ネットワークにつながる機器が増えれば、ターゲットは増加する!
IoTデバイスが広まれば、サイバー攻撃の被害は拡大する!?
2016年06月24日 09時00分更新
6月13日、政府は内閣サイバーセキュリティセンターの「サイバーセキュリティ戦略本部」の第8回会合において、2020年の東京五輪にそなえ、サイバー攻撃を見すえた電力や水道、鉄道などの重要インフラのセキュリティー対策を強化することなどを盛り込んだ、年次計画の案を決定した。
案では、G7=主要7ヵ国との政策協調や協力、そして情報収集能力を強化するとしているほか、サイバーセキュリティーの専門家を育成するため、小中学校でのプログラミング教育の必修化など人材育成を強化する。さらに、更新制の国家資格「情報処理安全確保支援士」の来年春からの実施に向けて必要な措置を行なうとしている。
おりしも「IoT」が各方面でうたわれている。今後4年間で、より多くのデバイスがインターネットに接続されるようになるだろう。2020年には、サイバーセキュリティーの被害対象は今よりもはるかに増えているかもしれない――McAfee Blogの過去記事「サイバーセキュリティーの『現在、過去、未来』。今後5年間の新たな問題とは?」から、未来のセキュリティー事情を考えてみよう。
過去~2015年のセキュリティ事件を振り返る
インテル セキュリティは昨年から、日本国内の経営層や情報システム部門などのビジネスパーソンを対象にした「セキュリティー事件に関する意識調査」をもとに、「10大セキュリティー事件ランキング」を発表しています。過去1年間に発生した主なセキュリティー事件を30件選定し、それらの事件の認知度を測定することによって、日本の社会に大きなインパクトを与えた事件をあぶり出すものです。
ちなみに2014年の10大セキュリティー事件は、「LINEの乗っ取り被害」など複数のWebサイトに対するパスワードリスト攻撃がランクイン。第1位は、内部関係者の犯行による「ベネッセ顧客情報流出事件」でした。
さて、2015年はどうかというと、多くの方の記憶に新しい「日本年金機構への標的型攻撃で125万件の年金個人情報が流出」が1位となりました。2位は「振り込め詐欺/迷惑電話による被害」、3位は「大手金融機関やクレジットカード会社などをかたるフィッシング」となっています。
日本年金機構の情報流出事件では、人の心理を欺いて重要な情報を暴露・公開させる「ソーシャルエンジニアリング」という手法が使われました。いかにも業務に関係しそうな内容のメールにマルウェアを添付して開かせることによって、機密情報が流出しました。しかし、これを責めることはできないでしょう。インテル セキュリティでは、10通のメールに隠された7通のフィッシングメールを当てる「フィッシング・クイズ」を提供していますが、回答者の80%が少なくとも1通以上のメールがフィッシングメールであることに気付かないという結果が出ています。
未来~2016年、そして今後5年間の動向は
もう一つの発表は、2016年と今後5年間のサイバー脅威予測をまとめた「McAfee Labs脅威予測レポート」に関するものです。
2016年脅威予測レポートでは、これまでもインテル セキュリティが警鐘を鳴らしてきた「ハードウェアへの攻撃」「ランサムウェア」といった事柄に加え、新しい問題も取り上げています。
その一つは、日本の得意分野でもある「自動車」です。インテル セキュリティ McAfee Labsの上級副社長を務めるヴィンセント・ウィーファーは、「2020年には、ネットワークに接続されたコネクテッドカーが2億2000万台に増加すると予測されている。攻撃者もそこを狙ってくるはずだ」と予測し、実被害は発生しないまでも、さまざまなコンセプト実証コードや脆弱性が見つかるだろうという見通しを示しました。
また、「盗まれたデータが蓄積する闇市場」にも警告を発しています。ウィーファーは「われわれがオンラインショッピングサイトで顧客のデータを関連付け、マッチングしているのと同じように、攻撃者側も盗まれたデータを蓄積し、ビッグデータを関連付け、情報の価値を高めていくだろう」という懸念を示しました。
「2020年までの脅威予測」としてウィーファーが挙げたのは「サイバー攻撃の対象領域の拡大」や「サイバー脅威の進化」です。
今後5年間でいっそう多くのデバイスがIP接続に対応し、ネットワークにつながることでしょう。その数は2000億台に達するとも言われていますが、これに伴い、潜在的なターゲットが増加することになります。「私の自宅だけでも、PCやスマートフォン、タブレット端末をはじめ、50台はつながることになるかもしれない。このうち1台でも攻撃されれば、それ以外の信頼されたデバイスも攻撃される恐れがある」とウィーファーは述べ、家庭内で使われる個人のデバイスのセキュリティーについても一層の注意を払う必要があると指摘しました。
一方で「Hacking as a Service」とでも表現できそうな市場が拡大し、必ずしも技術的な知識を持たない人物でも手軽に攻撃を実行できる環境が整いつつあります。並行して、国家による攻撃のリスクも高まると予想されます。
ウィーファーはこうした見通しを踏まえ、防御側は統合されたセキュリティを通じて脅威情報を共有し、よりスマートになっていかなければならないと語りました。同時に「それでも100%防御することは難しいため、侵入を受けたときにどうするかという手段を用意していく必要がある」という点にも注意を呼び掛けています。
「2016年の脅威予測」レポートについては、以下のサイトからダウンロード可能です。みなさんのセキュリティ対策に、ぜひご活用ください。
この連載の記事
-
第20回
デジタル
「ファイルを返してほしければ、他人を感染させろ」と言われたでござる -
第19回
デジタル
2017年、サイバー犯罪で泣かないために知っておきたいこと -
第18回
デジタル
「偽ポケモンGO」、アノニマスの日本攻撃……2016年セキュリティ10大事件 -
第17回
デジタル
DDoS攻撃でビルの暖房が使えなくなり凍死寸前!? -
第16回
デジタル
あなたのAndroid、やっかいなものに“感染”していないか? -
第15回
デジタル
2017年、「いいね!」は金で買われ、ドローンは乗っ取られる(かも) -
第14回
デジタル
GoogleのGはニセモノのG!? 「ɢoogle.com」あらわる -
第13回
デジタル
「至急ご確認ください!」まあスパムメールなんですけどね -
第12回
デジタル
金融庁、サイバー攻撃の対策訓練! でも俺らに関係あるの?←あります -
第11回
デジタル
Apple Payは便利、それでもセキュリティー意識は肝心 -
第11回
デジタル
グーグル「自撮りお願いしまーす」←実はマルウェアだった! - この連載の一覧へ
