Transcript 554KB - IPA 独立行政法人 情報処理推進機構

情報セキュリティ読本 三訂版
情報セキュリティ読本 三訂版
- IT時代の危機管理入門 -
（第1章 今日のセキュリティリスク）
出典： 情報セキュリティ読本 三訂版
1
第1章 今日のセキュリティリスク
1. 今日のセキュリティリスク
2. 危険の認識と対策
出典： 情報セキュリティ読本 三訂版
2
第1章
1. 今日のセキュリティリスク
実例1: 狙われるWebサイト
実例2: 巧妙化するフィッシング詐欺
実例3: 増加する金融取引被害
実例4: P2Pファイル交換ソフトを介した
情報漏えい
5. 実例5: 犯罪に使われるインターネット
1.
2.
3.
4.
出典： 情報セキュリティ読本 三訂版
3
第1章 > 1. 今日のセキュリティリスク
実例1: 狙われるWebサイト
■正規のWebサイトでも要注意
• 2008年、Webサイトが攻撃を受け、改ざんされて罠
が埋め込まれる被害が世界各国で発生
• サイトの規模に関わらず攻撃を受けるおそれがある
• SQLインジェクション攻撃が原因とみられる
• Webサイトにアクセスしたユーザが、不正プログラム
をダウンロードさせられるなどの被害に遭う（セキュリ
ティ対策が不十分な場合）
• 正規のサイトで外観が正常でも、安心できない
⇔ SQLインジェクションについては、第5章 p.87参照
出典： 情報セキュリティ読本 三訂版
4
第1章 > 1. 今日のセキュリティリスク
実例2: 巧妙化するフィッシング詐欺
■うっかりしてると騙される？
• 正規の金融機関などを装った偽のWebサイトに
ユーザを誘導し、個人情報や機密情報（クレジット
カード番号や暗証番号など）を盗み取る不正行為
• 米国では2003年頃、日本では2004年頃から発生
• 最近の特徴
– 金銭的な被害に直結
– ユーザを騙す手口が巧妙化
出典： 情報セキュリティ読本 三訂版
5
第1章 > 1. 今日のセキュリティリスク
実例2: 巧妙化するフィッシング詐欺
イーバンク銀行をかたる
偽りのサイト。
ユーザＩＤ・ログインパス
ワード・暗証番号を盗み出
そうとしている。
出典： 情報セキュリティ読本 三訂版
6
第1章 > 1. 今日のセキュリティリスク
実例3: 増加する金融取引被害
■便利と危険は隣り合わせ
• 2007年度のインターネットバンキングの被
害は231件、総額1億9,000万円（金融庁）
（例）2008年7月、ゆうちょ銀行とイーバンク銀
行のフィッシング詐欺で、21名が約1,300万
円の被害を受ける
⇔フィッシング詐欺への対策は、第3章 p.53-56参照
出典： 情報セキュリティ読本 三訂版
7
第1章 > 1. 今日のセキュリティリスク
実例4: P2Pファイル交換ソフトを介した情報漏えい
■知らない間に情報漏えい
• 2004年頃から、機密情報や個人情報がP2Pネット
ワークに漏えいする事件が多発
– 原発の検査情報、自衛隊の資料、病院の診療記録、
警察の捜査資料、刑務所の受刑者情報など
• 原因は、個人のパソコンでファイル交換ソフトを利
用し、これを悪用するウイルスに感染したため
– ファイル交換ソフト: Winny、Shareなど
出典： 情報セキュリティ読本 三訂版
8
P2Pによる情報漏えいの仕組み
出典： 情報セキュリティ読本 三訂版
9
第1章 > 1. 今日のセキュリティリスク
実例5: 犯罪に使われるインターネット
■共犯者をインターネットで募集
• 2006年6月、フィッシング詐欺（被害者: 約850人、
被害総額: 約1億2,000万）の犯人グループが逮捕
– メンバーをインターネットの掲示板で募集
• 2008年6月、秋葉原無差別殺傷事件
– 携帯電話サイトの掲示板を使用して、犯人が犯行予告
• 有用であるべきインターネットの不正利用が目立つ
出典： 情報セキュリティ読本 三訂版
10
第1章
2. 危険の認識と対策
1）インターネットに潜む危険
2）メールに潜む危険
3）日常業務に潜む危険
4）危険への対処法
出典： 情報セキュリティ読本 三訂版
11
第1章 > 2. 危険の認識と対策
1）インターネットに潜む危険
• Webページを閲覧しただけで不正プログラム
に感染してしまう
• リンクをクリックしただけで不正な請求をされ
たり、個人情報を盗まれるなどの被害に遭う
ことがある
• 不正なプログラムを誤ってダウンロードしてし
まう
出典： 情報セキュリティ読本 三訂版
12
第1章 > 2. 危険の認識と対策
2）メールに潜む危険
• スパムメール（迷惑メール）
※
• マルウェア に感染
• フィッシングメール
マルウェア：コンピュータウイルス、スパイウェア、ボットなどの不正なプログラムのこと
出典： 情報セキュリティ読本 三訂版
13
第1章 > 2. 危険の認識と対策
3）日常業務に潜む危険
• 外出や出張時に資料を持ち出す、不要に
なった書類を廃棄する、歓談時に仕事の話
をする、といった何気ない行為が、情報漏え
いの原因となることがある。
⇔情報漏えいを防ぐための心得は、第4章 p.73-75参照
出典： 情報セキュリティ読本 三訂版
14
第1章 > 2. 危険の認識と対策
4）危険への対処法
• 情報セキュリティの基本を知ろう⇔第2章
• ウイルスなどの不正プログラム（マルウェア）
について理解しよう ⇔第3章
• 実際のセキュリティ対策を施そう⇔第3、4章
• 情報セキュリティに使われている技術を理解
しよう ⇔第5章
• 法律について認識しよう ⇔第6章
出典： 情報セキュリティ読本 三訂版
15
本資料の利用条件
1.
著作権は独立行政法人 情報処理推進機構に帰属します。
著作物として著作権法により保護されております。
2.
本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。
セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい
ただいても結構です。
3.
営利目的の使用はご遠慮下さい。
4.
授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは
行っていただいて結構です。
5.
本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。
外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。
6.
上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は
ありません。
なお、参考までに、 [email protected] まで以下をお知らせ下さい。
・使用する方もしくは組織の名称
・使用目的
・教育への参加人数
7.
ご質問、ご要望等は、 [email protected] までお知らせ下さい。
出典： 情報セキュリティ読本 三訂版
16