2014年の10大セキュリティ事件ランキング――1位はベネッセの情報漏えい：McAfee FOCUS JAPAN 2014

[ITmedia]

　マカフィーは11月12日、情報セキュリティカンファレンス「McAfee FOCUS JAPAN 2014」において、「2014年の10大セキュリティ事件ランキング」と題したプレス向け説明会を開催した。これは日本国内の企業経営者や情報システム担当者、一般従業員などを対象に幅広い業種で調査を実施した結果をもとに、認知度でランク付けしたもの。これによると、内部犯行者により大量の個人情報漏えいが発生したベネッセの事例（7月）を筆頭に、振り込め詐欺とLINEの乗っ取り被害が上位を占めている。

2014年のセキュリティ事件認知度ランキング。左から1位、2位、3位

4位〜6位（写真＝左）と7位〜10位（写真＝右）

　McAfeeでテクニカル・ソリューションズディレクターを務めるブルース・スネル氏は、「（ベネッセの事例の）ポイントは2260万人に影響が出たこと以上に、データがスマートフォンにコピーされて持ち出された点にある」と指摘し、デジタルデバイスの普及によって容易に大量のデータを持ち出せる危険性を訴える。

米McAfeeのテクニカル・ソリューションズディレクター、ブルース・スネル氏

　また、2位の振り込め詐欺／迷惑電話による被害が1年を通じて頻発している背景には、ソーシャルメディアの広がりがあるとスネル氏は説明する。「この手の被害は電話が存在していたころからあり、キャプテンクランチの時代からハッキングは電話のシステムに入り込むことだった。ただ、興味深いのは、ソーシャルメディアの広がりによって、ターゲットの情報を得やすくなっている点だ。昔は推測したり、調べなければならなかったことが、現在は簡単に入手できてしまう」。

　3位のLINE乗っ取り被害は、つながりのある相手から送られてきたURLはクリックしやすいという、いわば人間のぜい弱性を突いた手法だ。スネル氏は「攻撃者はあなたの友人の信頼度を利用して悪意ある行為を行う」と警告し、ソーシャルメディアを通じた攻撃の例として、自身の体験談（Facebook）も披露した。

　一方、セキュリティ企業の視点から特に問題とされるセキュリティ事件としては、Open SSLのぜい弱性から多くのサーバが影響を受けた「HeartBleed」、bashのぜい弱性が問題となった「ShellShock」、SSL 3.0のぜい弱性を突いた「POODLE」（Padding Oracle On Downloaded Legacy Encryption）を挙げている。

　こうしたぜい弱性が重要視される背景には、IoT（Internet of Things）の広がりがあるとスネル氏は語る。「あらゆるデバイスがネットに接続され、今後はそれらの膨大な数デバイスがこうしたぜい弱性の影響を受ける可能性があるが、ユーザーはそのことに気付いていない」と指摘し、開発者やユーザーの教育が効果的な対処法になると説明した。

　それでは今後のサイバー犯罪はどういった方向へ向かうのだろうか。スネル氏は、2015年以降に増加が予想される攻撃として、モバイルデバイスで動作するマルウェアの増加、東京オリンピックを狙った大規模なスピアキャンペーン、ソーシャルメディアを狙った攻撃を挙げる。

　モバイルマルウェアは2012年第3四半期で25万件だったものが、2014年第2四半期には450万件に到達、今後も各四半期ごとに約70万件ずつ増加していくと見込まれている。モバイルデバイスは、会社に持ち込んだ個人のスマートフォンを糸口に企業内ネットワークを汚染するといったような、企業を攻撃する際のセキュリティホールとして利用できるほか、スマートフォンに内蔵されるNFCを使った決済サービスの普及など、サイバー攻撃者に魅力的な要素が多いというのがその理由だ。

　また、ソーシャルメディアを通じた攻撃もサービスの普及に合わせて増加していくとみられるほか、これまでオリンピックやワールドカップのような一大イベントに合わせて、大規模なサイバー犯罪が行われてきたとし、2020年に開催をひかえた東京オリンピックに対しても同様のキャンペーンが行われる可能性があると注意を呼びかけた。