2014年はより高度化した標的型攻撃が増加、大企業のうち6社に5社は攻撃対象に

　株式会社シマンテックは14日、2014年のセキュリティ脅威動向についてまとめた「インターネットセキュリティ脅威レポート（ISTR）第20号」を発表した。現在英語版が公開されており、日本語版も6月ごろに公開予定。

　ISTRは、シマンテックの「Global Intelligence Network」から収集したデータに基づき、世界全体の脅威活動について分析したもの。2014年の傾向としては「攻撃においてスピードと正確性が高まった」ことを挙げている。

　修正プログラムが提供される前に攻撃が行われた「ゼロデイ脆弱性」は、2014年には24件が確認され、過去最多となった。2014年には、OpenSSLの「Heartbleed」やbashの「ShellShock」といった脆弱性が大きな話題となったが、Heartbleedの脆弱性は明らかになってから4時間以内には悪用が始まるなど、攻撃のスピードが速くなる一方で、防御が追い付いていないとしている。

2014年にはゼロデイ脆弱性が過去最多の24件確認された

Heartbleed脆弱性は明らかになってから4時間以内に悪用が始まった

　2014年には、特定の標的に攻撃対象を絞り込んだフィッシング攻撃「スピアフィッシング攻撃」が前年比で8％増加。一方で、標的型攻撃に使われたメールの総数は20％減少しており、ドライブバイダウンロード攻撃などウェブベースの攻撃が増えている。また、主にこうした標的型攻撃でゼロデイ脆弱性が用いられており、その他の攻撃者は脆弱性情報が公表されてから使い始める傾向があるという。

スピアフィッシング攻撃は2014年に8％増加

　標的となる企業は大企業が多く、従業員数2500人以上の企業では6社のうち5社（83％）がスピアフィッシング攻撃の標的とされた。ただし、中小企業は標的にならないということではなく、標的となった企業の内訳では、従業員数2500人以上の大企業が41％、従業員数251～2500人の中規模企業が34％、250人以下の小規模企業が25％で、規模にかかわらず多くの企業が標的とされている。

大企業のうち6社に5社が攻撃の標的に

中小規模の企業も標的にされている

　企業の情報漏えいの件数は、2014年は前年比で23％増加。要因としては、2013年には従業員の不注意や機器の紛失・盗難によるものが58％だったが、2014年には外部からの攻撃が49％を占めるようになった。

企業の情報漏えいは2014年に23％増加

攻撃による情報漏えいが半数近くに

　2014年には1日あたり約100万件、1年間では3億1700万件の新しいマルウェアの亜種が確認された。これらのマルウェアのうち28％が仮想マシンを認識可能で、仮想マシンであれば動作を停止したり偽のデータを送信するなど、動作もより巧妙になっているという。

新しいマルウェアの亜種が1日あたり約100万件出現

28％のマルウェアが仮想マシンを認識するなど動作もより巧妙化

　また、PCをロックしたりファイルを暗号化するなどしてユーザーを脅迫するランサムウェアが、2014年には880万件確認され、前年比で113％増加。デバイスを人質に取られた人は前年比で45倍以上に急増した。2014年には、NASドライブをターゲットにしたランサムウェアや、スマートフォンを狙った暗号化ランサムウェアが出現しており、今後もこうしたランサムウェアの進化が続くだろうと予測している。

ランサムウェアが前年比113％増加

NASやスマートフォンを標的にしたランサムウェアも出現

　このほかの傾向としては、サイバー犯罪者はSNSを悪用しているとして、2014年8月に死去したロビン・ウィリアムズ氏の「生前のメッセージ」の動画と称して、実際にはアンケートの回答やソフトウェアのインストールを要求する例を紹介した。

　また、モノのインターネット「IoT（Internet of Things）」に対する攻撃は、新たな課題ではなく継続中の問題だとして、ATMやPOSシステム、家庭用ルーターを狙った攻撃が続いていると説明。特に、IoTのインターフェイスとしてはスマートフォンアプリが利用されることが多く、スマートフォンアプリもIoTへの攻撃に対するリスクとして捉える必要があるとした。

　ヘルスケア分野のアプリについてシマンテックが調査した結果では、プライバシーポリシーが欠如していたものが52％、ログインが必要なもののうち個人情報やログイン情報を平文で送信していたものが20％あるなど、プライバシーやセキュリティの面で問題のあるアプリが多く、こうしたアプリがその後の攻撃の起点になる可能性が高いと指摘した。

スマホアプリもIoTを狙った攻撃に対するリスクに