2014年のセキュリティ3大脅威、共通ワードは「個人情報」

トレンドマイクロが2014年の脅威動向をまとめたリポートを公開。これによると、「個人情報」の窃取を目的とした攻撃が増加していることが分かった。

[ITmedia]

　トレンドマイクロは1月8日、2014年の脅威動向をまとめた報告書「トレンドマイクロ 2014年情報セキュリティ三大脅威」を公表した。個人と法人それぞれと、両方に共通する3大脅威について解説したもので、その全てに「個人情報」が狙われているとした。

　2014年の脅威動向をみると、個人と法人に共通する脅威ではインターネットバンキング利用者を狙った不正プログラムや、ソフトウェアの脆弱性、POSシステムを狙った攻撃、個人に関する脅威ではフィッシング詐欺サイトによる被害、法人に関する脅威では内部犯行による組織内情報の持ち出しなどが挙げられるという。

　こうした攻撃は、主に「個人情報」の窃取を目的としており、例えばインターネットバンキングを狙った不正プログラムの検出数は、2014年11月末時点で2013年通期の約1.8倍増となる2万2000件あまりに上った。標的型サイバー攻撃と考えられる個人情報流出の事案も、2014年下半期には対前年同期比で約3倍増加している。

インターネットバンキングを狙った不正プログラムの検出数の推移

　特に個人を狙う脅威としては、フィッシング詐欺の猛威が挙げられる。2014年11月末までにのべ167万以上のユーザーがフィッシングサイトに誘導され、1日あたりでは5000ユーザーにもなった。同社の上級エバンジェリストの染谷征良氏は、「古典的な手口でも犯罪者にとっては効率が良く、いまだに使われている」と解説する。

フィッシング詐欺サイトの約8割は金銭を扱うサービスになりすましたもの

　一方でインターネットバンキングを狙う攻撃は高度化が進んだ。従来は盗み出したアカウント情報を使って、正規ユーザーになりすましをすれば良かったが、ワンタイムパスワードや電子証明書などを使う2段階認証の普及で難しくなったという。このため、不正プログラムに自動送金の機能を追加したり、電子証明書も盗み取ったりするようになっている。

　法人における脅威では昨年、内部犯行による膨大な顧客情報の流出事件が社会の関心を集めた。実際にはこの事案以外にも、内部犯行による情報流出事件が頻発しており、犯罪者は明確な意思を持って正規の権限を悪用して行為に及ぶことから、対策が非常に難しい。同社の調査では54.8％が会社で禁止されたツールを用いて外部にデータを送信しているなど、企業としてのデータ管理の“甘さ”が犯罪を助長する温床になっていると指摘した。

　個人情報の窃取を目的としたサイバー攻撃は、個人・法人の垣根を越えて行われ、ボーダレス化していると同社は解説する。特に法人では自発的に被害に気が付けず、それによって攻撃や被害の長期化、拡大につながっている。

　こうした状況を踏まえ、個人は自身の保有・管理する情報が攻撃者にとって価値があるということを認識し、そのうえで対策を打つことが重要だとしている。法人では侵入や内部犯行が起こる前提で、リスクの最小化に取り組むことが肝要だとしている。「リスクを抱えたシステムなら利用を止める。止めることが難しいなら緩和策を活用してリスクを抑えていくアプローチが肝心だ」と染谷氏はアドバイスしている。

個人情報が盗まれるのはズバリお金になるから