時SSL/TLS化の調査結果(JIPDEC)

IPAが「情報セキュリティ対策ベンチマーク」の最新版を公開

10月26日、独立行政法人 情報処理推進機構(IPA)は、「情報セキュリティ対策ベンチマーク」の最新版となる「バージョン4.7」を公開しました。

最新版では、診断の基礎データを最新のデータに入れ替えており、情報セキュリティを巡る環境変化や対策レベルの変化などを勘案し、2010年4月1日にから2018年9月30日までの8年6カ月間に提供された診断データを整理、そのうち6,357件を診断の基礎データとして用いているということです。

「情報セキュリティ対策ベンチマーク バージョン4.7」と「診断の基礎データの統計情報」を公開(IPA)

関連キーワード:

BLI

CrowdStrike

IPA

JIPDEC

サイバー攻撃

ジェムアルト

フィッシングメール

仮想通貨

常時SSL化

情報処理推進機構

情報漏洩危険度指数

日本情報経済社会推進協会

標的型メール攻撃

  • IPAが「情報セキュリティ対策ベンチマーク」の最新版を公開
  • カテゴリートップへ
  • 10月はSMSを悪用し、スマホにマルウェアを感染させる手口に注意を呼びかける