どうも、みーくんです。
身体が溶けそうになるほど猛暑が続く中、皆さんいかがお過ごしでしょうか。気づけば世の中は8月へ突入し、"盛夏の候"にふさわしい気候になっていますね。引き続き、熱中症には気を付けていきたいものです。
さて、8月1日には本ブログでも取り上げた7payの不正利用事件について、記者会見が開かれました。そこでは、9月30日を持って7payのサービスを廃止することが決定されました。なぜ即時廃止しないのか疑問ではありますが、今回の一件で日本はセキュリティ意識において後進国であることが露呈されましたね。
今回は、何故日本のセキュリティ意識が低いのかについて考察していきたいと思います。
セキュリティ意識の低さとその原因
まずは"セキュリティ意識の低さ"をデータを元に確認していきます。2018年3月9日にネットワーク機器のマーケティング業務を主事業とするA10ネットワークスが世界10ヶ国のIT管理者と社員合計2000人を対象に実施した調査があります。
「DDoS攻撃とボットネットと2要素認証のすべてを知っているか」との質問に対し、「よく知らない」と回答したのは世界平均は32%でした。一方で、日本では50%に及んだのです。
※DDoS攻撃:特定のサイトやサーバに対し、日時を決めて、インターネット上の多数のコンピュータから同時に大量のパケットを送り付けることで標的のネットワークを過負荷状態する分散型のサービス停止攻撃。
※ボットネット:マルウェアへの感染などでボット化し、攻撃者の支配下におかれた状態にあるコンピュータ群のこと。攻撃者は指令サーバを使ってボットネットをコントロールし、遠隔指令で個々のコンピュータを操って攻撃を実行させる。
※2要素認証:パスワードを登録したり変更したりする際、利用者が登録している電話番号宛にSMSを送信し、そこに記載されているURLにアクセスすることで本人確認をする仕組み。
また、「情報漏洩やDDoS攻撃、ランサムウェアの被害を受けたか分かっているか」との質問について「被害にあったか分からない」と回答したIT管理者は、種類ごとに以下の結果となりました。
①情報漏洩
世界平均:10%
日本:15%
②DDoS攻撃
世界平均:9%
日本:22%
③ランサムウェア
世界平均:8%
日本:18%
いずれも世界平均を上回る結果となっており、セキュリティ対策が行き届いていない現状が浮き彫りとなっています。特にDDoS攻撃とランサムウェアに関しては10ヶ国の内、最も高い結果となっています。
また、フィッシング対策協議会が2019年2月に実施した調査でも興味深い結果が出ています。テーマは7payで議論の焦点となっている"認証"に関するもので、調査対象は銀行やEC(Electronic Commerce, 電子商取引)サイト、ゲームなど10業種です。
「金銭の移動が伴わない個人認証を主にどのような方法で実施しているか」という質問に対し、「多要素認証」と回答したのは19.8%でした、一方で、76.9%と圧倒的多数が「IDとパスワードのみ」という結果でした。「ポイントの利用やクレジットカードの利用など、ユーザーにとって資産価値のあるものを使用する際に、追加の認証を設けているか」との質問に対しては、66.9%との結果でしたが、約3分の1は金銭の移動が伴う処理においても追加の認証を求めていないことになります。
それでは、何故セキュリティ意識が希薄になっているのでしょうか。ここからは私の予想となりますので、参考までに読んでいただければ幸いです。便宜上、"Webサービス利用者側"と"Webサービス提供者側"に分けて述べます。
まずWebサービス利用者側ですが、これはITリテラシ教育が義務教育化されていないことが挙げられると思います。高等教育や専門学校では、情報技術の知識について学ぶ機会がありますが、義務教育の場において"セキュリティ"を体系的に整理したカリキュラムが未だに整備できていないのです。ゆえに、自分にも発生し得る事態だと捉えることができなくなり、当事者意識が欠如します。また、ユーザビリティとセキュリティが相反するものであると分かっておらず、利便性のみを追い求めているからであるとも考えられます。利便性を享受するには、発生し得るリスクを想定し対策する必要がありますが、セキュリティそっちのけで甘い蜜だけ吸おうと考えている人が多いのです。賃貸物件を借りる際は"オートロック完備"に魅力を感じるのに、ネットセキュリティには注意を払わないのは、それだけ必要性を実感していないからなのでしょう。
次にWebサービス提供者側ですが、これはユーザを囲い込みたい企業心理にあると考えています。つまり、多要素認証等のひと手間かけさせる手続きは、ユーザの離脱を招くと未だに考えているのです。これはまさしく"時代錯誤"とも言えるでしょう。セキュリティを強化しないと逆にユーザが離れてしまうと思ってしまいますが、それでも二要素認証を取り入れないということは、セキュリティ意識が高いユーザも当然一定数いる一方、大多数が手間をかけたくないと思っている層であるということです。
利用者側で覚えておくべきセキュリティ用語と対策
それでは、我々Webサービス利用者側が対策しておくべきことはなんでしょうか。私は現在ブログ運営を行っている傍ら情報処理の国家試験対策も進めていますので、その中から厳選してお伝えしたいと思います。以下、セキュリティ用語とその対策を述べます。
・フィッシング
銀行やクレジットカード会社、ショッピングサイトなどの有名企業を装ったメールを送付し、個人情報を不正に搾取する攻撃。ソーシャルエンジニアリングの一つとも言える。
対策:
送信者のアドレスのドメイン以下が不自然ではないか確認する。添付されたWebサイトのURLが「https~」で始まっているか確認する。本文に論理性や整合性があるか確認する。
・パスワードリスト攻撃
複数のサイトで同じID/パスワードの組を使い回している利用者が多いという傾向を悪用したもので、あるサイトに対する攻撃などによって得られたIDとパスワードのリストを用いて、別のサイトへの不正ログインを試みる攻撃。
対策:
パスワードの使い回しをやめる。
・ブルートフォース攻撃(総当たり攻撃)
特定の文字数および文字種で設定される可能性のあるすべての組合せを試すことで解読を試みる攻撃。
対策:
文字列を長くし、数字、大英文字、小英文字を組み合わせる。
・辞書攻撃
辞書に載っている英単語や、パスワードとしてよく使われる文字列などを大量に登録したファイル(辞書ファイル)を用意して、それを1つずつ試していくことで効率よくパスワード認証を突破しようとする攻撃。
対策:
1234、abcd、password等の文字列は使わない。
・レインボーテーブル
想定され得るパスワードとそのハッシュ値との対のリストを用いて、入手したハッシュ値からパスワードを効率的に解析する攻撃。
対策:
①パスワードに"ソルト"と呼ばれる任意のキーワードを付加する。
②ツールを用いて、パスワードをハッシュ化する。
※尚、ツールは以下をお勧めします。