“理解せず 「同意」を押して 大失敗”--第6回セキュリティかるた大会 - (page 2)

富永康信 (ロビンソン)

2014-03-14 19:13

 日本国民の多くが自分のパスワードを持つ時代。ある調査では平均20個のサービスに3種類のパスワードを使い分けているそうだが、いまだに自分の誕生日や電話番号などをパスワードに利用している人も多いという。

 武田氏は、「2013年の春から夏にかけてITサービスベンダーやコンテンツプロバイダーなどから数万から数十万件規模のアカウント情報の漏えい事件が毎週のように報じられて、その流れは現在も続いている」と振り返る。

 その裏付けについて、武田氏は電子書籍サービス「eBookJapan」を運営するイーブックイニシアティブジャパンが公開した情報を例に紹介した。それによると779件のアカウントが攻撃され、その半分以上のIDとパスワードが1度目の試行でログインに成功されてしまったという。

 「攻撃されたアカウントのパスワードは、攻撃者がどこからか入手したものだと推定される。気味が悪いのは攻撃者が1つのIDに9個ものパスワードで攻撃していること。もはや3個程度の使い回しでは安心できない」と話す武田氏は、パスワードの漏えいは日常的に起こっており、使用中のパスワードはすでに悪意の第三者の手中にあると思いながらサービスの利用を考えなければならない時代になったという。


送信元のアドレスは簡単になりすましできる

 いまだ脅威となり続けている標的型メール攻撃。ある時、武田氏のもとに「あなたに関する雑誌の記事を書いたので、問題がないか確認していただきたい」という旨のメールが届き、PDFらしきファイルが添付されていたという。しかしそのファイルはPDFを偽装した実行ファイルで、PC内の情報を抜き取るためのバックドアやキーロガーなどを仕掛けるプログラムだったという。

 標的型メール攻撃は、担当者が関心を持ちそうな、見ざるを得ないような文面を装ったメールがピンポイントで個人宛に送られるため、ウイルス対策ソフトでは防げない。

 「実際には、政府の外交関係者や防衛関係者、大学の教員、企業のIT管理部門など、ある属性を持つ人に対して大量に送信される『ばらまき型標的型攻撃』が多い」と武田氏はいう。数万人に送れば、その中の100人ぐらいは騙されて添付ファイルを開いてしまうものらしい。

ばらまき型標的型攻撃の例
ばらまき型標的型攻撃の例

 さらに、「やりとり型標的型攻撃」も登場している。ばらまき型よりもピンポイント型に近いが、プログラムではない人的な作業で真面目な内容のメールを送り、やりとりを繰り返すうちに対象者の警戒心を解き、最後に添付ファイルを送り開かせてしまう手の込んだ攻撃手法だ。この攻撃は世界中で確認され、どこの誰がどんな目的なのか、まだ解明されていないという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]