第19回 過去10年の「情報セキュリティ10大脅威」にみる戦いの歴史:日本型セキュリティの現実と理想(3/5 ページ)
IPAの「情報セキュリティ10大脅威 2016」が例年より早い2月15日に公開(順位のみ)された。今回はこの10大脅威の過去10年間の変遷を見ながら、現在の情報セキュリティをおける本当の脅威は何なのかを紐解きたい。
ネットバンキングに関連する不正
そして、標的型攻撃でも成しえなかった(?)2015〜2016年に2年連続の脅威1位を達成したのが、「インターネットバンキングやクレジットカード情報の不正利用」だ。これは2014年の5位「オンラインバンキングからの不正送金」として初めてランクインし、現在脅威のトップを独走していると言っていい状況だろう(表3参照)。
これは、攻撃者が金銭にすぐ直結する銀行口座をターゲットにし始めたことを示していると思う。つまり、前述の標的型攻撃とは逆のパターンだ。攻撃者の目的はズバリ! 金銭である。
この種の攻撃では金銭を得るために堅固な防御構造をまとった要塞のような場所へ攻撃をしかけることは非常に効率が悪い。その点、銀行口座に金銭があるのは明白なので、攻撃者にとってはそこへの攻撃に注力することが、目的達成のための近道となる。
オンラインバンキングの銀行口座は、自宅や手元のモバイル端末で入出金が行える。非常に便利だが、セキュリティに関しては巧妙な詐欺的手法や運用面の脆弱性の問題などがいろいろあると、以前から専門家の間で指摘されている。例えば、銀行サイトを表示した時にポップアップを表示して暗証番号や秘密の質問などを入力させる詐欺的手法や、OSやブラウザの脆弱性を突いた攻撃などがそれだ。
攻撃者は、金銭の在りかが分かっているので、やる気に満ちている。どこかに罠を仕掛けおけば、後は脆弱な環境のインターネットバンキング利用者が現れるのを待つだけで良く、とても効率的に金銭を得られる。
このように情報セキュリティ10大脅威は、10年近く続いた堅牢な要塞の奥にある一攫千金の情報を狙う標的型攻撃から、金銭の在りかがはっきりしているインターネットバンキングを狙う攻撃へシフトしている状況の変化を裏付けている。
関連記事
- 第18回 機動戦士ガンダムの量産型モビルスーツから学ぶセキュリティ戦略
今回は「機動戦士ガンダム」の世界観を題材に、セキュリティ対策とそのための戦略を考えるヒントを提示してみたい。 - 2016年版の「情報セキュリティ10大脅威」、組織では「標的型攻撃」がトップ
情報セキュリティ業界の有識者が注目する個人と組織それぞれの脅威トップ10が発表した。 - 第16回 標的型攻撃が生んだセキュリティビジネスの“光と影”
セキュリティ業界が活況だ。APT攻撃とも呼ばれる2011年の事件をきっかけに、新たな光が射したが、その分だけ影も色濃く出てしまった。標的型攻撃からセキュリティビジネスの本質について述べる。 - 第11回 ファイアウォール今昔物語 標的型攻撃で花咲く次世代FW
仮に日本で標的型攻撃が起きなかったら、次世代ファイアウォールは世に出ず、ずっと“次世代”のままだっただろう。今回は次世代ファイアウォールの普及の道のりから日本のネットワークセキュリティ環境の遷移をひも解く。
Copyright © ITmedia, Inc. All Rights Reserved.