「1を2回、0を1回押して通話」――デマにうっかりだまされないためにはセキュリティ・ジュニアキャンプ in 高知レポート(後編)

2016年6月25〜26日に、高知工業高等専門学校で「セキュリティ・ジュニアキャンプ in 高知 2016」が開催された。本稿では、同イベントのレポートの後半をお届けする。

» 2016年08月24日 05時00分 公開
[谷崎朋子@IT]

アンケートご協力のお願い

 「サイバーセキュリティ経営ガイドライン」活用実態に関するアンケートにご協力ください。6問程度の簡単なアンケートです。最後までお答えいただいた方の中から抽選で5人の方に、Amazonギフト券3000円分をプレゼントいたします(記事下部にもアンケートページへのリンクあり)。

アンケートへの回答は締め切りました(2016年8月29日)。

「セキュリティ・キャンプ地方大会特集」のインデックス

連載目次

 2016年6月25〜26日、将来の優秀なIT人材の育成を目的とした「セキュリティ・キャンプ全国大会」の地方版、「セキュリティ・ジュニアキャンプ in 高知 2016」が高知工業高等専門学校で開催された。本稿では前回に続き、一般向けに実施された公開講座の模様をレポートする。

“警察官の心得”から学ぶインターネットとの付き合い方

 大手企業の個人情報漏えい事件や、スマホアプリを利用した犯罪など、サイバーセキュリティに関わるニュースが連日のように報じられるようになった。最近の情報漏えい事件はなぜ起きたのか。個人にできる対策はあるのだろうか? 一般公開講座では、そんな疑問や不安に、専門家たちが応えた。

講師の解説に熱心に耳を傾ける参加者たち 講師の解説に熱心に耳を傾ける参加者たち

 最初に登壇したのは、高知県警、サイバー犯罪対策室の伊藤秀明氏だ。自身も高知高専出身であるという同氏は、こうした形で母校に戻ってこられるとは思っていなかったと顔をほころばせる。

高知県警察本部 生活安全部 生活環境課 サイバー犯罪対策室 伊藤秀明氏 高知県警察本部 生活安全部 生活環境課 サイバー犯罪対策室 伊藤秀明氏

 1987年に高知高専を卒業、警察官となった伊藤氏は、「当時はポケベルが主流で、コンピュータといっても電卓に毛が生えた程度だった」と振り返る。しかし、PCやモバイルデバイスの普及により、誰もがインターネットにつながるようになった現在、インターネット関連のトラブルは急増しているという。

 特に、若者の間ではSNSを発端とした事件が増えている。伊藤氏は、小中学生のころから当たり前のようにSNSでのやりとりを行っている若者たちを「インターネット第3世代」と定義し、彼/彼女らが「注目を集めたい」という理由で軽率な行動をとった結果、本人が想定していたであろう以上に問題が大事に発展するケースが目立つと話す。例えば、高知県にあるコンビニの店員がアイスクリームボックスに入った写真をTwitterに投稿して、インターネット上で“大炎上”を引き起こし、最終的にコンビニを閉店にまで追い込んだしまったケースもその1つだ。

 「以前、動画サイトにあられもない姿が公開されてしまい、インターネット上から全ての動画を消せないかという相談を受けたことがある。残念ながら、ほぼ無理だと答えるしかなかった。インターネットは容赦してくれない」。そう述べて伊藤氏は、インターネットに1度でも公開された情報は半永久的に残ることを忘れないでほしいと注意を促した。

 また伊藤氏は、SNSではデマが広がりやすい点も指摘した。「2016年4月1日に、高知県警の110番宛てに100件以上の“ワン切り”があった。逆信で通報者に電話をかけ直して聞いてみたところ、『“1”を2回、“0”を1回押して通話すると、iPhoneの通信速度制限を解除できるという情報がインターネット上で流れている』という答えが返ってきた」(伊藤氏)。

 こうしたデマにだまされないよう、あるいはうっかり加害者にならないようにするためには、「基本に忠実である」「問題意識を持つ」「自己啓発に努める」という3原則を覚えておくことが大切だと伊藤氏は言う。これは、伊藤氏が先輩から教えられた“警察官の心得”で、インターネットとの付き合い方にも通じるという。「怪しいと感じたら近寄らない、情報に敏感になる、セキュリティ対策を怠らない。ぜひこれらの原則を胸に、インターネットとうまく付き合ってもらいたい」(伊藤氏)。

事故発生で慌てないための、対応準備の大切さ

 続く講演「情報セキュリティの事件事故対応」では、サイバー大学教授の園田道夫氏が、最近の情報漏えい事件などを例に企業の事後対策について解説した。

サイバー大学教授/セキュリティ・キャンプ講師 園田道夫氏 サイバー大学教授/セキュリティ・キャンプ講師 園田道夫氏

 「攻撃者は侵入しやすいところを手当たり次第狙うので、事故発生を前提とした対応準備をすることが重要だ」。そう述べて園田氏は、対応準備を社内と社外の両面に分けて説明する。

 社内対策については、「情報共有と集約の仕組みを構築すること」「経営層に技術的な課題やビジネスへの影響などを分かりやすく解説でき、かつ予備的な判断を仰げるCISO(最高情報セキュリティ責任者)やCSO(最高セキュリティ責任者)を配置すること」が大切だと述べた。

 一方、企業の信頼にも影響する社外対策については、対応が後手に回った福島第一原発の事故を取り上げながら、「対応や調査手順、広報対応などを、複数のパターンを想定して準備すること」「緊急時の指揮系統、連絡ルートなどを定めておくこと」「他組織(警察やJPCERT/CC、IPAなど)への連絡方法の取り決めや連絡窓口を設置すること」の重要性を説いた。

 また園田氏は、約678万人の個人情報の漏えいが発覚したJTBの対応の流れを示しながら、内部の異常監視で不審な通信を検知してから経営トップが事態を把握するまで約2カ月を要したことに言及。「早く検知できる仕組みを整えていたのに、その後の対処が遅れてしまい、大いに非難を浴びた。インシデント発覚後の対応が体系化されていなかったのだろう」とその原因を分析した。

 ただし、準備することと本番で実践できるかどうかは別の話だ。園田氏は、総務省の「実践的サイバー防御演習(CYDER)」や、Webアプリケーションのセキュリティに関する情報共有と普及啓発を行う非営利団体OWASPによる「Hardening Project」(Webサービス運営における防御力・対策力を競うコンテスト)などの取り組みを挙げ、「こうした機会を活用して、組織としての経験値を積むことなども企業は検討するべきだ」と述べた。

10大脅威は共通の対策で防ぐことが可能

 最後に登壇したのは、情報処理推進機構(IPA)の鈴木春洋氏だ。同氏は、IPAが毎年発行している「2016年 情報セキュリティ10大脅威」の概要を説明し、個人ができるセキュリティ対策について解説した。

情報処理推進機構(IPA) 技術本部セキュリティセンター 普及グループ 鈴木春洋氏 情報処理推進機構(IPA) 技術本部セキュリティセンター 普及グループ 鈴木春洋氏

 鈴木氏はまず、2016年における個人の情報セキュリティの10大脅威を紹介。1位は「インターネットバンキングやクレジットカード情報の不正利用」だ。その被害総額は約30億で、前年度の約29億円と大差がないことから、「対策は進んでいるものの、敵も進化している」と鈴木氏は分析する。こうした不正に対しては、利用しているソフトウェアの更新やウイルス対策ソフトの導入、パスワード・認証の強化などの対策が挙げられる。

 2位は、最近急激に増えている「ランサムウェアを使った詐欺・恐喝」だ。ランサムウェアに関するIPAへの届け出は、2013年は22件、2014年は35件だったが、2015年には117件と激増している。ランサムウェアへの対策として最も効果的なのは、定期的なバックアップだと伊藤氏は述べる。

 情報セキュリティ10大脅威 2016 情報セキュリティ10大脅威 2016(https://www.ipa.go.jp/files/000052126.pdf

 そして3位以降は「審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ」「巧妙・悪質化するワンクリック請求」「ウェブサービスへの不正ログイン」と続くが、いずれの脅威に対しても、その手口を知ることや、ウイルス対策ソフトの導入、OS・ソフトウェアの更新など、共通する対策があると伊藤氏は説明する。

 なお、IPAでは、今日から実践できるセキュリティ対策などの資料や動画コンテンツを随時公開している。「ウイルスに感染してしまってから対処するのは大変だ。ぜひ、2016年 情報セキュリティ10大脅威などの資料で挙げている対策を実践してほしい」(鈴木氏)。

 いずれの講演でも共通して語られていたのは、情報セキュリティに関する最新情報に敏感になること、基本的な対策をしっかりと実践すること、そして有事に向けた準備を怠らないことの大切さだ。サイバーセキュリティ対策においては、「何か特別なことをしなければ」と身構えるものではなく、基礎を粛々と固めることが最も効果的なのだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。