ニュース
音声操作でIoT機器を攻撃の踏み台に、スマホ感染後に家庭内LANを侵害する2019年以降の脅威
仮想通貨を狙った攻撃が目立った2018年、マカフィーの10大セキュリティ事件ランキング
2018年12月11日 19:00
マカフィー株式会社は11日、日本国内の企業を調査対象としたセキュリティ意識調査に基づく「2018年の10大セキュリティ事件ランキング」を発表した。同調査は2014年から実施しているもので、今年が5回目。
仮想通貨を狙った事件が目立った2018年、宅配業者を装うSMS攻撃も拡散
2017年はランサムウェアによる脅威が大きかったが、2018年は580億円相当の仮想通貨「NEM」が流出したコインチェック事件や、不正なマイニングに悪用するウェブサイトの存在など、仮想通貨を狙った事件に注目が集まった。このほか、アダルトサイトへのアクセス時にユーザーの行動を録画したとして、仮想通貨を振り込むよう脅迫する「性的脅迫(セクストーション)」メールの攻撃や、マイニング機能を搭載したランサムウェアなども確認されている。
また、フィッシング攻撃も巧妙化している。例えば、佐川急便の宅配不在通知を偽装したSMSから不正アプリをインストールさせようとする手口も新たに確認された。誘導先の偽サイトも本物と見分けがつかないものが増えている。
例年どおり、AmazonやApple、セゾンNetアンサー、LINEなどをかたるフィッシングメールも拡散されている。個人だけでなく、企業を狙ったビジネスメール詐欺もあることから、マカフィー株式会社の櫻井秀光氏(セールスエンジニアリング本部本部長)は「誰もが攻撃対象になる時代」だと注意を促す。
2019年の脅威予測、攻撃者がAIで標的を自動選択、犯罪者組織の連携強化も
櫻井氏は、10大セキュリティ事件ランキングに加えて、2019年以降に起こると予測される脅威についても説明。サイバー犯罪の多くが組織化された犯行となっているのは周知のことだが、こうした組織間の連携は強化される傾向にあり、攻撃ツールやサービスを短期間で開発する体制を構築し、攻撃力や財政力を増大させる可能性があるという。
人工知能(AI)を活用することで、アンチウイルス製品の検知から逃れるための回避技術の巧妙化も加速している。攻撃対象の自動選択や状況確認などを自動化し、効率よく攻撃を成功させる狙いがある。
また、音声認識機能を搭載したIoT機器を攻撃する新たな脅威についても説明。例えば、スマートフォンやタブレットなどのデバイスに感染したあと、IoT機器へポート開放に関する指示を音声コマンドで送り、家庭内LANを脆弱な状態にさらすことも考えられるという。
このほか、クラウド上のデータを狙った攻撃も激化することが予測される。同社の調査によれば、クラウドで管理されているデータの21%は知的財産や顧客、個人データなどになるという。企業のクラウドサービスの利用は増加傾向にあるが、データベースの情報漏えいだけでなく、クリプトジャッキングやランサムウェア攻撃を仕掛けるための中間者攻撃の踏み台にも利用される可能性があるとしている。
また、Office 365の採用も増えたことで、システムアカウントを狙った「KnockKnock攻撃」も確認されている。「セキュリティ的な観点でオンプレミス型からクラウドへ移行しているケースもあるようだが、クラウド上にも危険はある」として注意を促した。
櫻井氏によれば、複数の攻撃手法の組み合わせに対応するための防御策が重要だとしている。局所的な対策ではなく、攻撃の全体像を捉えた統合的な対策、例えば、複数のセキュリティシステムを構築している場合でも、1つの管理コンソールから全ての情報を網羅できるような状態が望ましいという。
マカフィーでは、社内で脅威情報をやりとりしているDXL(Data Exchange Layer)プロトコルをオープンソース化した「OpenDXL」を一般向けに公開している。実際、マカフィーのアンチウイルス製品と他社の製品を連携させる事例も出ているという。櫻井氏は、セキュリティー業界全体で連携して、効率良い防御を支援するための取り組みを今後も積極的に行っていくとアピールした。
なお、調査は2017年11月から2018年11月に発生したセキュリティ事件に関して、日本国内の企業経営者や情報システム部門の従業員および一般従業員など22歳以上の男女1552人を対象に、認知度をインターネットで調査したもの。調査期間は2018年11月26日~29日。