情報処理推進機構(IPA)は毎年、前年に発生した脅威のうち社会的に大きな影響を与えた動きを、識者の意見を踏まえながら「10大脅威」としてまとめています。1月に発表した最新版「情報セキュリティ10大脅威 2019」では、個人向けだと「クレジットカード情報の不正利用」や「フィッシングによる個人情報などの詐取」が、組織向けには「標的型攻撃」や「ビジネスメール詐欺」(BEC)が挙げられています。
この10大脅威のまとめは2006年に始まり、途中から「個人向け」と「組織向け」の2つに分かれながら続いてきました。過去14年間をまとめて振り返ってみると、脅威と対策の中で「変わったこと」と「変わらないこと」が見えてきます。19年5月8〜10日にかけて開催された「第16回 情報セキュリティ EXPO」のIPAブースで、研究員の黒谷欣史氏が、そんな内容でプレゼンテーションを行いました。
この14年間で、IT環境は大きく変化しました。
10大脅威が始まった06年というと、企業・過程でのブロードバンド接続は広がったものの、今は当たり前のように使われているタッチパネルを搭載したスマートフォンは影も形も見えず、PDAやフィーチャーフォンが主流。個人情報に対する関心は高まり始めていましたが、今ほどサイバー攻撃に対する危機感は高まっておらず、企業のセキュリティ対策はウイルス対策とファイアウォール程度という時代でした。
黒谷氏はそれからの14年間で、環境はがらっと変わったと説明します。ネットワークは、有線によるブロードバンド接続から無線LAN・4Gが当たり前になり、もうすぐ“5G時代”が見えてきています。利用する端末もPCだけでなくスマホやタブレットが普及した他、最近ではIoT機器が増え始めました。サービスも変化し、SNSが普及した他、モバイル決済サービスやクラウドサービスが当たり前になっています。
そうした中、攻撃手法はどう変わったのでしょうか。何かと「新しい脅威」が注目されがちですが、黒谷氏は「14年分を振り返ってみると、『脆弱性を狙う』『フィッシングメールで人をだます』『内部漏えい』という主な手口は同じ」と述べました。
黒谷氏は過去14年を「05〜09年」「10年〜14年」「15年〜18年」という3つの時期に分けて解説しました。
まず05〜09年ですが、今なお多い「脆弱性を狙う攻撃」は、この時期から(より正確には10大脅威が始まる前の1990年代から)多くを占めていました。クライアントOSに潜むゼロデイ脆弱性を狙う攻撃だけでなく、WebサイトやWebアプリケーションに存在する脆弱性を狙うSQLインジェクション攻撃がランクインしています。また、19年の10大脅威で1位となっている標的型攻撃も、06年の時点でランクに入り、その後、常に10大脅威にランクインし続けてきました。
一方、この時期特有の脅威としては「ファイル共有ソフトによる情報漏えいがある。P2Pファイル共有ソフト『Winny』に感染するマルウェア、『Antinny』によって、自宅に持ち帰った会社のデータがWinnyで流出するケースが続出した」と黒谷氏は振り返りました。
次の10年〜14年に目立った動きの1つは、iPhoneやAndroid搭載端末の国内上陸を受けて広がった「スマホを狙う不正アプリ」です。また、インターネットバンキングの普及を背景に、MITM(中間者攻撃)などの手法を用いて不正送金を行うトロイの木馬が増加したのもこの時期でした。
「12年からインターネットバンキングを狙うウイルスが増加し、被害額は15年の約30億円がピークとなった。まず大手銀行で対策が進んだことから攻撃対象が地銀や信用金庫などに移っていったが、最近ではそこでも対策が進み、18年の被害額は約4億6100万円へと減少している。今では、仮想通貨やクレジットカードの不正利用に攻撃者の目が向いているのではないか」(黒谷氏)
15年以降になると、個人と企業に分けて10大脅威をまとめるようになりました。17年5月に急拡散した「WannaCry」が印象的ですが、実は「14年12月からランサムウェアが広がり始めた。仮想通貨が広がり、交換所が設置されるなど利用の土台が整ってきたこともあり、ビットコインをはじめとする仮想通貨で金銭を要求するランサムウェアが拡大した」(黒谷氏)。また、組み込み機器の脆弱性は10年以上前から指摘されていましたが、「Mirai」のようにIoT機器を狙うウイルスが登場し、実サービスに影響を及ぼすようになったのもこの時期です。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR