トレンドマイクロ、セキュリティ脅威の2014年総括と2015年予測を発表
2014年に狙われたのはネットバンク、OSSの脆弱性、POS端末
2015年01月09日 09時30分更新
1月8日、トレンドマイクロは2014年の情報セキュリティに関する脅威動向をまとめたレポート「2014年情報セキュリティ三大脅威」を公開した。それによると、2014年は個人・法人ともに金銭化などが可能な個人情報の窃取を目的とする攻撃が増加、攻撃対象はボーダーレス化し、2015年もその傾向にさらに拍車がかかるという。
「金脈」の個人情報を狙い、2015年も攻撃・被害増大か?
同レポートでは、2014年の情報セキュリティの脅威において特に顕著だったものを「法人・個人共通」「個人」「法人」に分類、紹介している。 法人・個人共通の三大脅威では、「ネットバンキング利用者を狙う脅威」「脆弱性の影響範囲の拡大」「POSシステム経由の攻撃」が挙げられた。
ネットバンキングについて、国内のPCで不正プログラムが検出された台数は、2013年に2万2175件だったのが、2014年11月30日時点では4万4164件とほぼ倍増。個人のみならず法人での被害も拡大しており、2014年の不正プログラム検出台数は対前年比の倍となる約8000台以上となった。法人・個人全体の検出台数でも、法人が占める割合は期を追うごとに増えているという。
加えて、攻撃手法も悪質化している。トレンドマイクロでは、感染端末上で自動的に不正送金を行うATS(自動送金システム)や、法人ネットバンキングの認証強化で利用される電子証明書の窃取事例を国内で確認。脅威の波は地銀やクレジットカード会社にまで拡大していると、トレンドマイクロの染谷征良氏は述べる。
2つめの脅威は、ゼロデイ脆弱性を悪用したサイバー攻撃の増加だ。特に影響が大きかったのは、OpenSSLやShellShockなどのオープンソースソフトウェアの脆弱性を悪用したものだ。ShellShockでは、脆弱性が発表されてから24時間以内に同脆弱性を悪用するマルウェアが確認されているなど、攻撃が展開されるまでの速度も上がっている。「オープンソースソフトウェアは組み込み機器で採用されることが多い。IoT/IoEの普及が進む中で、今後もさらにこうした攻撃は増えるだろう」。
3つめの脅威は、POSシステムからクレジットカード情報を狙われる事案の増加だ。デパートやスーパーだけでなく、外食産業から駐車場、配送まで、POSシステムを利用するすべての業態が影響圏内だ。
POSシステムを狙った不正プログラムの検出台数は、世界全体で見ると2013年に22件だったのが、2014年には467件と激増している。特にアメリカでは同被害が相次いでおり、ICチップとPINで決済する「Chip and PIN」方式が普及していないこと、ネット接続可能なWindows端末をPOSシステムとして利用するオープン化が進んでいることが原因に考えられると、染谷氏は言う。
日本国内に目を向けると、昨年でまだ6件と少ないが、「お正月のセールでコートを購入するとき、カード決済時にふとレジを見たら、ネット接続されたWindows XP端末にPOSターミナルがUSBで接続されており、署名や暗証番号を必要としないシステムだった。オープン化の波は日本にも来ており、今後アメリカ同様に被害が増える可能性は高い」と、染谷氏は警告する。
個人ではフィッシング詐欺が、法人では内部犯行が注目された
個人における2014年の三大脅威には、「フィッシング詐欺の悪質化」「不正ログイン被害の拡大」「モバイル端末の標的化」が挙げられた。特に、昨年夏以降に活発化したフィッシング詐欺は、トレンドマイクロで確認されているだけでも誘導されたユーザー数が約167万人に及んでいる。その8割近くは、ネットショッピングサイトと金融関係サイトから誘導されている。「古典的な手法だが未だ有効で、サイバー犯罪者に重宝されているようだ」。
法人における三大脅威は、「標的型サイバー攻撃の範囲拡大」「明確な目的を持った内部犯行」「公開・Webサーバーを狙う攻撃の悪質化」が挙げられた。
標的型サイバー攻撃では、デジタル化された個人情報を狙ってあらゆる業種や規模の企業が標的になった。同社が国内法人から受けた解析依頼のうち、情報窃取で使われる遠隔操作ツール(RAT)が確認されたケースは、2013年7~9月期で全体の4.2%だったのが、2014年10~12月期には49.2%に増えている。
2014年は、内部犯行による情報窃取の事件も目立った年だった。「金銭トラブルを抱えている、社内の人間関係がうまくいっていない、転職や起業したいといった明確な目的を持つ社員が、重要な情報へのアクセス権限のある立場を利用して情報を持ち出すケースが見られた。しかも、内部ゆえに1年以上も気付かれないケースもあった」。
トレンドマイクロでは、企業の業務データ取り扱いに関するアンケート調査を実施しているが、自分の業務に関係ないデータへアクセスしたことがあると回答した人は13.8%、禁止データを外部に持ち出した人は7.9%、退職時にデータを持ちだした人は4.4%となった。「どの組織にも、内部犯行者の候補が必ずいると考えてよいかもしれない」。
以上、全体の傾向をまとめると、法人や個人、業種や規模などの垣根は消え、金銭などの利益をもたらす「個人情報」を狙った犯行が増加。被害に気付かないことも多く、攻撃や被害が長期化し、影響範囲も拡大するケースが多かったと、染谷氏は総括する。
「そんな負のスパイラルから抜け出すには、まずは情報資産の重要度を定義・分類し、棚卸を定期的に実施することが必要だ。組織内のどこに、どのような情報があるかを知ることで、対策も打てる」。
(次ページ、脅威が加速化する2015年、「起きることを前提に」対策すること)