1. 情報セキュリティの2017年を振り返る

ニュース【vol.22】

2018.05.29

情報セキュリティの2017年を振り返る

  • Facebook
  • このエントリーをはてなブックマークに追加

shutterstock_288287039
2017年は、皆さんにとってどのような1年でしたか? サイバー脅威では、残念ながら多くの攻撃や事故が前年に続き発生しました。標的型攻撃は依然として続き、「WannaCry」から始まった新たなランサムウェアは、破壊型マルウェアへと変貌しました。多くの深刻な脆弱性も発見され、サイバー犯罪の若年化も目立ちました。今回は、2017年を振り返ります。

2017年のサイバー脅威振り返り

標的型攻撃と情報漏えいは依然として大きな脅威

2017年の振り返りは、独立行政法人 情報処理推進機構(IPA)による「情報セキュリティ10大脅威 2018(http://www.jnsa.org/active/news10/index.html:以下、十大ニュース)」を参考に見ていきます。

IPAによる「情報セキュリティ10大脅威2018」

IPAによる「情報セキュリティ10大脅威2018」

2017セキュリティ十大ニュース
【第1位】10月4日 総務省が「IoTセキュリティ総合対策」を発表
~ 攻撃者が嬉々とするIoT機器の危機的な状況 ~

【第2位】5月14日 IPAがランサムウェア「WannaCry」に関する注意喚起を発表
~ 侮るなかれ、セキュリティ対策の基本の基本 ~

【第3位】8月25日 米国の一私企業のミスで日本の通信インフラが混乱
~ 巨人の咳一つでゆらぐインターネット ~

【第4位】10月16日 世界が狂騒したWPA2の脆弱性は狂想だった
~ SNSでの不確かな憶測情報が不安を助長した ~

【第5位】12月20日 米国、サイバー攻撃に北朝鮮関与を断定
~ 国家によるサイバー攻撃の常態化 ~

【第6位】12月5日 長野県の高校生が不正アクセス容疑で逮捕される
~ 目立つサイバー犯罪の低年齢化 ~

【第7位】5月30日 改正個人情報保護法が全面施行に
~ 個人情報の保護と利活用の両立に効果を発揮するか ~

【第8位】9月7日 米国消費者信用情報会社Equifaxで大量の個人情報が流出
~ 止まらぬ大規模情報漏洩事件 ~

【第9位】10月2日 IPA「情報処理安全確保支援士」累計で約7,000名に!
~ 2020年までに3万人は達成できるのか ~

【第10位】10月31日 セキュリティ会社員がウイルス保管容疑で逮捕
~ セキュリティ企業が時代の要請に応えるために ~

JNSAによる「JNSA 2017 セキュリティ十大ニュース」

企業における10大脅威では、「標的型攻撃による情報流出」が前年に続きトップでした。
2017年も、多くの情報漏えい事故が発生しました。そのすべてが標的型攻撃によるものというわけではありません。6位には「ウェブサービスからの個人情報の窃取」(前回3位)、8位には「内部不正による情報漏えい」(前回5位)がランクインしています。しかし、標的型攻撃で盗まれるのは個人情報だけではありません。

標的型攻撃は、政府や企業などの重要な情報を標的にしています。それは国家機密であったり、軍事機密であったり、新製品の開発情報であったりします。盗まれた場合の損失額が莫大になるケースもあります。標的型攻撃は、それだけ巧妙で洗練された手法を使って長期にわたり標的に潜入しますから、今でも潜み続け、情報を盗み続けている可能性もあるのです。

情報漏えいという点では、十大ニュースの8位に「米国消費者信用情報会社Equifaxで大量の個人情報が流出」がランクインしています。また2017年には、米Yahoo!で2013年に発生した個人情報漏えいの人数が、最終的に全アカウント文の約30億人であったことが明らかになりました。Equifaxでも1億4500万人分の個人情報が漏えいしていて、大規模情報漏えいへの懸念が広がりました。

世界中に蔓延したランサムウェア「WannaCry」

 10大脅威、十大ニュースのともに2位は、ランサムウェアでした。ランサムウェアは以前からもありましたが、2017年5月に世界各地で同時に発生した「WannaCry」は強いインパクトを与えました。WannaCryが悪用した脆弱性は、2017年3月に修正プログラムが公開されていた「SMB」というファイル共有機能でした。この機能を悪用することで、ユーザーがアクションを起こさなくても感染する「ワーム」として動作し、感染を拡大しました。

 WannaCryはその後、「Petya」などの亜種を生みました。これらは復号キーを持たず、ランサムウェアというよりは、もはや「ファイル破壊型マルウェア」と呼ぶべきものとなっています。

日本でも被害が明らかになった「BEC」

 10大脅威の3位は、前回はランク外だった「BEC」となりました。「ビジネスメール詐欺」と呼ばれるBECは、標的型攻撃の手法などにより企業内のメールを盗み見して、大きな金額が動く契約時などに合わせて偽の送金指示メールを送るというものです。これまで日本では大きな被害はありませんでしたが、年末になって航空業界で複数の被害が明らかになりました。現在進行中のBECも多数存在する可能性を示唆しました。

脆弱性は引き続き大きな脅威に

 脆弱性に関連するものは、10大脅威の4位に「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」、7位に「IoT機器の脆弱性の顕在化」がランクインしています。2017年も多くの脆弱性が明らかになりましたが、脆弱性はそれを解消するアップデートやパッチの提供とともに公開されます。ただし、脆弱性情報はサイバー犯罪者も集めており、脆弱性の概要が公開されると、すぐにそれを悪用するための攻撃手法が編み出されます。

 たとえば、2017年3月に公開された「Apache Struts 2」の脆弱性では、3月8日の午前にIPAが注意喚起情報を発表していますが、その日の早朝に脆弱性を悪用する攻撃が発生していました。Apacheは米国の企業なので、日本語の情報が出るまでに時差が生じます。サイバー犯罪者は米国の脆弱性情報をいち早くキャッチし、ほぼ間を置かずに攻撃したのです。このギャップは今後、短縮していくでしょう。

 IoT機器における脆弱性も話題になりました。企業でIoT機器というと、Wi-FiルーターやWebカメラ、Web会議システム、ネットワーク対応ハードディスク、オフィス複合機などが挙げられます。これらの脆弱性を突いて社内ネットワークに侵入したり、ルーターの設定を変更して悪意のあるWebサイトにアクセスさせるなどの問題が発生しています。また、Wi-Fiで使用される暗号化方式「WPA2」の脆弱性も話題になっています。

 こうした問題を受けて、10月には総務省が「IoTセキュリティ総合対策」を発表しています(十大ニュース:1位)。IoT機器はセキュリティ対策がおろそかになりがちで、しかもIoT機器に対応したセキュリティ対策ソフトも少ない状況です。海外での大規模情報漏えい事件では、侵入のきっかけに空調機器のシステムが狙われました。これからIoT機器は、スマート工場やスマート医療、スマートホーム、コネクテッドカーなど、社会の基盤を構成していきますので、効果的なセキュリティ対策が重要になります。

人に対する情報セキュリティ教育も喫緊の課題

今回の10大脅威には、「セキュリティ人材の不足」が5位に入っています。ちょっとピンと来ないことですが、2020年の東京オリンピック・パラリンピックまでに必要なセキュリティ人材に対し、約20万人不足しているというニュースをよく見かけます。あるいは、セキュリティ人材が充足していれば防げる被害も多かったということかも知れません。

また、企業はもちろん、若年層への情報セキュリティ教育も大きな課題となっています。技術はどんどん進歩していて、若年層ほど新しい技術を早く使いこなします。しかし、リテラシーの部分の教育が遅れているため、しばしば悪いこととはそれほど思わずに悪事を働いてしまいます。

10大脅威の「個人」の8位には、「情報モラル欠如に伴う犯罪の低年齢化」が入っていて、十大ニュースの6位にも「長野県の高校生が不正アクセス容疑で逮捕される」が入っています。企業や学校、家庭でも情報セキュリティの教育がよりいっそう求められる時代になっているのです。

以上、2017年の情報セキュリティを振り返ってみました。
 

yosizawa150-150吉澤亨史(よしざわ こうじ)フリーランスライター
自動車整備士として整備工場やガソリンスタンドで長らく働いた後、IT系フリーランスライターとして独立。ここ15年ほどは情報セキュリティ関連を中心に執筆活動を行っている。ただし、パソコンやハード、ソフト、周辺機器、スマホ、アプリ、サービスなどIT系全般はもちろん、自動車など他業界にも対応。
この記事をシェアする
  • Facebook
  • このエントリーをはてなブックマークに追加

関連記事 | こんな記事もオススメです。