ランサムウェアにマイナンバー、2016年の情報セキュリティ総括・前編ハギーのデジタル道しるべ(2/3 ページ)

» 2016年12月09日 08時00分 公開
[萩原栄幸ITmedia]

進むHTTPS化

 2016年から一部の業種・業態ではHTTPS化(通称:常時SSL)の検討が急速に進み、一部では既に実装されている。2017年については、明確にその流れが加速すると考えられる。一部の有識者は「そんなことはない」と反論しているが、国際的にはどうみてもその流れが強くなるばかりだ。「うちのWebサイト構造では難しい」「HTTPSにすると遅くなるとか、デメリットしか思い当たらない」というWeb担当者の姿も、2017年は極端に少なくなっていくだろう。

 その理由は次の5つだ。

  1. 世の中の検索エンジン(Googleなど)はHTTPサイトを「セキュリティ上問題あり」とみなし、そのような目印を検索結果に表示すると予告している
  2. GoogleのGmailやFacebook、Twitter、Outlookなどが既に「HTTPS」をデフォルトにしている
  3. GoogleはSEO対策の1つとしても、HTTPSサイトが上位になるよう少しずつ検索エンジンのパラメータを変更するとしている。AdWordsやDoubleClickなどの広告掲載サービスでも広告主に全HTTPS対応インベントリ向けに配信できるようにしている(関連記事
  4. 既にYouTubeでは2014年末に全広告がHTTPS化されている
  5. MozillaがHTTPサイトのサポートを縮小する方針を発表。新機能は安全なWebサイトのみに提供し、安全ではないWebサイトはブラウザ機能を縮小していくと明言

ランサムウェアの動向

 2016年の初め頃までランサムウェアは、「個人」をターゲットにしていた。ところが、この手法がかなり法人相手にも通用すると分かり、「お金になるツール」と攻撃者が判断し始めた春以降は急激に「法人」対する攻撃が増えている。しかも、相手を脅せば入金してくれる可能性が極めて高いと、攻撃者が実績を得てからは「素人ハッカー」も真似して同じことをやり始めた。

 しかし、スキルが低い攻撃者による粗悪品のランサムウェアが増加し、「お金を払えば暗号化を解除できる」というランサムウェアの“最悪の信頼性”すら、損う結果となった。今では暗号化をうまく解除できなかったり、仕様が単純だったりするので、セキュリティ業者が安価で解除できるようにもなっている。

 現在も混乱状態だが、防御も比較的単純である。2016年は法人を主体に感染被害が続くだろうが、身代金を払うケースが恐らく相当低下するだろう。ただし、個人の被害は2017年なってもまだ終息しないと思う。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ