文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    2015年の「10大セキュリティ事件」解説

     今年は年金機構流出を始め、ITやネットの社会的事件が多く発生していた。2015年のセキュリティ事件のまとめを見てみよう。(ITジャーナリスト・三上洋)

    「標的型」の1年だった

    • インテルセキュリティの上級副社長のヴィンセント・ウィーファー氏(左)と、マカフィー株式会社の執行役員・田井祥雅氏
      インテルセキュリティの上級副社長のヴィンセント・ウィーファー氏(左)と、マカフィー株式会社の執行役員・田井祥雅氏

     1年はあっという間に過ぎて、早くも2015年を振り返る季節になった。セキュリティ大手のマカフィー(米インテルセキュリティ)が、2015年の「10大セキュリティ事件」を13日に発表した。同日に行われたイベント「FOCUS JAPAN 2015」で発表されたもので、今年のIT・ネット関連の事件をランキングでまとめたものだ。

     まずは昨年のランキングを振り返って、マカフィー株式会社の執行役員・田井祥雅氏が「昨年はLINEの乗っ取りや航空会社の不正ログインなど、パスワードリスト型攻撃による事件が多かった」と述べた。それに対して、今年は「一言でまとめれば『標的型』の1年。組織・個人を問わず、特定のターゲットへの攻撃が目立っている」とした。

     10位から4位までを見てみよう。この調査は約1500人の一般従業員・情報システム担当者などに対して、事件の認知度を調べたものだ(コメントは筆者によるもの)。

    2015年の10大セキュリティ事件(マカフィー)

    • マカフィー調査による2015年の10大セキュリティ事件ランキング、10位から7位
      マカフィー調査による2015年の10大セキュリティ事件ランキング、10位から7位

     ・10位:中央官庁の局長がカバンを置き引きされ、職員連絡網などが流出(2015年6月)

     国土交通省の航空局長が、電車で寝過ごしてしまいカバンを置き引きされた。飲酒が原因。盗まれたカバンには業務用タブレットや職員らの電話番号が書かれた緊急連絡網が入っていた。

     ・9位:IP電話の乗っ取り被害(1年を通して)

     企業向けのIP電話が、設定ミスと外部からの攻撃によって乗っ取られた。海外向けの有料ダイヤルなどに勝手に電話をかけられてしまう被害が出た。

     ・8位:PlayStation Networkにシステム障害(2014年12月)

     ソニー・コンピュータエンタテインメントのPlayStation Networkへのサイバー攻撃。大量のデータを送りつけて接続しにくくさせるDDoS攻撃だった。日本の企業やサービスを狙ったDDoS事件は、この他にも多数起きている。

     ・7位:無線LANのただ乗りによる電波法違反容疑で男を逮捕(2015年6月)

     隣の家のWiFiルーターを乗っ取ったとして愛媛県松山市の男が逮捕された。パスワード解析ソフトによってセキュリティの甘い通信方式(WEP)のパスワードを解析。WiFiただ乗りを電波法違反容疑で逮捕したのはこれが初めて。

    • マカフィー調査による2015年の10大セキュリティ事件ランキング、6位から4位
      マカフィー調査による2015年の10大セキュリティ事件ランキング、6位から4位

     ・6位:Flash Playerの脆弱性(1年を通して)

     ウェブサイトで使われているFlash Playerの脆弱(ぜいじゃく)性(外部からの攻撃で侵入されてしまう弱点)がいくつもみつかり、多くのサイバー攻撃に悪用された。

     ・5位:公衆無線LANのセキュリティ問題(1年を通して)

     京都市のWiFiサービスなどの公衆無線LANにおいて、「パスワード無しで使える」「セキュリティが甘い」などの問題がクローズアップされた。マカフィーの田井氏は「無料で使えるWiFi利用時に、ユーザーがセキュリティを気にしているかどうかが問題。2020年のオリンピックに向けて大きな問題になるだろう」と述べた。

     ・4位:東アジアの国家元首を題材にした映画公開に際し、ソニー・ピクチャーズにサイバー攻撃(2014年11月)

     昨年の事件だが、北朝鮮をテーマにした映画公開に際して、大規模なサイバー攻撃によって社員などの情報流出が起きた事件。

    企業だけでなく個人もターゲットに「ネットバンキング」「振り込め詐欺」「年金流出」

     3位からの1位までは、記憶に新しい大きなニュースばかりだ。特に個人ユーザーの被害が懸念される事件が目立つ。

    • 3位はネットバンキング不正送金などのフィッシング事件。ウイルス感染によって、本物のサイト上でだまされる例が増えている
      3位はネットバンキング不正送金などのフィッシング事件。ウイルス感染によって、本物のサイト上でだまされる例が増えている

     ・3位:大手金融機関やクレジットカード会社などをかたるフィッシング(1年を通して)

     ネットバンキングの不正送金ウイルス(オンラインバンキング攻撃ツール)を含めた被害。以前のようなポップアップによるID・パスワード盗み取りという単純なものから、ウイルスを使って本物のサイトの一部を書き換える、振り込みの送金先を変更するなど高度な攻撃が行われている。田井氏は「銀行だけでなく、クレジットカード会社、オンラインゲーム、人気ブランドのショッピングサイトなどでも同様の手段が使われ始めているので注意すべき」と述べた。

    • 2位は振り込め詐欺・迷惑電話の被害。電話による詐欺によって1日1億円以上の被害が出ている
      2位は振り込め詐欺・迷惑電話の被害。電話による詐欺によって1日1億円以上の被害が出ている

     ・2位:振り込め詐欺/迷惑電話による被害(1年を通して)

     振り込め詐欺・迷惑電話による被害は、被害額こそ前年より15%減少したものの、件数では20%増えている。だます手口はさらに巧妙になっており、中には「親のふりをして子供をだます」という手口も出ている。

    • 1位は日本年金機構での流出事件。事件後の対応の遅れが被害を拡大させた
      1位は日本年金機構での流出事件。事件後の対応の遅れが被害を拡大させた

     ・1位:日本年金機構への標的型攻撃で125万件の年金個人情報が流出(2015年6月)

     今年最大のセキュリティ事件は、やはり125万件の流出を起こした日本年金機構の事件だろう。田井氏は「報告書を見ると、侵入されてしまった場合の対処が不十分で、事件後にどうするかという準備ができていなかった。犯人による偵察・情報収集活動を検知するなど、多層防御も欠けていた」と分析している。

    ★2015年の10大セキュリティ事件のまとめ★

    • 2015年の傾向として、企業だけでなく個人も標的にされたこと、人をだますソーシャルエンジニアリング手法が多かったことがある
      2015年の傾向として、企業だけでなく個人も標的にされたこと、人をだますソーシャルエンジニアリング手法が多かったことがある

     「標的型」:企業だけでなく個人をターゲットにした攻撃が活発に

     「ソーシャルエンジニアリング」:人をだます手法、詐欺が使われている

     「事故後の対応が甘い」:侵入や流出が起きた後での対応の遅れが被害を拡大させた

     このように今年は特定のターゲットをだまし、情報などを盗み取る攻撃が目立っている。標的型に使われる手口は、ウイルスなどのセキュリティ上の脅威だけでなく、人をだます「ソーシャルエンジニアリング」が広く使われている。ターゲットに合わせて、企業の書類や健康保険の通知を装うなど、人間の心理を突く巧妙な攻撃が行われているのだ。

     また、企業での事件では、事後の対応の悪さが被害を拡大させるパターンが多かった。田井氏は「企業ではネットワークやアンチウイルスなど『予防』には力を入れているが、事件発生を想定した準備や、事後の対応が甘くなっている。侵入されたらどうするか、流出したらどう対応するか、といった事後の対応を重視すべきだ」とまとめた。

    2016年は「従業員狙い」「自動車」「インフラ」「闇市場」を警戒

    • 2016年の予測の1つが従業員への攻撃。企業本体ではなく、管理者などの社員を狙って、企業に侵入する手口だ
      2016年の予測の1つが従業員への攻撃。企業本体ではなく、管理者などの社員を狙って、企業に侵入する手口だ
    • IT化・ネットワーク化が進む自動車に要注意。外部から攻撃されて侵入される脆弱性がいくつもみつかるだろうとマカフィーでは予測している
      IT化・ネットワーク化が進む自動車に要注意。外部から攻撃されて侵入される脆弱性がいくつもみつかるだろうとマカフィーでは予測している

     最後にインテルセキュリティの上級副社長のヴィンセント・ウィーファー氏が、2016年の脅威予測を発表した。それによると来年は、企業そのものではなく従業員を狙った攻撃が増えるのではないかとしている。企業本体はセキュリティを強化しているが、従業員の個人宅やモバイル機器は甘い。そのため犯人は従業員へのサイバー攻撃を行い、そこから企業へ侵入するパターンが多くなりそうだ。

     また攻撃対象としては、自動車や重要インフラが狙われると予測している。自動車はIT化が進み、ネットワークにつながる電子機器が多数搭載されるようになった。これらの機器を外部から攻撃する事件が起きる可能性がある。同様に電気・交通・工場など社会的インフラへの攻撃もあり得るとしている。

     2016年のもうひとつの予測は「闇市場」の活発化だ。流出データが闇市場に蓄積し、それらのデータを関連付け・マッチングさせて、情報の価値を高めて販売されている。日本でも「名簿屋」が同様のことを始めている。いわば「悪のビッグデータ」とでも言えるもので、蓄積された個人情報がマッチングによって価値を高めて販売されるかもしれない。

     個人ユーザーの今後の対策として田井氏は「公衆無線LAN利用時のセキュリティ対策をしっかり行うなどモバイル利用時の対策が重要だ。またソーシャルエンジニアリングの手法にだまされないように、手口を知っておくことも欠かせない」とした。ウイルス対策ソフトだけで防ぐことはできない時代であり、だまされないようにITとセキュリティのリテラシーを高めることが不可欠になっている。

    2015年11月13日 15時10分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP
    観戦券ほか巨人軍アイテムをプレゼント!