2017年セキュリティ事件ベスト10 知らないあなたは標的になる!?
文●せきゅラボ
2017年12月29日 09時00分
2017年もそろそろ終わろうとしている。世間では「今年流行したもの」「2017年の事件を振り返る」などといった話題が多い。しかし、たとえば今年の話題であっても、前半となると記憶が薄れていたり、専門外の話題だと「聞いたこともない」と驚いたりすることもあるものだ。
12月、マカフィーは日本国内の経営層や情報システム部門などのビジネスパーソンを対象に「2017年のセキュリティ事件に関する意識調査」を実施し、その結果を基にした2017年の10大セキュリティ事件を発表した。ランキング入りした事件を、あなたはいくつ知っているだろうか?
| 順位 | セキュリティ事件(時期) | 認知度(%) |
|---|---|---|
| 1 | ランサムウェア「WannaCry / WannaCrypt(ワナクライ)」の大規模な攻撃が世界中で確認され、国内でも製造や運輸などの業界で被害が発生(2017年5月) | 36.7 |
| 2 | Amazonをかたるフィッシングメール/「Amazon」の利用者を狙ったフィッシング攻撃が発生/大手宅配業者の商品の発送や宅配便のお知らせを装った偽メールが増加(2016年11月~2017年1月) | 36.2 |
| 3 | 無線LANの暗号化規格であるWPA2の脆弱性(KRACK / KRACKs)が発見される(2017年10月) | 32.8 |
| 4 | 米Yahoo!で、不正アクセスにより最終的に30億人分以上のユーザー個人情報が漏えいしていたことが判明(2017年10月) | 32.3 |
| 5 | ランサムウェアや遠隔操作ウイルスの作成、フリーマーケット アプリへのマルウェア関連情報の出品など、中高生によるサイバー犯罪で逮捕者が続出 (2017年6月~9月) | 27.2 |
| 6 | Appleを装い、アカウント情報を詐取するフィッシング攻撃が確認される (2017年2月) | 26.0 |
| 7 | 女優や女性アイドルなどの芸能人が画像を保存するなどしていたインターネットサーバーに不正にログインしたとして、無職の男を書類送検(2017年4月) | 23.0 |
| 8 | 防衛省と自衛隊の情報基盤がサイバー攻撃を受けたとの報道(2016年11月) | 20.4 |
| 9 | 女性タレントや女性アイドルらの電子メールサービスなどに不正接続したとして、大手新聞社の社員を逮捕(2016年11月) | 19.3 |
| 10 | 日本マクドナルドのシステムがマルウェアに感染し、外部に向けて大量のパケットを発信して通信を圧迫、商品購入時のポイントサービスが利用不能に (2017年6月) | 18.8 |
1位はランサムウェア「WannaCry」だ。150ヵ国以上で35万件にもおよぶ感染被害をもたらし、世界規模で影響を及ぼした。日本でも製造業や運輸などの主要業界で被害が報告されたこともあり、インパクトは大きかったようだ(関連記事:世界が被害に遭った「WannaCry」は何がヤバかったのか?)。
WannaCryが日本でも流行したことから、日本に対するランサムウェアの攻撃がさらに活発化することも予想される。これまで日本では、言語の違いがサイバー攻撃に対する障壁になり得ると考えられていた。ランサムウェアは、感染した端末に「ファイルを暗号化した、復元してほしければ金を払え」といったようなメッセージを表示することが多い。英語、あるいは不自然な日本語のメッセージであれば、不審に思い、身代金をスムーズに払う事態に繋がりにくい。しかし、今後は攻撃側の機械学習の活用などにより、言語の壁は低くなると想定されるため、より“自然”な脅迫が発生する可能性がある。
ランキングを見ると、大手宅配業者の商品の発送や宅配便のお知らせを装った偽メールが増加した事件、無線LANの暗号化規格であるWPA2の脆弱性(通称「KRACK」/「KRACKs」)が発見された事件などを挙げる回答者も少なくなかった(関連記事:Wi-Fiが危ない!? ユーザーが気をつけることとは)。
Amazonなどの通販サイトを利用する機会が日常のものとなり、カフェや公共施設などでのWi-Fiの利用は当たり前となっている。インターネットはすっかり生活の一部となっているが、広い層に普及したということは、悪意をもった攻撃者のターゲットになりやすくなったとも考えられる。インターネットが生活の中に溶け込んだ現在、プライバシーの問題について考え直さなくてはいけない現実が浮き彫りになったのが2017年といえるかもしれない。
またマカフィーでは、2017年に企業や個人を問わず影響を及ぼしたセキュリティ上の一般的な脅威に関する調査も実施。前述したランサムウェアや無線LANの被害はもちろんのこと、大手金融機関やクレジットカード会社などをかたるフィッシング詐欺の事例を挙げる人も多く、こちらも来年以降の警戒が必要といえる(関連記事:「至急ご確認ください!」まあスパムメールなんですけどね)
一方で、セキュリティ事件の第1位にランクインしたWannaCryさえも、ビジネスパーソンの認知度は36.7%だった。あなたはいくつ知っているだろうか? 知らない事件があった、聞いたこともない言葉があった……という人でも、過度に不安になる必要はない。これを機に2017年のセキュリティトピックを復習し、2018年にしっかりと備えよう。
今年に起きた事件を知ることは、セキュリティへの意識を高めるだけでなく、これから起きるかもしれない、新しいサイバー攻撃にうろたえない備えともなる。マカフィーの「2017年のセキュリティ事件に関する意識調査」をぜひチェックしてほしい。
世界中に影響を与えたランサムウェアの被害や、無線LANの脆弱性が上位にランクイン
若年層のサイバー犯罪が目立った一年に
マカフィーは11日、日本国内の経営層や情報システム部門などのビジネスパーソンを対象に「2017年のセキュリティ事件に関する意識調査」を実施し、その結果を基にした2017年の10大セキュリティ事件を発表しました。
今年は、第1位に日本でも被害をもたらしたランサムウェア「WannaCry(ワナクライ)」の事件がランクインしました。このWannaCryの事件では、端緒となった欧州を中心に世界中の企業に感染が拡大し、日本でも製造業や運輸などの主要業界で被害が報告されるなど、世界規模で影響を及ぼした事件として、ランサムウェアの名前を知らしめる結果になりました。またその他にも、無線LANの暗号化技術の脆弱性や有名人の個人情報への不正アクセスなど、高度情報化社会における個人のプライバシーに関する脅威がさらにクローズアップされた一年でした。また、注目の事件として、今年は例年以上に中学生や高校生によるマルウェアの作成やフリーマーケット アプリでのマルウェア関連情報の出品など、若年層のサイバー犯罪が強く印象に残った年となりました。
2017年の10大セキュリティ事件ランキングに関するマカフィーの主な見解
・マカフィーが従来から指摘してきた通り、世界中のあらゆる組織がインターネットに接続して事業活動を行っているため、WannaCryのように海外で発生した事件であっても、インターネットを介して瞬く間に日本にも影響が及ぶことを十分に念頭に置いた速やかな対策がこれまで以上に求められます。さらに日本ではこれまで、言語の違いがサイバー攻撃に対する障壁になり得ると考えられていましたが、今後は攻撃側の機械学習の活用などにより言語の壁は低くなると想定されるため、日本に対する攻撃がさらに活発化することも考えられます。
・個人向けの脅威では、普段利用している無線LANの脆弱性や個人情報への不正アクセス事件など、今や生活の一部となっているインターネットの利便性だけでなく、そこに潜むプライバシーの問題について改めて考え直す一年になりました。
・若年層によるサイバー犯罪の摘発は、日常がデジタル化された世界では、以前は限られた専門家のみが利用できたサイバー犯罪に関する情報に、場所や年齢を問わず誰でもアクセスできるようになったことを示しています。今後も情報化の流れはさらに進むものと思われますが、教育などを通じた情報リテラシーの向上がもはや喫緊の課題となっていると考えています。
調査結果を基にランク付けした2017年の10大セキュリティ事件は以下の通りです。なお、当ランキングは、昨年実施した3回目の調査(2016年10月)から今回の調査を開始した2017年10月までに報道されたセキュリティ事件に対するビジネスパーソンの認知度(複数回答)を調査した結果によるものです。
| 順位 | セキュリティ事件(時期) | 認知度(%) |
|---|---|---|
| 1 | ランサムウェア「WannaCry / WannaCrypt(ワナクライ)」の大規模な攻撃が世界中で確認され、国内でも製造や運輸などの業界で被害が発生(2017年5月) | 36.7 |
| 2 | Amazonをかたるフィッシングメール/「Amazon」の利用者を狙ったフィッシング攻撃が発生/大手宅配業者の商品の発送や宅配便のお知らせを装った偽メールが増加(2016年11月~2017年1月) | 36.2 |
| 3 | 無線LANの暗号化規格であるWPA2の脆弱性(KRACK / KRACKs)が発見される(2017年10月) | 32.8 |
| 4 | 米Yahoo!で、不正アクセスにより最終的に30億人分以上のユーザー個人情報が漏えいしていたことが判明(2017年10月) | 32.3 |
| 5 | ランサムウェアや遠隔操作ウイルスの作成、フリーマーケット アプリへのマルウェア関連情報の出品など、中高生によるサイバー犯罪で逮捕者が続出 (2017年6月~9月) | 27.2 |
| 6 | Appleを装い、アカウント情報を詐取するフィッシング攻撃が確認される (2017年2月) | 26.0 |
| 7 | 女優や女性アイドルなどの芸能人が画像を保存するなどしていたインターネットサーバーに不正にログインしたとして、無職の男を書類送検(2017年4月) | 23.0 |
| 8 | 防衛省と自衛隊の情報基盤がサイバー攻撃を受けたとの報道(2016年11月) | 20.4 |
| 9 | 女性タレントや女性アイドルらの電子メールサービスなどに不正接続したとして、大手新聞社の社員を逮捕(2016年11月) | 19.3 |
| 10 | 日本マクドナルドのシステムがマルウェアに感染し、外部に向けて大量のパケットを発信して通信を圧迫、商品購入時のポイントサービスが利用不能に (2017年6月) | 18.8 |
2017年を代表する脅威“WannaCry”
今年を代表する脅威としてランキングの第1位に登場したのはランサムウェア「WannCry」でした。ランサムウェアは、感染したシステムを暗号化するなどして使用不能にした後、再度アクセスすることと引き換えに被害者に対して身代金(ランサム)の支払いを要求するタイプのマルウェアです。今回ランキングのトップになったWannaCryは、ハッカー集団が公開した脆弱性を悪用するもので、その被害は150ヵ国以上に及ぶと報告されており、その中には日本の企業なども含まれています。WannaCryの詳細についてはマカフィーのブログでも解説されていますが、今回のWannaCryの事件で顕著だったのはその感染力で、自己増殖するワーム型の特徴を備えたランサムウェアであったことが、感染を世界規模に拡散させた要因であることが指摘されています。マカフィーでは2018年の脅威予測でランサムウェアが今後はより収益性の高い企業などを標的とし、またその目的も従来の身代金による金銭目的から、サイバー上の破壊攻撃や妨害活動へ拡大すると考えています。今年のランキングではランク外だったランサムウェア「Petya」(6月)による攻撃キャンペーンは金銭よりも破壊活動を目的としたものであったと考えられており、韓国のWebホスティング会社への攻撃はAPT攻撃とランサムウェアの組み合わせにより、ホスティング契約していた顧客データを暗号化し、被害者に対して身代金支払いを要求する攻撃も発生しました。本格的な標的型ランサムウェア時代の幕開けに伴い、企業におけるランサムウェア対策はこれからも最優先事項の1つとなるとマカフィーでは考えています。
ランサムウェアへの対策として、ソフトウェアを常に最新のものに更新する、マルウェア対策ソフトウェアを活用する、疑わしいファイルやメール、リンクを開かない、常にデータのバックアップを取る、などを推奨しているほか、警察機関やその他のサイバーセキュリティ企業などと協力して、ランサムウェアに関する啓発や復号ツールの提供などを目的としたWebサイト「No More Ransom!」を開設し、ユーザーを支援しています。
サイバー空間における個人のプライバシーについて認識を新たにする一年に
今年のランキングで第7位と第9位にランクインした不正アクセスによる有名人の個人情報の取得に加え、第3位にランクインした無線LANのデータ暗号化機能であるWPA2の脆弱性など、2017年はユーザーの個人情報やプライバシーへの脅威が顕在化した一年となりました。現在、SNSや個人向けクラウド サービスなど、私達の日常はさまざまな場面でインターネットのメリットを受けていますが、そこで送信・保存されている個人情報やプライバシーについてはあまり気にしていない方も多いと思います。一方で、サイバー犯罪者は、そのようなユーザー心理を悪用し、重要な個人情報やプライバシー情報を不正に入手するための技術やテクニックを進化させています。マカフィーでは、デジタル時代のユーザーの心得として、自身に関する情報の場所や保存方法、そして使用方法などを十分に意識すると同時に、信頼できるサービスやインターネット回線であるかどうかを見極められるだけのリテラシーを備えていく必要があると考えています。そして、まだ個人情報の窃取やプライバシー侵害の被害に遭っていないユーザーでも、明日起こるかもしれない危険を意識してセキュリティ対策に取り組むことを強く推奨しています。私達の生活のデジタル化の流れは不可避のものとなるなか、改めて個人レベルで情報やプライバシーの問題について考え直す時期になっています。
サイバー空間はすでに若年層の格好の遊び場に
今年マカフィーが注目したセキュリティ事件として、第5位に中高生によるサイバー犯罪がランクインしました。昨年の調査でも若年層によるサイバー犯罪がランクインしましたが、今年はさらに多くの事件が話題を集めました。また、若年層によるサイバー犯罪も従来のような不正アクセスによる情報の窃取だけでなく、マルウェアの作成からフリーマーケット アプリ上へのマルウェア関連情報の出品など、その手口がさらに多様化してきているのも今年の特徴です。今や場所や年齢を問わず、インターネット上でサイバー犯罪に関する情報を手に入れられる時代になっています。デジタル化が進み、若年層によるサイバー犯罪を抑止することがますます難しくなるなか、家庭や教育課程でサイバー空間との付き合い方について話し合うなど、情報リテラシーを若年層の“必修科目”の一つとして採用する時代になっていると、マカフィーでは考えています。
2017年の身の回りの脅威ランキング
また、マカフィーでは、2017年の10大セキュリティ事件ランキングに関連して、2017年に企業や個人を問わず影響を及ぼしたセキュリティ上の一般的な脅威に関する調査も実施しました。この調査は、調査対象時期全体を通じて、特定の事件には関連しないものの、一般的なセキュリティ上の脅威として注意すべきものに対するビジネスパーソンの認知度(複数回答)を基にランク付けしたものです。2017年の注目すべき一般的な脅威は以下の通りです。
| 順位 | セキュリティ上の脅威 | 認知度(%) |
|---|---|---|
| 1 | 振り込め詐欺/迷惑電話による被害 | 52.6 |
| 2 | ランサムウェア(身代金ウイルス)の被害 | 45.0 |
| 3 | 大手金融機関やクレジットカード会社などをかたるフィッシング | 41.0 |
| 4 | 公共無線LANのセキュリティ問題 | 35.1 |
| 5 | ビジネスメール詐欺の被害 | 25.2 |
マカフィーの過去の調査では、振り込め詐欺/迷惑電話による被害、金融機関などをかたるフィッシング、公共無線LANのセキュリティ問題などが毎年上位にランクインしていましたが、今年の調査ではランサムウェアの被害が2位にランクインしました。これは今年発生したWannaCryによる被害者数と被害を拡大させるスピードがこれまでのランサムウェアとは桁違いであったことで、情報セキュリティ関連組織による啓発活動や報道機関の注目度が増し、社会でのランサムウェアに対する理解や意識が高まったことによるものとマカフィーでは考えています。サイバー犯罪者は技術や手法を進化させながら、ビジネスや自宅など日常のあらゆる場面でサイバー上の脅威を拡大させており、インターネットに接続されているあらゆるものがサイバー攻撃の標的となることを認識すべきです。
マカフィー株式会社の代表取締役社長である山野 修は次のように述べています。
「やはり今年はWannaCryの1年と言える年だった思います。欧州で発生し、瞬く間に世界、そして日本へと拡大したこのランサムウェアは、標的となった企業だけでなく、社会全体にサイバー上の脅威の潜在力を再認識させる出来事でした。私達のビジネスや生活がますますデジタル化していくことは明らかですが、そのような環境で企業や個人の大切な情報や資産をどのように守っていくのか、改めて考え直す必要があると考えています。日本が2020年という節目の年を迎えるにあたって、もはや日常となった情報セキュリティ上の脅威について、あらゆる組織や個人が次のステージへと歩みを進めなければならない時期に来ていると考えています」
■関連サイト
■関連記事