時事セキュリティが5分でわかる 第12回

ランサムウェア、スマホOSの脆弱性、個人情報の漏洩に注意

2015年、気をつけたいセキュリティの脅威とは？

　「時事セキュリティが5分でわかる」を合言葉にセキュリティ事件のあらましをざっくり解説している本連載。今回はITジャーナリストの三上洋氏に、2015年に国内で流行するかもしれない、気をつけたいセキュリティ上のトピックを挙げていただいた。

ランサムウェアとスマホOSの脆弱性に要注意

三上　「2015年に国内で流行するおそれがあるのは、身代金をユーザーに要求する不正プログラム、ランサムウェアです（関連記事）。PCの中で画像や文章ファイルを暗号化し、解除したければ金を払え……と脅迫するものですが、2014年はロシアやヨーロッパで流行しました。日本ではあまり被害例がありませんでしたが、年末には日本向けにプログラムされたものが確認されています。

　やっかいなのは、表示される文章や画像を変更できるタイプのランサムウェアが、アフィリエイトプログラムの一環として提供されていることです。ランサムウェアをカスタマイズするツールや、マルウェアと連携して使うファイルなどがまとまっており、これを使えば、ランサムウェアを使用できるばかりか、業者にとっては面倒な集金の手間まで省けてしまうのです」

「2015年は、ランサムウェアが流行するかもしれません」（ITジャーナリストの三上洋氏）

　三上氏は日本において、特にスマホを狙ったランサムウェアが流行する可能性があると指摘する。

三上　「ワンクリック詐欺の代わりに、ランサムウェアが本格的に使われるおそれがあるのです。ワンクリック詐欺の多くは、『あなたは違法なアダルトサイトを見ただろう、金を払え』と脅しますが、この手口を使う業者がランサムウェアを導入したらやっかいです。

　たとえばAndroidで、このアプリを使えばアダルト動画が無料で見られるなどと謳った広告バナーを表示させ、そこにアクセスさせてダウンロードすると、それがランサムウェアだった……という手口があり得るでしょう」

　となれば、スマートフォンに違法なアプリを入れないように気をつければ、あとは大丈夫と思う人もいるかもしれない。しかし、三上氏は「その考えは甘い」と警鐘を鳴らす。

三上　「スマートフォンのOSの脆弱性を突いた攻撃にも、今後は注意が必要でしょう。いままでは、どちらかといえば、アプリ側に問題がある場合が多かったのですが、海外ではOS自体の脆弱性を突き、ウェブサイトを表示しただけで被害に遭うような例が出てきた。これは不正なアプリを入れなくても、スマホ自体がやられてしまうわけです。

　それともう1つ、ユーザーレベルではどうしようもない面もあるのですが、顧客情報の流出問題も依然として発生する可能性はあります。こちらは個人情報保護法の改正など、政府が対策に取り組んでくれることが望ましいでしょう」

国際問題になったハッキング事件の模倣犯が出るおそれも

　三上氏が今年発生するかもしれないとして注目しているのは、去年11月に発生した、映像メディア企業に対するハッキング事件。これに関与したと称するグループが、インターネット上に投稿した警告文がある。北朝鮮の最高指導者を暗殺する計画を題材としたコメディー映画を上映する映画館を襲撃する意向を示唆するものだった。これによって、映画が一時は上映中止にまで追い込まれたのだ。

三上　「あの事件は国際的な問題になっていましたが、ハッキングによって、映画一つがお蔵入りになりかけた……というところに注目したいですね。つまり、同じことをやれば、企業を恐喝できるという例になってしまったわけです。

　政治的な話題で挙げられることが多かった事件ですが、セキュリティ面から見れば、ハッキングによって企業を脅し、代償として大金を巻き上げようと考える人たちが出てくるかもしれません。個人というよりは企業の問題ですが、今年発生するかもしれない件として警戒したいところです」

パソコンだけではなく、スマホにもセキュリティ対策製品は必須

　では、ユーザーレベルではどう気をつければよいのだろう。セキュリティ対策製品をインストールして備えておくのはもちろん必須。うちのパソコンは万全……と安心している人も多いはず。しかし、スマートフォンにもその必要があるようだ。

三上　「パソコンだけでなく、スマートフォンにもセキュリティ対策製品をしっかりと導入してほしいですね。今まではスマホには必要ないと言われることもありましたが、アプリだけではなくOSの脆弱性を突いた攻撃や、ランサムウェアの標的にもなりかねないので、しっかりと対策しておく必要があります。また、特にAndroidユーザーは、アプリの購入先はGoogle Playなどの公式ストアに絞る、ということをこころがけましょう。

　そして、こちらは企業に対する話になってしまうのですが、顧客情報の流出を防ぐことも肝心です。情報漏洩対策ソフトの導入や、社員は個人用途であろうとセキュリティ対策製品を導入。また、重要なデータは扱う人間を限定すること。これらを厳守してほしいですね」