サイバー犯罪が愉快犯的なものから明かな営利目的のものに移行してきていることは2006年の動向で周知となったが、その標的は金融機関だけではないようだ。想定市場規模年間約100億米ドルというオンラインゲームは、攻撃者にとって高い利益が見込める“おいしい”市場になっている。つまり、ユーザーのアカウント情報を盗めば、そのアカウントに関連したキャラクターが持っているレアアイテムや現金をオークションサイトやWebストアで売ることが可能になる。ある調査によると、新たに発見された悪意あるコード上位50種のうちの5%が、オンラインゲームのアカウント情報を攻撃対象としていたという。
今年の特徴として、海外の有名なオンラインゲームが犯罪のインフラになったことも挙げられる。中でも、高いシェアを持つMMORPG「World of Warcraft」は頻繁に標的となり、フォーラムやファンサイトに、アカウント情報を収集するトロイの木馬をホスティングする悪質サイトへと誘導するiframeが仕掛けられるなどした。当然、ゲームのユーザー数が多ければ多いほど拡散もしやすい。
金銭目的という点では、ユーザーのメールボックスを埋め尽くすスパムメールもますます巧妙化している。テキストベースのスパムフィルタをかいくぐる画像スパム(宣伝文句を画像ファイルにしてフィルタのチェックを回避するスパム)は、セキュリティ対策が進んだ結果、今年上半期中に減少したが、その代わり新たにPDFを利用して株価操作やウイルス感染を狙うスパムが急増した。株価操作スパムは、特定企業に関する偽の情報を流してその企業の株を買わせ、価格をつり上げ売り抜けることを目的とする。スパマーはPDF以外にも、ExcelやMP3を添付するなど手口を切り替えて対策をかわそうとしており、最近では正規CMやニュース番組の動画を利用するものまで登場している。
こうした脅威を振り返ってみると、2008年はどのようなセキュリティ動向が予想されるだろうか。
複数のセキュリティベンダーや専門家が共通して指摘するのは、前述したWebの脅威がさらに増大すること。すでにガジェットが攻撃に利用されるケースもあるように、RSSやマッシュアップといったWeb2.0技術を悪用する「トロイの木馬2.0」とでも呼べるマルウェアが、セキュリティベンダーの対策を上回る高度な攻撃を仕掛けるとの見方もある。また、Macやスマートフォンに代表されるモバイル機器など、Webを利用した攻撃のクロスプラットフォーム化も進むと考えられる。
また、流行や社会的行事に便乗したサイバー攻撃が発生するのは恒例だが、その意味では2008年の大型イベント、北京オリンピックや米大統領選に便乗する大規模DoS(サービス妨害)攻撃やメール詐欺などが横行することは容易に想像できるだろう。
もう1つは、仮想コミュニティーへの脅威。ユーザーが増えれば当然、それを狙う人間も出てくる。マルチプレイヤー型オンラインゲームやSecond Lifeなどの仮想世界に対し、組織化したハッカーたちによる営利目的のさまざまな攻撃が継続的に行われ、マネーロンダリングの温床となる可能性は高い。
国内に限れば、P2Pファイル共有ソフトによる情報漏えい事件がいまだに続いていることも問題である。情報処理推進機構(IPA)によると、WinnyやShareの利用ノード数は減っておらず、暴露ウイルスによる個人情報流出の相談が絶えず来ているという。その危険性を理解せず興味本位で利用するユーザーがいる限り、2008年も事故は起きるということだ。
脅威は常に進化している。しかし、被害を100%防ぐことはできないかもしれないが、リスクを最小限に抑えることは可能だ。「知らないうちに自身が攻撃の加担者になっている」ことを避けるためにも、以下に挙げる基本対策を日常的に心がけたい。
Copyright © ITmedia, Inc. All Rights Reserved.