2019年の10大セキュリティ事件を発表
2019年は、さまざまな分野でテクノロジーが我々の暮らしに入り込んできた1年といえる。利便性により市場への浸透が進むバーコード決済サービス、もはや当然となったSNSを使ったキャンペーン、クラウドサービスの普及など……。
しかし、多くの人々に利用されているものは、サイバー犯罪者たちの標的にもなりやすい。
マカフィーは12月17日、2019年の10大セキュリティ事件を発表した。日本国内の経営層や情報システム部門などのビジネスパーソンを対象とした調査を実施し、その結果をもとにまとめたものだ。
| 順位 | セキュリティ事件(時期) | 認知度(%) |
|---|---|---|
| 1 | セブン&アイ・ホールディングス傘下のセブン・ペイが運営するバーコード決済サービス「7pay」の一部アカウントへの不正アクセスを確認。経緯とともに同サービスの廃止を発表(7月~10月) | 63.9 |
| 2 | ヤマト運輸が提供するクロネコメンバーズのWebサービスにて外部からパスワードリスト攻撃による不正ログインが判明(7月) | 36.4 |
| 3 | 通信機器でスパイ行為をしているとの指摘を受け、次世代通信規格5Gネットワーク建設で、中国の華為技術(ファーウェイ)の通信機器に対して、安保上の理由から締め出し強化(5月) | 34.0 |
| 4 | 会員制交流サイト(SNS)に投稿された顔写真の瞳に映った景色を手掛かりに、アイドル活動をしている女性の住所を特定し、わいせつな行為をしたとして男が逮捕、起訴(10月) | 33.4 |
| 5 | 5億4000万件以上のFacebookユーザーの情報を含むデータセットが、Amazon Simple Storage Serviceのバケットからダウンロード可能な状態で公開されていたことが発覚(4月) | 29.6 |
| 6 | ゆうちょ銀行をかたり、「『ゆうちょ認証アプリ』による本人認証サービス開始」などの件名で、本文に記載したフィッシングURLからのログインを促す内容のフィッシングメールに対して注意喚起(6月) | 28.4 |
| 7 | トレンドマイクロの元従業員が顧客情報を盗み出し、第三者に売却したことで米国など海外の最大12万人分の情報が外部に流出(11月) | 27.3 |
| 8 | スマートフォンのSMS(ショートメッセージサービス)を使って個人情報を盗み取ろうとする「スミッシング」と呼ばれるサイバー攻撃が激化(4月) | 25.6 |
| 9 | 「宅ふぁいる便」サーバへ不正アクセス、約480万件の個人情報が流出(1月~3月) | 25.5 |
| 9 | 北朝鮮 金正恩氏と米 ドナルド・トランプ大統領による首脳会談中にも、北朝鮮のハッカー集団がアメリカや同盟国の企業に対するサイバー攻撃の手を緩めず(2月~3月) | 25.5 |
第1位は、セブン&アイ・ホールディングスのモバイル決済サービス「7pay」への不正アクセスにより、ユーザーに金銭的被害が発生したこと。サービス開始から1ヵ月で撤退が発表されるという異例の展開であり、事件の認知度も傑出していた。
この件は、2要素認証などの仕組みを取り入れていなかったこと、リセット時にメールアドレスを変更できるようになっていたことなど、セキュリティを考慮された形跡が見受けらない点がとりわけ問題視された。セキュリティに対するポリシーが企業として浸透していない、サービス提供にあたってのセキュリティ面のリスク評価がされていない……と受け止められてしまい、大きな問題となった。
続々と現れた決済サービスだが、消費者は利便性にともなうリスクについて理解した上で、サービスを活用することが求められる。個人情報の管理、サービスの利用方法、設定の確認はもちろんのこと、情報漏洩などの事故に遭遇してもなるべく被害が軽く済むように、IDとパスワード管理の必要性を認識しておくべきだ。
また、企業の立場からは、利便性と安全性のどちらかを優先することなく、十分な安全性を確保した上でサービスを提供する必要があるといえるだろう。
