情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
スマートフォン利用のリスク
皆さま、こんにちは。今回の情報キュリティトピックスは、私たちの仕事や生活において欠かせない存在になりつつある、スマートフォン利用にともなう注意点を取り上げたいと思います。個人情報や重要な機密情報が集約されているスマートフォンは、悪用しようとする側からすれば、とても収集しがいのある貴重な情報源です。もし、利用者がリスク対策を怠り、スマートフォン内の情報が一旦外部に漏えいしてしまった場合、その情報を取り返すことは不可能であり、会社や本人をはじめ、同僚、知人や友人を長期的な被害に巻き込むことにもなりかねません。対策としては、基本的な項目ではありますが、簡単な手順や設定をするだけ脅威を回避できることもあります。社用、私用問わず、また、業務時間内外においてもトラブルに巻き込まれないよう、あらためてその危険性を知ったうえで複数の対策に気を配る必要があります。
小型で携帯性に優れたスマートフォンは、パソコンに比べて盗難に遭ったり紛失したりする可能性が高く、結果としてプライベートな情報を他人に見られてしまうかもしれません。また、悪意のある第三者の手に渡ると、スマートフォン内の重要な情報を盗み見られたり、抜き取られたりして金銭的な被害に遭う恐れもあります。スマートフォンを紛失したり盗まれた場合、無断で第三者が電話をかけたり、インターネット接続をすることも考えられますが、それ以上の脅威として、気が付いた時には、心当たりのない膨大な金銭的負担を強いられることになる危険性もあるということです。IPA(独立行政法人情報処理推進機構)によると、2015年第2四半期のウイルス・不正アクセス関連の相談件数は3,708件(前四半期比 約12%増)で、スマートフォンからのワンクリック請求に関する相談は348件(前四半期比 約65.7%増)だったとして、過去最多であることを報告しています。
▼IPA(独立行政法人情報処理推進機構)「コンピュータウイルス・不正アクセスの届出状況および相談状況-2015年第2四半期(4月~6月)」
スマートフォンは、通話やメールはもちろん、外出時のちょっとした調べものやSNSでのコミュニケーション、ネットバンキングの利用、ネットショッピングでの買い物に利用することができます。小型パソコンともいえるスマートフォンは便利な一方、パソコンと同様のセキュリティリスク、さらには持ち歩くことが前提の端末であることから、時にそれ以上のセキュリティリスクをはらんでいると言えます。
スマートフォンに保存できる情報
スマートフォンは価値のある情報の宝庫です。利便性に優れている反面、盗難や紛失によって悪用されたときの影響は必然的に大きくなります。
皆さまがお使いのスマートフォンに保存されている情報をあらためて確認してみてください。アドレス帳に登録された名前や住所、メールアドレス、生年月日、勤務先、クレジットカード番号、各種サービスを利用するためのID・パスワードや暗証番号など、金銭取引を行うための情報や個人を特定できる情報などが保存されているはずです。業務で利用している場合は、多くの顧客情報等もあるかもしれません。その他にも撮影した写真や動画、Webブラウザに記録されたサービスのIDやパスワード、Webの閲覧履歴などはもとより、自動ログイン設定しているアプリの中にも、重要なデータが含まれるものが数多くあります。
その中でも犯罪者や詐欺師が金銭的利益を目的として狙うのは、メモ帳などに保存されたクレジットカード番号や銀行口座の暗証番号、およびブラウザに記憶させた各種WebサービスのIDやパスワード、すなわちアカウント情報です。オンラインショッピングなどに代表される金銭取引が可能なWebサービスでも、IDとパスワードの組み合わせによるアカウント情報が利用時の本人確認手段になります。このため、アカウント情報は転売されたり、なりすましによる不正利用に使われたりする危険性が高いといえます。
その他にも、自由にスマートフォンの中にある情報を閲覧され、サイト利用時に必要なログイン用IDやパスワードなどの情報を入手されてしまうと、さまざまなサイトを本来の利用者と偽り使用されてしまいます。例えば、ネットバンキングやショッピングサイトなどの利用情報が分かってしまうと、自由にお金を出し入れされたり商品を勝手に購入されてしまうなど、多額の金銭的被害をうけることになります。
また、掲示板やブログなどのソーシャルメディア上で、利用者になりすまして悪質な脅迫文や誹謗中傷する内容を投稿されてしまい、犯罪者と疑われることも考えられます。友人と写真を共有したり、パソコンとスマートフォンといった複数の端末で情報を交換したりするために利用するオンラインストレージや、SNSのアカウント情報も盗まれたときの影響が大きいと言えます。オンラインストレージ内の情報を窃取されるのは、パソコンの情報を盗まれるのと同じ状況といえますし、本人を装ったSNSの不正アクセスに遭うと、友人・知人に悪質なメッセージを送られてしまったり、友人・知人のプライベート情報が流出してしまうことも考えられます。
スマートフォン利用の危機意識と実態
フィッシング詐欺サイト、偽サイトなどの不正サイトはAndroid、iOS(iPhone)などOSに依存しない脅威と言えます。最近では、アクセスしただけでブラウザに不正請求メッセージが表示され続け、他のWebサイトを閲覧できなくなる脅威も確認されています。
またiPhoneにおいても、攻撃者が開発者用のツールを不正に利用することで、App Store以外のWebサイトから不正アプリをユーザーに感染させる攻撃も新たに確認されています。これらの脅威に対処するためには、スマートフォンでもパソコン同様にセキュリティソフトを利用することが有効です。セキュリティソフトを使えば、不正アプリの侵入経路となるスパムメールや不正Webサイトへのアクセスを未然にブロックしてくれます。また、インストールするアプリの安全性を事前にチェックし、情報を漏らす可能性がある場合には警告してくれます。ソフトによっては、インストール済みのアプリの危険度を判別してくれるものもあります。不正アプリを仕込んでスマートフォンの情報を盗み取ったり、スマートフォンで入力した内容や閲覧履歴などを監視するような悪質なプログラムが入っていることもあるからです。明らかに不審な動作をするウィルスもありますが、気づかないところでスマートフォンの情報を盗み取るウィルスもあります。外部から勝手にスマートフォン自体を操作される不正プログラムを仕込まれていることも十分にあり得るということです。
一方、トレンドマイクロの調査によると、スマートフォン利用者の7割以上がWebサイトを閲覧する際にセキュリティを懸念しているものの、不正サイトの対策をしている利用者は3割以下という結果が得られています。不正サイトの対策をしていないユーザーの半数以上が、対策していない理由を「対策の仕方がわからないから」と回答しており、スマートフォン利用における不正サイト閲覧の脅威はパソコンと同様に個人情報の漏洩や金銭被害などのリスクを認識しているものの、スマートフォン利用者のセキュリティ対策は浸透していないという実態がわかります。
トレンドマイクロ「スマートフォンユーザのセキュリティ意識に関する実態調査」
- スマートフォンユーザの7割以上がWeb閲覧時にセキュリティを懸念するも不正サイトの対策をしているユーザは3割以下
調査対象:スマートフォン利用者618名
(Android端末ユーザー:309名、iPhoneユーザー:309名)
調査期間:2015年6月25日から26日まで
【調査結果概要】
1.スマートフォンユーザーの7割以上がWebサイト閲覧時にセキュリティを懸念
- 7割以上(75.4%)がスマートフォンでWebサイトを閲覧する際にセキュリティ上の懸念を感じている。
- また「不正アプリが配布されているような不正サイトへアクセスしないか心配」と回答している利用者が半数以上(51.9%)いる。
2.スマートフォンで不正サイトの対策をしているユーザーは3割以下
- 7割以上のユーザーがWeb閲覧時に何かしらのセキュリティを懸念しているのに対し、不正サイトに対するセキュリティ対策を行なっているユーザーは、3割以下(26.5%)。
- また、不正アプリに対するセキュリティ対策を行なっているユーザーは4割(40.0%)。
スマートフォンの安全対策
企業側として、従業員の私用スマートフォンの業務利用については、効率化やコスト削減のため、推奨または黙認されるケースもありますが、会社が関知しない(できない)ところでの重要情報の持出しやセキュリティリスクに十分留意する必要があります。従業員のプライベートデータと業務用データの混在は、紛失や盗難時の被害特定に時間を要しますし、業務外でどのような使われ方がされているのかを完全にチェックすることができません。また、退職する際に、会社の営業秘密や社内データをスマートフォン端末に入れまま持ち出されてしまう可能性があります。その他にも、スマートフォンによる個人用クラウドサービスを利用は、不正に取得された際の証拠が残りにくく、情報漏えいなどのトラブルを発生させる温床になりやすいと言えます。
いずれにしても、業務で利用しているスマートフォン端末を紛失した際は、管理者や上長にすぐに連絡して、指示を仰ぐなどの対応をしましょう。なお、携帯電話・スマートフォンに保存された個人情報を目的として、廃棄された端末を売買するといった事例も発生しています。携帯電話やスマートフォンを廃棄する際には、必ず登録されているアドレス帳や電子メールなどの個人情報を、確実に消去してから廃棄するよう注意が必要です。
スマートフォンの利用においては、利用者が最低限取るべき以下の安全対策をご確認ください。。
【安全対策】
*ロック画面を設定しましょう*
これは誰でもできる必要最低限のセキュリティ対策ですが、この設定を怠っている利用者が多いのが現状です。ロックを設定しないことは、スマートフォン内の情報を誰でも盗めてしまう無防備な状態にあります。紛失や盗難などのリスクは避けることができませんが、最低限本人以外が勝手に操作できないように暗証番号(パスワード)を設定しておく必要があります。
*遠隔操作でのロックの機能やサービスを確認しましょう*
万一、盗難や紛失にあった場合、スマートフォンのある位置を特定したり、遠隔操作でロックしたり、情報をすべて消去できるサービスがあります。あらかじめこのような機能を利用できるように、契約している電話・通信会社などに確認して準備しておくことが重要です。
*OSやアプリケーションを最新にしましょう*
PCと同じようにスマートフォンやタブレットを利用している場合でも、基本となる OS(Windows、Android、iOSなど)や、利用しているアプリにも脆弱性があります。公開されている更新プログラムは必ず適用し、最新の状態で利用することが重要です。
*マルウェア対策をしましょう*
PCと同様、スマートフォンも悪意のあるソフトウェア(マルウェア)に感染する危険性があります。マルウェアの感染を防ぐために、セキュリティ対策ソフトを必ずインストールしておきましょう。スマートフォンの場合は、通信キャリアからセキュリティ対策ソフトが提供されている場合もあります。
*不用意に公衆無線LANに接続しないようにしましょう*
無料で利用可能な Wi-Fi スポットは、誰でも接続可能であり多くは暗号化がされていない、もしくは WEPのような暗号化強度が弱いプロトコルが利用されています。このような Wi-Fi スポットは容易に盗聴が可能です。また暗号化強度が高いプロトコルを利用していても暗号化キーに共通のものを使用している Wi-Fi スポットは同様に通信内容を盗聴される可能性があります。
公衆の無線LANを利用する場合は、できる限りセキュリティの保護がある接続を利用し、大事なデータのやりとりは、SSL通信を行うようにしましょう。
*覗き見に注意しましょう*
移動中の電車やバスなど、人目に触れやすい所で操作する場合、背後や横から覗き見される危険性もあります。SNSやメールでのやりとり、パスワードやクレジットカード情報などの重要な情報を入力するときは、周囲から見えていないか、十分注意しましょう。覗き見防止のシールやフィルターを貼るなどの対策も有効です。
*写真の位置情報に注意しましょう*
GPS機能を搭載した端末で撮影した写真には、設定によっては撮影日時、場所の位置情報、カメラの機種名などの情報が含まれている可能性があります。位置情報が付加された画像は、自宅や投稿した場所が特定でき、迷惑行為やストーカーなどの犯罪被害に巻き込まれてしまう可能性があるため、十分注意が必要です。
*提供元が不明なアプリをインストールしないようにしましょう*
Google Playや各サービス公式の信頼できるマーケットからアプリをインストールするのが基本です。※ iPhoneの場合は標準の状態で公式マーケットであるApp Store以外からのアプリインストールは行えません。
「電池が長持ちするアプリ」「電波が改善するアプリ」というような便利な機能を装い、スマートフォン内の情報を不正に取得するアプリが存在します。魅力的なタイトルのアプリがあり、好奇心に駆られたとしても、安易に不正アプリが配布されやすい非公式のマーケットを使うべきではありません。
その他のトピックス
▼総務省「ウェブサービスに関するID・パスワードの管理・運用実態調査結果」
総務省は、ウェブサービスを提供する企業におけるID・パスワードの管理・運用実態について調査した結果を取りまとめました。
約200社中28社(金融・クレジットカード、通販・物品購入、オンラインゲーム、交通・運輸・旅行、情報配信・提供、通信・放送・報道、その他から)から協力を得られたとしています。
【調査結果概要】
- 約9割のサービスで3種類以上の文字種をパスワードとして利用できる
- パスワードの最大桁数が12桁未満のサービスが約4分の1存在する
- パスワードのハッシュ化の実施率が低い
- 同一IPアドレスからのログイン試行回数制限の実施率が低い
総務省は、本調査において匿名で集計・公表する旨告知した上で調査を依頼していますが、「不正アクセスの被害有無やパスワードの内部管理方法といった機微な情報に関する調査であることから、回答を控える企業が多かった。これは、自社のウェブサービスにおける安全対策が不十分だと認識しているのか、又は把握していない可能性が考えられる。」としています。
▼警視庁 「体感治安の向上と子供のスマートフォン利用に対するルールづくり、インターネットの利用」について
警視庁は、平成26年度けいしちょう安全安心モニターを対象に、『体感治安の向上と子供のスマートフォン利用に対するルールづくり、インターネットの利用について』をテーマに調査し公表しています。アンケート結果では、子どもにスマートフォンを利用させる場合に、一定の制限などルールを設けることが必要と考える人が9割以上に上り、必要と回答した人の約6割が、理由として「子どもが犯罪の被害に遭うのを防ぐため」と回答しています。
また、具体的に必要だと思うルールは、「利用できるアプリを制限する」が約8割で最も多く、「『フィルタリング』を外さない」「ルール違反をした場合の約束事を決める」などの順 になっています。
社会環境の変化にともない、教育事業者や保護者は、青少年の保護・育成の観点から必要な対策と教育を実施する必要があります。SNSや出会い系サイトのみならず、スマートフォンやインターネットを安全に利用できるようになるためには、うかつに自身の画像をSNSに晒すことの危険性を警告し、トラブルに巻き込まれないための相応の知識と判断力を身につけることが求められています。いま自分がおかれている状況が安全なのか危険なのか、その判断はインターネットの世界では大人でも困難ではあります。それでも、人生経験がまだ少ない子どもには、なおのこと丁寧で十分な教育とフォローが必要です。
▼消費者庁「インターネットを安全に利用し、楽しむための7か条」
消費者庁は、セキュリティの観点から、インターネットを安全に利用し、楽しむための7か条を公表しました。
- OSやソフトウェアは最新のバージョンにアップデートする
- パソコンやスマートフォンにウィルス対策ソフトをインストールする(パスワード設定や情報入力等について)
- パスワードは推測しにくいものとし、他人に絶対教えない
- 複数のサイトで同一のパスワードを使い回さない。
- カード情報等を入力の際は、URLが「https://」で始まるサイトであることを確認する(電子メールの利用について)
- 差出人に心当たりのない電子メールに添付されたファイルを開いたり、URLをクリックしたりしない(機器やサービスの設定について)
- 一部の利用を制限する設定・サービスをうまく活用する(例:フィルタリング、国際電話発信規制サービス、外出先からの接続制限等)
インターネットの世界にも守るべきルールやマナーが存在します。そのルールやマナーをきちんと理解しておけば、自身に降りかかるトラブルを、未然に防ぐことができるかもしれません。
最近の個人情報漏えい事故(2015年7月)
下記の表は、先月7月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 県 | 名簿紛失 | 43世帯分の世帯主の氏名や住所、世帯員数などが記載された名簿 | 自宅保管中に紛失 |
| 2 | 県 | メール誤送信 | 登録者350人分のメールアドレス | 「Bcc」で送信すべきところを、「To」で送信 |
| 3 | 医療 | 不正アクセス | 職員ら12人の氏名 | Webサイト改ざん |
| 4 | スポーツスクール | USBメモリ紛失 | レッスン受講者約600人の氏名や住所、電話番号、生年月日、性別と258人分の氏名や口座情報 | 金庫に保管されていた現金や預金通帳とともにUSBメモリ8本が盗難 |
| 5 | 県 | ハードディスク紛失 | 畜産農家ら9917件の個人情報 | 使用が禁じられた私物のハードディスク。酒を飲みタクシー下車後、名取市内の空き地で眠り込んでしまい、紛失に気づいたとのこと |
| 6 | 取引所関連法人 | 置き忘れ(一時紛失) | 不明 | 上場審査担当者が上場審査関連資料を電車内の網棚に置き忘れ |
| 7 | 県 | メール誤送信 | 6名分のメールアドレス | 「Bcc」で送信すべきところを、「To」で送信 |
| 8 | 町 | 口頭で漏らす | 1世帯2人の生年月日と住所 | 電話口で伝える |
| 9 | 銀行 | 書類紛失 | 氏名や住所、口座番号、印影などが記載休眠口座の印鑑届約3万5千件 | 誤廃棄の可能性 |
| 10 | 市立小学校 | 書類紛失 | 児童8人分の健康診断票で、児童の身長や体重など年1回行われる健康診断の結果 | 誤廃棄の可能性 |
| 11 | 学習・教育関連 | 不正アクセス | 受講者ら2万2108人の片仮名の氏名 | |
| 12 | 県 | 誤送付 | 児童1名分の住所や氏名、知能指数など | 誤って受け取った保護者からの連絡で誤送付が発覚 |
| 13 | 大学 | 不正アクセス | 370件のメールアドレス | |
| 14 | 教育委員会 | 誤公開 | 生徒4人の氏名や学校名、両親の名前など | 養護学校のアスベスト対策工事の入札資料を掲載した際に誤って掲載 |
| 15 | 銀行 | 書類紛失 | 顧客の氏名や住所、手形、小切手などの取引情報約7000件 | 誤廃棄の可能性 |
| 16 | 通販 | 不正アクセス |
IDやパスワードを悪用した注文や個人情報の改ざん。 氏名やメールアドレスなど約303件分 |
大量の高額商品を発注している不審な注文を同社の社員が発見し調査、発覚 |
| 17 | 大学 | 不正アクセス | 教職員や学生の名前、パスワードなど最大約3万6300件の個人情報 | 学内のメールサーバーで管理画面の設定が変更されているのを職員が発見し、発覚 |
| 18 | 放送 | 不正アクセス | HPの問い合わせ窓口やイベントの参加申し込みでアクセスした視聴者や参加者の個人情報計126件 | 外部専門機関からの指摘で発覚 |
| 19 | 都立中学校 | 不正アクセス | 不明 | Webサイトが改ざんで、閲覧者がマルウェアへ感染した可能性 |
| 20 | チケット販売 | ノートPC紛失 | コンサートのチケット購入者延べ約1万4千人の氏名、電話番号 | 社外にて業務中に移動の際、その経路上にてノートパソコンを紛失 |
| 21 | 大学 | USBメモリ紛失 | 入試の志願者名や合否情報を含む、828人分の個人情報 | 紛失の経緯や詳細は不明 |
| 22 | 証券 | 書類紛失 | 氏名、取扱支店名や預り資産評価額、残高の明細などが記載された「取引残高報告書」192件 | 誤廃棄の可能性 |
| 23 | 県立特別支援学校 | SDカード紛失 | 生徒69人の写真715件が保存されたSDカード | |
| 24 | 県立中学校 | ノートPC紛失 | 3年生77人の写真57件 | |
| 25 | 東京都 | ウィルス感染 | 都税の還付を受けた人の住所や口座番号など約2700人分の個人情報 | 職員のパソコン(PC)9台で、うち3台が都の内規に反して個人情報を保存していたため、情報が外部に流出した可能性 |
| 26 | 大学 | 不正アクセス | 学生の氏名、教職員の氏名、学外の人の氏名、学生の就職先等1116人の個人情報 | 送信した覚えのないメールが宛先不明で大量に戻ってきたことを不審に思った教員が情報管理担当に連絡し、判明。教員のメールアドレスからの不正なメール発信が少なくとも6万件確認された |
| 27 | 通信、エネルギー | ネット上に流出 | 取引先の企業や自治体など延べ5466法人・団体の情報や、自社の社員ら413人分の個人情報 | 関係者が情報を持ち出した可能性 |
| 28 | マスコミ | 資料紛失 | 道交法違反などの罪で起訴された被告の個人情報や罪名 | 男性記者が一時紛失 |
| 29 | 動物園 | メール誤送信 | 45人のメールアドレス | 誤って宛先へメールアドレスを入力 |
| 30 | 検索サイト | 不正アクセス | メールアドレス5979件 | 外部専門機関からの指摘で発覚 |
| 31 | 食品 | 不正アクセス | 会員ID、パスワード、メールアドレス、電話番号、生年月日など20万9999人分 | |
| 32 | 市立小学校 | パソコン紛失 | 児童や保護者ら計162人の名前、住所など | 私物のパソコン。自宅で盗難 |
6月に引き続き7月においても外部からの不正アクセスによる事故が多発しています。(事案番号:「3」「11」「13」「17」「18」「19」「26」「30」「31」)
対象は、ECサイトや大学・研究機関、病院におけるWebサイト改ざんで”DDoS攻撃”や”SQLインジェクション攻撃”をはじめとした、Webサイト/アプリケーションの脆弱性を突いた悪意あるサイバー攻撃、事業・サービスの停止や情報漏えい事故につながっています。サイバー攻撃を受けた場合にはサービス停止や顧客への補償などにまで発展する可能性が高いため、運用には細心の注意が必要になります。また、サイバー攻撃によるその多くは、被害を受けていること、または加害していることに自発的には気が付かないこと(消費者や特定団体等の第三者からの通報で発覚)が問題として挙げられます。特にWebサイト改ざんによる被害は、事業規模やサービス内容にかかわらず、自社においても対岸の火事として放置しておくことができません。先月の「情報セキュリティトピックス7月号」でも紹介しましたが、自社のWebサイトやアプリケーションに脆弱性がないか検証し、適切な対策を講じるのが賢明だと言えます。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
