プレスリリース

「プレスリリース」コーナーでは、企業や団体などのプレスリリース(報道用発表資料)をそのまま掲載しています。株式会社インプレスは、プレスリリース記載の内容を保証するものではありません。また、プレスリリース記載の情報は発表日現在の情報です。閲覧いただく時点では変更されている可能性がありますのでご注意ください

ブルーコートシステムズ、2016年のセキュリティ予測を公開

(2015/12/18 06:00)

クラウド上の“財宝”を狙う犯罪
・最も金銭的な価値があるデータ(顧客および従業員のデータや知的財産など)をクラウドに保存する組織が増えるにつれて、悪意のあるユーザーがこのデータに アクセスする方法を発見するようになります。2016年には、クラウドサービスへの侵害が増加し、ハッカーはクラウドサービスへの資格情報を主要 な攻撃ベクトルとして使用するようになるでしょう。ソーシャルエンジニアリングの戦略では、クラウドのログイン画面を模倣して資格情報を取得する ことに焦点が当てられます。

ランサムウェアの拡大
・モバイルマルウェア、特にランサムウェアは、悪意のあるユーザーが多額のお金を稼げるため、2016年に増加すると考えられます。新しい標的はモバイルデ バイスで、スマートフォンやタブレットでは既にランサムウェアの増加が確認されています。簡単に達成できる標的の多くは既に攻撃されており、現在 は個人だけではなく、適切にバックアップされていない企業の機密データ(イメージやソースコードから手書き文書にわたる)が標的にされています。 新たに発見されたLinux.Encoderランサムウェア(既に2,000のWebサイトを侵害)は、進化するランサムウェアの一例です。

SSL暗号化トラフィックに潜む脅威
・Office365、Googleドライブ、Dropbox、Boxなどのサービスの利用の増加に伴い、ハッカーもこれらのサービスの悪用を続けます。こ のような無料で設定でき、無料のSSLを提供し、通常はブロックされていないサービスはハッカーにとって理想的です。プライバシーの観点から Web全体を暗号化すると、暗号化されたトラフィックに潜むマルウェアがセキュリティ制御の盲点になります。悪意のあるユーザーが暗号化されたト ラフィックとチャネルでの操作と通信を行うことから、暗号化されたネットワークへの関心が高まると予想されます。

侵害の蔓延
・毎年より多くの有名企業が侵害の被害を被っていることから、毎年が「侵害の年」と言えるような状況になっています。多発する侵害の結果、多くの企業は従来 の対策に加えてインシデントレスポンスやセキュリティ分析の強化を重要視しています。また、侵害が企業価値や業績に与えるインパクトの大きさ から、侵害に対する損害保険への検討をする企業が増えると予想されます。

IoTにより、あらゆるものがハッキングの対象に
・IoT(Internet of Things:モノのインターネット) によって、過去には考えられなかったものがハッキングの対象になります。ここ数年のPOSシステムのハッキングは、その始まりに過ぎません。セキュリティ 対策が行われていないインターネット接続デバイスは、悪意のあるユーザーにとって、制御や操作できる絶好の対象になります。多くのIoTデバイス ではメモリー搭載量やオペレーティングシステムの機能が大幅に不足しているため、パソコンやモバイル端末のようにエンドポイントエージェントで対 応しようとしても失敗します。そのため、ハッカーグループはIoTの脆弱性を容易に悪用することができ、世界を震撼させるような事件でメディアを 賑わしたり、さらに悪質な不正行為を行ったりすると予測されます。

・現在、IoTデバイス(冷蔵庫やFitBitなど)には、ハッカーが狙うような価値あるデータが保存されていないため、これらを標的とするランサムウェア はまだ少数ですが、IoTの進化に伴い、2016年以降には、より高度な攻撃が増え始めるでしょう。

国際的な脅威の状況
・国家レベルの高度な攻撃が広がりを見せています。ナイジェリアなどの国は、より高度な攻撃に加わっています。一方、中国や北朝鮮は、過去5年間で攻撃の高 度化はほとんど進んでいませんが、その執拗さによって攻撃を成功させています。ロシアは、国としても世間の注目を浴びる行動を気にしなくなったた め、頻度と巧妙さの両方の点において過去数年で攻撃を大幅に進化させています。ロシアのハッカーは現在、今までになく精力的に侵入を試みようとし ています。世界中で紛争が発生していることから、ハードウェアに関連する攻撃が発生することが予測されます。

・EUでは、セーフハーバーの評決に続いてデータ保護規則が批准され、順守しなかった場合には厳しい刑罰が科せられることになります。そのため企業は、EU ベースの顧客と従業員の個人情報を取り扱う方法について完全な対策が必要となり、セキュリティアーキテクチャの見直しと投資が必要となります。

セキュリティ人材 - 研究者の重要性
・今後5年間にわたり、企業や国がサイバー人材を増強できないことが大きな問題となります。情報セキュリティのプロフェッショナルの需要は、2018年まで に53%増加する見通しで*1、人材不足によってセキュリティ関連業務はMSSP(マネージドセキュリティサービスプロバイダー)が対応し、コス トは下がらないと予想されます。セキュリティ製品は絶えず進化していく必要があり、企業はこれらの変化に対応するため、セキュリティ人材に投資す る必要があります。

*1 CSO magazine, Cybersecurity job market to suffer severe workforce shortage
http://www.csoonline.com/article/2953258/it-careers/cybersecurity-job-market-figures-2015-to-2019-indicate-severe-workforce-shortage.html