2015年注目のセキュリティ事件、トップは年金機構攻撃 専門家の見方は？

社会人の印象に残ったセキュリティ事件では6割以上に認知された日本年金機構へのサイバー攻撃がトップだった。しかし、調査したマカフィーではランキング外の脅威を挙げる。

[國谷武史，ITmedia]

　インテルセキュリティグループのマカフィーは11月13日、「2015年のセキュリティ事件に関する意識調査」の結果を発表した。アンケートで最も関心を集めた事件は日本年金機構に対するサイバー攻撃だった。

　調査は今年で2回目。企業経営者や情報システム担当者など約1500人と対象に、同社が今年10月までに発生したセキュリティ事象から30件をピックアップして、その認知度を調べている。トップ10は次の通り。

順位	セキュリティ事件	認知度
1位	日本年金機構への標的型攻撃で125万件の年金個人情報が流出	60.1％
2位	振り込め詐欺／迷惑電話による被害	56.8％
3位	大手金融機関やクレジットカード会社などをかたるフィッシング	42.1％
4位	米Sony Pictures Entertainmentにサイバー攻撃	37.0％
5位	公衆無線LANのセキュリティ問題	36.9％
6位	Flash Playerの脆弱性	35.3％
7位	無線LANの「ただ乗り」での電波法違反容疑者逮捕	32.9％
8位	Sony PlayStation Networkのシステム障害	30.7％
9位	IP電話の乗っ取り被害	28.2％
10位	中央官庁幹部のカバン置き引き被害による職員連絡網などの	24.9％

年金機構への攻撃は社会的なインパクトも非常に大きいものだった

　トップ10のうち、一般にも身近な事件として同社は、無線LANが関係した5位と7位を挙げる。

　7位の事件は、隣人宅の無線LANへ勝手に接続して不正行為をしていた人物が電波法違反で初めて検挙された。自宅で無線LANを利用する際には、「認証や暗号化などのセキュリティ設定を実施することで不正に利用されることを防ぐこと」（執行役員 SE本部長の田井祥雅氏）とアドバイスする。5位の公衆無線LANは、近年の普及で利用機会が増えつつあるものの、多くのサービスでは通信経路が暗号化されていないことから、第三者によって通信内容を盗聴されたり、ユーザーのPCやスマートフォン、タブレット端末が不正に遠隔操作にされたりする危険がある。

　田井氏は全体的な傾向として、従来の脅威は標的が無差別であったのに対し、2015年は企業と個人それぞれを標的にする傾向が強まっていると解説。また、攻撃の手口ではコンピュータやシステムの脆弱性を突くような方法だけでなく、ユーザーをだましてマルウェアに感染させるといった「ソーシャルエンジニアリング」（だましのテクニック）やフィッシングも頻繁に使われた。

　また、調査ではIT担当者に限定して自身の所属する組織のセキュリティ状況も尋ねた。その結果、ウイルス対策やファイアウォールなどによる脅威の予防策の実施率は高いものの、情報流出などの深刻な事態における被害の抑止や復旧といった取り組みは不十分であることも分かった。田井氏は、「攻撃を防ぐ対策だけでは不十分。攻撃されることを前提に、これからは被害を抑え込めるようにする対応が必要だ」と話す。

業種によって実施率の高低はあるものの、どの業種でも「予防」偏重の傾向にあるという

　トップ10圏外で注目されるのが「ランサムウェア（身代金要求型の不正プログラム）」だという。ランサムウェアはコンピュータ内のデータを暗号化して、そのデータやコンピュータ本体を使用不能にさせ、「暗号化を解除してほしければ金を払え」とユーザーを脅迫する。

　ここ数年間はランサムウェアによる被害が世界的に増加しているものの、今回の調査で国内ユーザーにはあまり認知されていない実態が分かった。米McAfee Labs担当上級副社長のヴィンセント・ウィーハー氏は、「ランサムウェアは主にPCを標的にしており、モバイルへの攻撃が多い日本では相対的に知られていないのだろう。しかし、サイバー犯罪に『島国』はなく、日本でも脅威になるのは時間の問題かもしれない」と話している。

セキュリティ製品側でも「検出」や「防御」機能に、「修復」機能を加えることが命題化している