要対策「情報セキュリティ10大脅威」2019

2019/12/28 jun

IPAが発表した「情報セキュリティ10大脅威」2019/04

 

あなたは充分な対策をしてきたでしょうか?

2019年を振り返りつつ改めてこの重要な対策をお伝えしたく思います。

 

そして対策の切り口としての「情報セキュリティ5か条」も

  1. OSやソフトウェアは常に最新の状態にしよう!
  2. ウイルス対策ソフトを導入しよう!
  3. パスワードを強化しよう!
  4. 共有設定を見直そう!
  5. 脅威や攻撃の手口を知ろう!

. 文中に参考資料の無料でダウンロードできるLINKを掲載していますのでご利用ください。

By 横浜の登録セキュリティプレゼンター

security action

 

内容

情報セキュリティ10大脅威.. 2

ユーザー情報(ID)を隠していない.. 3

総当たり攻撃(ブルートフォースアタック)の脅威.. 4

ログイン画面のファイル名を変更せず省略値のまま使っている. 4

OSやソフトウェアは常に最新の状態にしよう!.. 5

情報セキュリティ5か条.. 7

 

情報セキュリティ対策
情報セキュリティ対策

2019年はSSL化(暗号化通信)が進んだ年でもあった。

Googleも推奨したこともあり、クレジットカードを登録してネットで買い物をする(ECサイト)に留まらず、SSL化(httpsで始まるURL)のサイトが多く見受けられるようになった様です。

筆者のサイト( https://a-itc.info )は2018年にSSL化しました。

 Googleが警告:常時SSL化を標準対応に

Googleが警告する危険なSSL未対応サイト

 

 ただ、SSL化すれば、セキュリティ対策が万全か?というと残念ながら、そうではないのです。

 

情報セキュリティ5か条」にもあるように最低限でもこの5か条に書いてあるようなことに対応することが必要になってきます。

 

情報セキュリティ10大脅威

情報セキュリティ10大脅威
情報セキュリティ10大脅威

特に、情報セキュリティ10大脅威の2位にある「フィッシングによる個人情報等の詐取」は、

もう人ごとと片づけられるものではないものになっています。

 

筆者もフィッシングサイトに誘導する様に改ざんされたサイトを多く見つけています。

改ざんの危険性がイッパイあなたのサイト大丈夫?

フィシングサイト って?何

情報セキュリティ10大脅威の8位「インターネットサービスへの不正ログイン」も可能になるサイトも多く見受けられます。

 

 「情報セキュリティ5か条」の3. パスワードを強化しよう!にも関係しますが、

 多くのWordPressサイトで危険性をはらんでいます。

  • ユーザー情報(ID)を隠していない
  • ログイン画面(管理画面への入り口)のファイル名を変更せず省略値のまま使っている

 

ユーザー情報(ID)を隠していない WordPressサイト

 CMS(コンテンツ管理システム)世界シェア3分の1、日本でのシェア80%以上のWordPressは攻撃者の格好のターゲットになっています。

 ユーザー情報という大切な鍵の一部を公開してしまっていては、あとに残るカギはパスワードだけです。このパスワードを機械的に割り出し攻撃するのがブルートフォースアタックです。パスワードが分かってしまえば、不正アクセス改ざん、など思いのままです。

このの場合、SSL化していても、SSL化の恩恵は受けられません。

 

総当たり攻撃(ブルートフォースアタック)の脅威

. 総当たり攻撃(ブルートフォースアタック):パスワード解析方法のひとつで、総当たりで正解パスワードを割だそうというかなり強引な手法。パスワードが分かってしまうとサイトの改ざんなどは思うがままです。「ブルートフォース(brute force)」という言葉の意味(「強引な」とか「力ずく」)を表すような攻撃手法のことで、ユーザーのアカウント・パスワードを解読するため、考えられる全てのパターンを試す方法の事を言います。文字を組み合わせたパスワードの組み合わせを一通り試すにはどのくらいの時間がかかるのでしょうか?このような天文学的な数値の試行を人間がやろうとすると、おそらく、、、一生かかっても終わりません。

しかし2015 年のパソコンで行う場合、約2分で破られてしまうと言われています。

使用する文字の種類
使用できる
文字数
最大解読時間
入力桁数
4桁
6桁
8桁
10桁
英字(大文字、小文字区別無)
26
約3秒
約37分
約17日
約32年
英字(大文字、小文字区別有)+数字
62
約2分
約5日
約50年
約20万年
英字(大文字、小文字区別有)+数字+記号
93
約9分
約54日
約1千年
約1千万年

出典:https://www.ipa.go.jp/security/txt/2008/10outline.html 

IPA(独立行政法人 情報処理推進機構)の情報セキュリティ対策ガイドライン「情報セキュリティ5か条」で「パスワードは英数字記号含めて10文字以上にする」と書かれています

 

43サイト中23がユーザー情報丸見え27がログイン画面放置・驚愕のWordPressサイト

 

ログイン画面のファイル名を変更せず省略値のまま使っている※WordPressサイト

wp-login
便宜上で赤色にしています。

 

 

. 簡単なパスワードであればすぐに見破られます。この場合もSSL化は役に立ちません。

 

OSやソフトウェアは常に最新の状態にしよう!

 多くのWordPressサイトでは、制作時当時のバージョンのままであったり

自動バージョンアップ設定では乗り越えられない大幅改定時のブランチ(系統)の壁があり古いバージョンのままのものが多くあります。

 

WordPress.Orgは、公式サイトで「積極的に保守されている5.3系統の最新版以外の以下のバージョンは、安全に使用することはできません。」と宣言しています。

 

最新バージョンは、5.3.22019/12/18)です。

 

保守契約で自動バージョンアップを設定していても、5.0の壁は超えられません。4.9.13(2019/12/13)で止まっていたり、それ以前のバージョンのサイトも多数存在します。

 

以下の「ホームページの存在を確認」は私が発見した古いバージョンのサイトです。

他にも多くの系統のバージョン・リリースが並行しています。

(5.3.2等はバージョン、yy/mm/ddはリリース日、セキュリティリリースは脆弱性対応。メンテナンスリリースはバグ修正対応など)

 

  1. 5.3.2  19/12/18 メンテナンス リリース
  2. 5.3.1  19/12/13 セキュリティ +メンテナンス リリース
  3. 5.3  19/11/13 メジャーバージョン アップ
  4. 5.2.4  19/10/15 セキュリティ リリース
  5. 5.2   19/05/19 メジャーバージョン:5.2ブランチ(5.2系統)
  6. 5.1.4  19/12/13 セキュリティ リリース
  7. 5.1   19/03/11 メジャーバージョン
  8. 5.0.8  19/12/13 セキュリティ リリース
  9. 5.0   18/12/10 下位からの自動バージョンアップ無し:5.0ブランチ
  10. 4.9.13 19/12/13 セキュリティ リリース
  11. 4.9.12 19/11/13 ホームページの存在を確認
  12. 4.9.3  18/02/07 ホームページの存在を確認 自動更新に失敗 4.9.4への自動不可
  13. 4.8.12 19/12/13 セキュリティ リリース
  14. 4.8.9  19/03/13 ホームページの存在を確認
  15. 4.8.7  18/12/03 ホームページの存在を確認
  16. 4.8.3  17/11/01 ホームページの存在を確認
  17. 4.7.16 19/12/13 セキュリティ リリース
  18. 4.7.2  17/01/29 ホームページの存在を確認
  19. 4.7.1  17/01/12 4.7と4.7.1のREST APIに対する脆弱性攻撃で 155万サイトが改ざんされるセキュリティ事故が発生
  20. 4.6.17 19/12/13 セキュリティ リリース
  21. 4.6   16/08/17 ホームページの存在を確認
  22. 4.5.20 19/12/13 セキュリティ リリース
  23. 4.4.21 19/12/13 セキュリティ リリース
  24. 4.4   15/12/09 ホームページの存在を確認
  25. 4.3.22 19/12/13 セキュリティ リリース
  26. 4.3   15/08/19 ホームページの存在を確認
  27. 4.2.26 19/12/13 セキュリティ リリース
  28. 4.1.29 19/12/13 セキュリティ リリース
  29. 4.1   14/12/19 ホームページの存在を確認
  30. 4.0   14/12/15 サポート終了 ホームページの存在を確認
  31. 3.9.3  14/11/22 サポート終了 ホームページの存在を確認(3.9系統最終)
  32. 3.3.2  12/04/21 サポート終了 ホームページの存在を確認
  33. 3.1.1  11/04/08 サポート終了 ホームページの存在を確認
  34. 3.1   11/02/28 サポート終了 ホームページの存在を確認

WordPressホームページ6つの課題

 

 

■「情報セキュリティ10大脅威 2019

NEW:初めてランクインした脅威
昨年順位 個人 順位 組織 昨年順位
1位
(*1)		 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位
1位 フィッシングによる個人情報等の詐取 2位 ビジネスメール詐欺による被害 3位
4位 不正アプリによるスマートフォン利用者への被害 3位 ランサムウェアによる被害 2位
NEW メール等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
3位 ネット上の誹謗・中傷・デマ 5位 内部不正による情報漏えい 8位
10位 偽警告によるインターネット詐欺 6位 サービス妨害攻撃によるサービスの停止 9位
1位 インターネットバンキングの不正利用 7位 インターネットサービスからの
個人情報の窃取		 6位
5位 インターネットサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 7位
2位 ランサムウェアによる被害 9位 脆弱性対策情報の公開に伴う悪用増加 4位
9位 IoT 機器の不適切な管理 10位 不注意による情報漏えい 12位
(*1)クレジットカード被害の増加とフィッシング手口の多様化に鑑み、2018年個人1位の「インターネットバンキングやクレジットカード情報等の不正利用」を本年から、①インターネットバンキングの不正利用、②クレジットカード情報の不正利用、③仮想通貨交換所を狙った攻撃、④仮想通貨採掘に加担させる手口、⑤フィッシングによる個人情報等の詐取、に分割。
 
 
 
 

IPA資料のダウンロード

情報セキュリティ10大脅威 2019 表紙

 

 

ガイドライン等のダウンロード


(本編)
 
(付録1)
(付録3)
(付録6)

 

 

情報セキュリティ5か条

情報セキュリティ

  1. OSやソフトウェアは常に最新の状態にしよう!
  2. ウイルス対策ソフトを導入しよう!
  3. パスワードを強化しよう!
  4. 共有設定を見直そう!
  5. 脅威や攻撃の手口を知ろう!

 

情報セキュリティ5か条
情報セキュリティ5か条

 

 

2018年版の記事はこちらからご覧いただけます。

 

IPA 独立行政法人 情報処理推進機構

情報セキュリティ白書2019

https://www.ipa.go.jp/security/publications/hakusyo/2019.html          

 

出版物のご案内

https://www.ipa.go.jp/security/publications/index.html 

 

https://www.ipa.go.jp/security/vuln/10threats2019.html          

情報セキュリティ10大脅威 2019

 

中小企業の情報セキュリティ対策ガイドライン

https://www.ipa.go.jp/security/keihatsu/sme/guideline/

 

情報セキュリティ
要対策情報セキュリティ