ICTリーダー向け2022年サイバーセキュリティ入門

ICTリーダー向けサイバーセキュリティ入門 2022

(参考資料を添付します)

ICTリーダーとは、ICTシステムの利活用を促す校内研修を実施する役目を負う人を指しているようである。したがって、彼らは校内や庁内の情報システム課内のセキュリティ担当をしている人達のことではない。平たく言ってしまえば、パソコン先生役の人達に、サイバーセキュリティの知識やスタンスを吸収してもらって、校内・職場での知識伝搬に役立って欲しいという意図を明確にする研修なのである。

*1

目次

  • ICTリーダーって何するの?どういう人たち?
  • ICTリーダーが知っておきたいサイバーセキュリティって何?
  • サイバーセキュリティ(インターネットやITの世界での脅威)とは、
    • IPA 情報セキュリティ10大脅威 2022
  • フィッシング
    • 狙われるクレデンシャル
    • 狙われるクレジットカード情報
    • 狙われるスマートフォン
    • 狙われる無知や恐怖心
  • ランサムウェア、不正プログラムの送り付け
    • つい開かされてしまう不正メール、不審メール
    • つい入力させられてしまう不正リンクページ
  • 情報セキュリティ事故事例
    • 深刻な事故事例
    • 身近な事故事例
  • 学校で考える身近なサイバー脅威
    • 教職員にとっての脅威は?
    • 児童生徒にとっての脅威は?
    • 学校、教育委員会にとっての脅威は?
  • 身近な脅威に対抗するには
    • ソフトウェアアップデート(iOS)、システムアップデート(Android)、Windows Update(Windows) などを必ず実施する。
    • パスワードを強化する、安全なパスワード管理ツールを使いこなす。
    • データを喪失しない為に備える、デバイスの喪失に備える。
    • 様々な詐欺行為、ソーシャルエンジニアリングから自分の身を守る。
    • 様々な詐欺行為、ソーシャルエンジニアリングから子ども達や学校を守る。
    • 情報セキュリティ事故を防ぐ、うっかりミスを防ぐには。
  • さらに高度で悪質なサイバー犯罪者の世界
    • サイバー犯罪者グループ

ICTリーダーが推進するサイバーセキュリティ

ICT活用推進の中で考えるサイバーセキュリティ

本講座で解説する「サイバーセキュリティ」とは、ICT活用の中で使用する機器(パソコンやスマートフォン、ネットワークそのもの)であったり、ICTシステムを利用する際に使うアカウント(ユーザーIDやユーザー認証情報)を様々な脅威から守ることを指すこととする。

毎日の校務や授業を効率的に行う為にICTシステムを活用しているだけでなく、日常でもICTシステムを使いこなしているのは教員も児童・生徒も変わりない事でしょう(児童にとっては少々早いかもしれませんが)。サイバーセキュリティに関しては、公私の区別無く脅威にさらされていると考えて身構える方がよいでしょうから、仕事だけでなく自身の生活にとってもサイバーセキュリティについての取り組みを身に付けて欲しいと思います。

IPA独立行政法人 情報処理推進機構)情報セキュリティ10大脅威 2022

「情報セキュリティ10大脅威 2022」は、2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

情報セキュリティ10大脅威 2022:IPA 独立行政法人 情報処理推進機構 より

IPA 情報セキュリティ10大脅威 2022

「情報セキュリティ10大脅威 2022」とは、説明にもある通り去年(2021年)の情報セキュリティの事故・事件として起きた事を振り返って選考したものである。したがって、未来を予測するものではないが、最近のトレンドを振り返ることで自分達がどのような脅威にさらされているか、それらの脅威にどう対策するかを考える材料となる。

サイバーセキュリティの脅威として取り上げるのは、大きく2つ、いやもう1つ加えて3つ

  • フィッシングによる情報の詐取
  • 不正なメールや不正なURLリンク先からのマルウェア・ウイルスプログラムの予期せぬ実行
  • 知らぬ間に推測され使われるパスワード

を重要としてここでは取り上げる。

フィッシング詐欺Phishing fraud)

フィッシング詐欺とは、本物そっくりの偽メール、偽のウェブサイトを作り被害者を錯誤させ、被害者のアカウント情報やクレジットカードの情報などを騙し取る/盗み取る脅威である。 本物の銀行やECショップサイトとそっくりに作られた偽ウェブサイトに誘導されて、ついつい自分のアカウント情報(IDとパスワード、クレデンシャル情報とも言う)を入力させられて、他人には秘密にしておかなければならない情報を騙し取られてしまう。

類似の詐欺としては、「ワンクリック詐欺」、「ワン切り詐欺」、「サポート詐欺」、「架空請求詐欺」などがあるが、フィッシング詐欺がこれらと異なるのは、騙されたその場で金品を騙し取るのではなく、詐取するのは情報(クレデンシャル情報やクレジットカード番号など)であり金銭的被害は後から判明する点である。

サイバー犯罪が直接ターゲットとするのは情報である。

そして、サイバー犯罪者達は詐取した情報を利用して金品をせしめる方法を編み出している。被害者から盗んだ情報をマネタイズする方法を既に持っているのである、いや、マネタイズ方法が無くても後からいくらでも考えつく、手法を編み出せるので、とにかく被害者から情報を引き出す為に騙せしてやろう考えている。

サイバー犯罪者は分業している

とあるサイバー犯罪の実例(フィクション)。この動画を制作したプロモーションムービープロダクションの紹介ページから動画をご覧下さい。

www.firstperson.is

また、この動画を解説しているネットワークセキュリティ講師の動画も面白いです。

www.youtube.com

さらにクラウドによって連携された情報を辿りターゲットに近づく様子を描いた「クラウドハッキング」動画も興味深いです。

video-jp.cisco.com

これらの動画で示唆されることは多いです。現実のサイバー攻撃、サイバー犯罪者も動画と同じように分業化されている事が分かります。

  • サイバー犯罪者達の分業
    1. 漏えい(Breach)したアカウントリスト、パスワードリストを入手して、その中からターゲットを抽出する役割。
    2. リモートアクセス可能な状態のアクセスリストを収集・精錬して転売する役割。
    3. ターゲットについて、求人サイトやSNSから調査(OSINT/SIGINT/HUMINT)してアプローチ方法を用意する役割。
    4. 実行オペレーター。詐称・匿名化して接続元を追跡されないよう準備をして不正アクセスを実行する役割。
    5. 漏えいデータを販売・マネタイズする役割。
    6. 受け子、出し子、荷受け、名義貸し、闇バイト募集。

フィッシング詐欺の場合は、クレジットカード情報などの決済情報として使える情報を詐取する。盗み取るターゲットは、クレジットカード番号の時もあれば、ECショッピングサイトのログイン情報の時もある。そして、詐取情報をフィッシング犯が直接使用する事もあれば、マネタイズ役の別の犯罪者に情報として販売する事もある。

クレジットカード情報を狙うフィッシング事例

フィッシング対策協議会 https://www.antiphishing.jp/ では、被害防止、対策啓蒙などを目的として事例公開をしている。一部を紹介する。

  • NHKをかたるフィッシング (2022/04/19 フィッシング対策協議会)
    • NHKプラス等の利用規約の改訂を理由に再登録をもっともらしく促す偽メールで被害者を混乱させ、巧みに偽ページへのURLリンクを開かせようとする。
    • 令和4年4月1日施行の個人情報保護法改訂を受け、多くのウェブサイトでの利用規約改定を知らせるメールが出回っていることを利用した誘いメールである。
    • 詐欺師は、世情を巧みに利用して隙を突いてくる。
    • 偽のNHKページの再登録を促すメール 偽のNHKプラス利用登録ページ
      NHKをかたるフィッシング (2022/04/19 フィッシング対策協議会)
  • JR東日本 (モバイルSuica) をかたるフィッシング
    • 「お支払い情報更新」や「オートチャージが無効に...」などを理由にもっともらしく再登録・更新を促す偽メールで被害者を混乱させ、巧みに偽ページへのリンクを開かせようとする。
    • 前述の偽NHKメールと同様に、違和感のない自然な日本語で文章が書かれており、不自然な文体などから詐欺メールである事を見分けるのは難しい。
    • JR東日本では、モバイルSuica / えきねっと / JREポイント / My JR-East などの複数サービスの ID統合を進めてきた背景や、1年間使用していない場合は自動退会となる既定があるなど、詐欺師が被害者を焦らせるような条件が備わっていた。
    • 詐欺師は、ターゲットをよく観察して弱点を巧みに利用してくる。
    • JR東日本をかたる偽メールで尤もらしくパスワード再設定を要求する。 偽のJR東日本モバイルSuicaの登録ページを装い、クレジットカード情報を詐取使用とする。
      JR東日本 (モバイルSuica) をかたるフィッシング (2022/03/22 フィッシング対策協議会)

サービスのクレデンシャル情報を狙うフィッシング事例

教育機関でのクラウドサービス利用が普及すると、クラウドアカウントを狙ったフィッシング詐欺も見られるようになった。

大学におけるウェブメールサービスを狙ったフィッシングメールに注意 ~ フィッシングの基本の手口を知って、継続的な対策を ~
第18-08-384号
掲載日:2018年 10月 31日
独立行政法人情報処理推進機構
https://www.ipa.go.jp/security/anshin/mgdayori20181031.html

Office 365(現Microsoft 365)、G Suite(現Google Workspace) のサインインページを模倣するだけでなく、各大学が個別にデザインをカスタマイズしたサインインページまで模倣した偽ページを用意して被害者を混乱させようとするなど非常に巧みであった。

スマートフォンを狙ったフィッシング事例(SMSフィッシング)

SMSフィッシングはスミッシングとも呼ばれ、スマートフォンや携帯電話のショートメール(SMS: ショートメッセージサービス)で詐欺メッセージを送ってくる詐欺の手口です。

深刻な被害が懸念される、SMSを悪用した「スミッシング」とは? マクニカ コラム
https://www.macnica.co.jp/business/consulting/columns/140841/www.macnica.co.jp

携帯サービス各社の注意喚起

SMSフィッシングは、前述されているEメールによるフィッシングと同様にログインパスワードを盗んだり、クレジットカード情報を盗む目的で行われますが、不正アプリをインストールさせる目的でも行われます。

service.ocn.ne.jp

偽装SMSから誘導される不正アプリをインストールしてしまったらどうなる?[ 2021/01/20 ] OCNセキュリティ対策(個人・中小企業のお客さま)

*1:教員にとっては専門外のサイバーセキュリティの話題とは言え、教育のプロである教員に対して「サイバーセキュリティの教育を研修する」というのはナンセンスなのかもしれないという動機が背景にある。ICTリーダーの職員の方々には、サイバーセキュリティと対峙するにあたってのスタンス(取り組み方・考え方)と情報収集方法を伝えるのが効果的だろうと考えている。これまでのサイバーセキュリティ研修に比べれば、物足りなさや解りづらさを感じることも有るかもしれないが、参考にすべき情報源やその情報の受け止め方を覚えていただくべく心を砕いたつもりである。