2016年のセキュリティトレンドと脅威を占う(2/2 ページ)
企業のiPhoneやiPadに標的型攻撃
モバイルセキュリティ企業のルックアウトジャパンは、企業や組織で多数利用されているiPhoneやiPadに対する標的型攻撃の拡大を予想している。2015年10月に報告されたマルウェア「YiSpecter」のような手口を使って、業務システムとiPhoneやiPadとの通信から機密情報が盗まれてしまう恐れがあるという。
YiSpecterは企業向け証明書やプライベートAPIを使うのが特徴で、Jailbreak(脱獄)されていない通常のiPhoneやiPadにも感染する。正規アプリになりすましたり、削除を不可能にさせたりでき、端末とサーバ間の通信に割り込む「中間者攻撃」の手口で情報の搾取や改ざんが可能なほか、端末の設定を変更することもできる。
実際の感染は主に中国で広がったが、メールやWebを通じてユーザーにYiSpecterを埋め込んだアプリをダウンロードさせる手口が使われたとみられている。
テクニカルアカウントマネージャの石谷匡弘氏は、「例えば、ホテルの無線LANサービスを利用するためと称して端末に細工した構成プロファイルを含む接続アプリをインストールさせるといった攻撃手法が考えられる。企業の役員が出張先でこうした手口にだまされてアプリをインストールしてしまうと、中間者攻撃によって機密情報が盗み取られてしまうだろう」と警鐘を鳴らす。
また、PCやスマートフォン、タブレットといった端末の形状(フォームファクタ)の違いが徐々に薄れ、最近では「2in1」(ノートPCにもタブレットにもなる端末)と呼ばれるような形状が登場。一方でOSは、Windows 10のようにデバイスの形状に関係なく共通して利用できるようになるだろうと予想される。
こうしたことから石谷氏は、1人のユーザーが持ち歩く端末はPCとスマートフォンといった2台以上から1台に集約されていくだろうと予想。これによって、1台の端末でさまざまな業務上のデータを扱うようになり、モバイル環境におけるセキュリティ対策がより重要になると指摘している。
セキュリティ対策は経営責任
標的型攻撃対策を手掛けるファイア・アイは、上述した脅威とは別にセキュリティ対策が企業や組織の経営責任に高まっていくとみる。2015年は日本年金機構での標的型攻撃による大規模な情報漏えい事故を始め、高度なサイバー攻撃などセキュリティの脅威による被害が組織の責任問題に発展する出来事が相次いだ。
国内では金融庁の監督指針などによって金融機関に対するセキュリティ対策の強化が強く要請されるようになり、対応に不備があれば行政手続法に基づく行政処分の対象になってしまう可能性がある。海外では香港やシンガポールで行政当局による規制が強化されており、情報漏えい事故などの有事の際に取締役会が説明責任を果たすことが求められるようになった。
情報セキュリティ強化は金融業界だけでなく、小売業界などでも高まっていると岩間氏。米国ではTargetやHome Depoといった全米チェーンが深刻な情報漏えい事故に直面しているため、国内小売大手も“他人事”の感覚ではなくなっているという(ファイア・アイの資料より)執行役 副社長の岩間優仁氏は、こうした動きからCISO(最高情報セキュリティ責任者)という立場が強化され、事業継続の観点から経営会議などの場で自組織のセキュリティ対策状況を常にレポートしなければならなくだろうと指摘している。
「実際に当社へ対しても、データセンターが冗長化されているのかとった問い合わせが寄せられており、当社のサービスが中断することなく提供されることを確認する顧客が増えている。こうした顧客は情報セキュリティ対策をBCPの一つに位置付けて対応を準備しているようだ」(岩間氏)
また、企業の買収・合併(M&A)などのシーンでは買収予定先企業の査定においてセキュリティ対策状況が重要に項目になる可能性も。セキュリティ状況の評価が不十分だと、旧組織のITシステムやネットワークが原因となるセキュリティ事故が発生した場合に、買収した側に厳しい責任が問われてしまうだけでなく、膨大な損害が生じかねないという。
「被害顧客に対するサポートや、損害賠償を求める被害者の集団訴訟への対応、訴訟に必要な証拠を提出するための調査費用など、状況によっては企業経営が立ち行かなくなる事態もあり得る」(岩間氏)
もはや企業や組織が単独で情報セキュリティ事故の損害に持ち応えることは非常に難しいく、平時においても標的型攻撃を防御するための人材や資金力などが限られることから、対応が限界に近付きつつある。このため、2015年は情報セキュリティ事故での損害を補償する企業向けのサイバーリスクの保険や、標的型攻撃を防御するアウトソーシングサービスが注目を集めるようになり、同社では2016年にこうしたサービスを利用する企業や組織がますます増えるだろうと予想している。
関連記事
凶悪ウイルスにハードウェア攻撃――2016年のセキュリティ脅威とは?
セキュリティの脅威は年々拡大しているが、2016年はどんな様相をみせるのか。Intel Securityが予想している。
2016年は標的型攻撃の検出がもっと困難に――Kaspersky
ごく限られた標的へのサイバー攻撃は、検出がさらに困難になり、痕跡を残さない攻撃が台頭するなどと予想している。
2016年のIT市場はどうなるか
2015年もあと僅か。そこで今回は、IDCの調査を踏まえながら、2016年のIT市場はどうなるかを考察してみたい。
2015年注目のセキュリティ事件、トップは年金機構攻撃 専門家の見方は?
社会人の印象に残ったセキュリティ事件では6割以上に認知された日本年金機構へのサイバー攻撃がトップだった。しかし、調査したマカフィーではランキング外の脅威を挙げる。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。