 |
 |
記事検索 |
イベントレポート |
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
巧妙化するウイルスやフィッシング詐欺に求められるシステム的対策 |
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
東京・有明の東京ビッグサイトで開催された「NET&COM 2005」では4日、「企業を守るための情報セキュリティ対策」と題したセキュリティ対策に関するセミナーが行なわれた。 ● 今後は情報漏洩型のウイルスに要注意
石井氏は、IPA/ISECに届出のあったウイルスの状況を紹介。2004年の届出総数は52,151件の届出と過去最大だったものの、そのうち被害にあったケースは全体の0.5%で、被害に遭う割合は減少しているという。これについて石井氏は、企業がゲートウェイ型のウイルス対策製品を用いるなど「ウイルスの水際対策」が実施されるようになり、報告が増える一方で実際に被害に遭うケースは少なくなってきているとした。しかし、一方では会社内に持ち込まれたノートPCなどから社内にウイルスが感染する例も多く、ゲートウェイだけではウイルス対策としては十分ではないと注意を呼びかけた。 ウイルスの変遷としては、1998年には届出のあったウイルスのうち77.4%がマクロウイルスとなっていたが、2000年にはメールを悪用するものが全体の60.2%となり、2004年にはセキュリティホールを悪用するものが全体の78.7%となるなどウイルスの手口は常に変化しており、ウイルスへの対策も常に新しいものに備えていかなければならないという現状を示した。 石井氏は今後注意が必要なウイルスとしては、情報漏洩を引き起こすタイプのウイルスが大きな問題になるのではないかという見解を示した。情報漏洩を引き起こすウイルスとしては、これまでにもローカルディスク内の任意のファイルを外部に送信するウイルスや、キー入力の内容を外部に送信するウイルスなどが確認されているが、今後はさらにフィッシング詐欺などを目的としたウイルスが作成されることが予想されるという。また、企業がこうしたウイルスに感染した場合には顧客情報の漏洩など企業の信用問題にもつながるため、ウイルス対策の重要性がますます高まっているとした。 一方、IPA/ISECが実施したアンケート調査では、2003年では8.3%の企業がウイルス対策ソフトを導入していないと回答するなど、依然としてウイルス対策が十分ではない現状もあるとした。石井氏は、ウイルス対策ソフトの導入、定義ファイルの定期的なアップデート、セキュリティパッチの適用といった基本的な対策でほとんどのウイルス感染は防げるとして、こうした対策の徹底を引き続き呼びかけていきたいとした。 ● 進化を続けるフィッシング詐欺にはシステム的な対策を
フィッシング詐欺は海外では大きな社会問題となっており、米Gartnerの調査では1年間の被害総額が24億ドル(約2,470億円)にも上るなど、巨額の被害が発生しているという。一方、国内ではこれまでこうした被害は確認されてこなかったが、2004年11月には国内初のフィッシング詐欺被害(数十万円)が確認され、また多くの銀行やカード会社などがフィッシング詐欺メールについての警告を発するなど、日本語による日本人をターゲットとしたフィッシング詐欺が急増しているという現状を紹介した。 こうしたフィッシング詐欺は、実際に金銭を騙し取られた被害者だけでなく、会社名を騙られた企業の側も顧客からの苦情や問い合わせなどの対応を余儀なくされるため、こうした業務にかかる費用が被害として発生してしまうという。また、金銭的な被害だけでなく、企業の社会的な信用を失墜させるという部分も大きく、フィッシング詐欺が社会的な現象になればインターネット取引全体の信用が低下してしまうとして、フィッシング詐欺対策は業界全体や政府などのレベルでの取り組みが急務であるとした。 フィッシング詐欺は、メールを大量に送信するスパムの技術や、メールの差出人や詐欺サイトを本物に見せかけるスプーフィング技術、Webサーバーを乗っ取って詐欺サイトを構築するハッキング技術など、さまざまなテクニックが駆使されている。また、ウイルス作者の多くは技術力を誇示したい愉快犯であるのに対して、フィッシング詐欺は犯罪のプロによる金銭目的の犯行で、日本で大きな問題となっている振り込め詐欺や架空請求などと同様に、フィッシング詐欺の手口も日々進化しているという。 こうしたフィッシング詐欺に対しては、ユーザーのセキュリティ意識の向上が必須であるとして、メール内のリンクをむやみにクリックしない、個人情報をメールで送信しない、Webブラウザに最新のパッチを当てる、サーバー証明書で本物のサイトかどうかをチェックするといった個人で対策可能な自衛手段を広めていくことが必要であるとした。 また、セキュアブレインでは、フィッシング詐欺対策として「PhishWall」を開発。Webブラウザにクライアントとなるツールバーを導入し、サーバー間と通信を行なうことでWebサイトが本物であることを証明する仕組みとなっている。星澤氏は、ユーザーのフィッシング詐欺に対する意識の向上は必須であるとしながらも、すべてのユーザーがこうした意識を持つことは事実上不可能であり、今後はユーザーにわかりやすく確実にフィッシング詐欺を防止するシステム的な対策が求められているとした。 関連情報 ■URL 情報処理推進機構セキュリティセンター(IPA/ISEC) http://www.ipa.go.jp/security/ セキュアブレイン http://www.securebrain.co.jp/ NET&COM 2005 http://expo.nikkeibp.co.jp/netcom/ ■関連記事 ・ IPA、2005年1月のウイルス・不正アクセスの届出状況を公表(2005/02/03) ・ セキュアブレイン、フィッシングサイトを“赤信号”で警告する「PhishWall」(2004/11/24)
( 三柳英樹 )
- ページの先頭へ-
|
