テクノロジーの進化に伴い、さらに多様化し、凶悪化するサイバー犯罪。それに対抗していくには、最新のセキュリティソフトを用いるだけではなく、正しい現状認識を持ち、今現在の情報を絶えず取得していくことが重要だ。
マカフィー米国本社のチーフコンシューマ セキュリティ エヴァンジェリスト兼マーケティング担当バイスプレジデントのギャリー・デイビス氏が来日。8月2日にメディア関係者の質問に答えた。デイビス氏は、進化するサイバー犯罪の現状を整理しつつ、それに立ち向かう人材を育成するため、ゲーマーを積極的に登用してはどうかという提案する。
リスクの少なさが、サイバー犯罪を助長している
これまでの犯罪は、対象までの距離が近かった。例えば銀行強盗であれば、銀行へ行き、銃を向け、お金を取って逃げる必要があり、犯罪者のリスクも高かった。しかしサイバー犯罪では現場に赴く必要はない。離れた場所からの「リスクの低い犯罪」と言える。イギリスではすでに全犯罪の53%がサイバー犯罪と言われており、2021年には被害総額が6兆ドル(668兆円)を超えると予想されている。
脅威レポートをみると、マルウェアの増加が顕著だ。
McAfee Labsでは、パソコン向けのマルウェアを7億3400万サンプル、Android向けでは2600万サンプルを収集済みとのこと。そのMcAfee Labsの脅威レポートによると、ここ数年間で件数が急速に伸びたのはランサムウェアで2016年第2四半期に800万件弱だったものが2018年第1四半期には1600万件強と倍増している。しかし、ランサムウェアはその破壊的な行動から犯罪者にも嫌われ始め、セキュリティ業界も協力して対策を講じてきたこともあり、その伸びはとどまっていて、新規のランサムウェアの数は2017年の第4四半期に210万件あったものが、2018年第1四半期には150万件弱までへっていて、今後さらに少なくなっていくと予想している。また、実行したコンピューターを勝手に仮想通貨のマイニングのリソースに使用するマルウェアも急激に増加しており、2017年までは四半期で50万件に届かなかったものが、2018年第1四半期には300万件弱まで増えている。
また現在120億がインターネットに接続しているとされる「IoTデバイス」をターゲットとした脅威も登場している。原因は、ほとんど企業がセキュリティへの配慮が不十分な状態で市場投入していることだ。口では「まずは製品を出して、後からセキュリティについて考える」と言いながら、実は対応をしない場合が多く、ユーザーが負うリスクが高くなっている。ある調査では、IoTのセキュリティに対しては75%の回答者(企業)が重要と考えているにもかかわらず、84%が対策を講じていないという調査結果も出ている(McKinsey「IoTサイバーセキュリティに関するグローバルエキスパートサーベイ(2017年)」)。
デイビス氏の自宅にも28台のIoTデバイスがあるが、購入前によく調べ、導入後は必ず自分だけのパスワードを設定するなどの基本的なことは欠かさないという。もっとも攻撃されるのはデフォルトのID/パスワードを使っているときで、その2つを自分で設定するだけでリスクが低くなる。もっとも脆弱性の高いのはルーターで、機能や設定が複雑なデバイスであるために消費者が使いこなせず、侵入される可能性がもっとも高いという調査結果も出ている。
最近話題となった2種類のマルウェアも紹介された。1つは「Mirai」。ボットネットとしてブルートフォースアタック(総当たり攻撃)を実施し、既知のユーザーパスワード使ってIoTデバイスにアクセス。侵入後にマルウェアをインストールする。このMiraiはオープンソースとなっており、その亜種によるSQLインジェクション攻撃(データベースシステムを不正に操作する攻撃)が派生している。
もう1つは「Reaper」。既知の脆弱性を狙ってIoTにマルウェアを送り込むものだ。Miraiよりも早く浸透しており、ある報道では200万台のデバイスが感染。攻撃者が命令を出せば、感染したデバイスから一斉にDDoS攻撃が行なわれ、インターネットを停止する力を持ちうるとも言われている。