2019年 2月

企業のITセキュリティ講座

2019年のセキュリティ脅威、各社の予測

ライター/吉澤亨史

東京オリンピックが開催される2020年を翌年に控え、ラグビーのワールドカップが日本で開催される2019年は、日本を狙うサイバー攻撃が活発化すると予測されている。特に、東京オリンピックはIoTが普及してから最初の大会となるため、セキュリティ侵害への不安も高い。ここでは、2018年末にセキュリティ企業各社が発表した2019年のセキュリティ予測をまとめる。

2018年の脅威を振り返る

2019年の脅威予測の前に、2018年の脅威を振り返ってみよう。2018年の振り返りは複数のセキュリティ企業が発表しているほか、NPO日本ネットワークセキュリティ協会(JNSA)も「JNSA 2018 セキュリティ十大ニュース」として発表している。その中でも、たびたび取り上げられている脅威が、「情報漏えい」と「ソーシャルエンジニアリングの手法を用いたフィッシング詐欺」である。

JNSA 2018 セキュリティ十大ニュース(JNSAのWebサイトが開きます)

SNSの大手企業「Facebook」社では、2018年10月に大規模な情報漏えい事件が発生したと発表。該当するユーザーは最大5,000万人に及ぶとした。2018年4月にイギリスの政治コンサルティング企業である「ケンブリッジ・アナリティカ」社が最大8,700万人のユーザー情報を不正に取得したことが話題になっていた矢先のことだった。Facebook社の場合は、サービスが急激に巨大化し、ユーザー向けの便利機能を次々と提供する中で、脆弱性が発生していることに気がつけなかったという。

このほかにも、アメリカのデータ収集・マーケティング企業「Exactis」社が約3億4,000万件の個人および企業の情報を含むデータを、設定ミスによりインターネット上に公開してしまった事故や、2018年6月にはアメリカのスポーツウェアブランド「UNDER ARMOUR」の子会社がハッキングを受け、約1億5,000万人のユーザーアカウント情報が盗まれている。サイバー犯罪者にとって個人情報は、引き続き有益な収入源であるようだ。

こうして盗み出された個人情報は、アンダーグラウンドの市場で売買され、サイバー攻撃に利用される。その代表的なものが不正ログインとスパム、フィッシングメールだ。2018年は特に、フィッシングメールが急増した。メールの件名に「不在配達」や「請求書」などと書くことで、うっかり開いてしまうようにするソーシャルエンジニアリングの手法が使われている。

入手したパスワードを不正ログインに使用せず、あえてメールに表示して「あなたがアダルト動画を見ている様子を撮影した」などとして金銭を要求する「セクストーション」も多数確認された。さらに、社長などのふりをして送金指示を行う「BEC(ビジネスメール詐欺)」の被害が国内でも判明している。なお、マルウェアではランサムウェアからマイニングマルウェアへの移行が顕著であったが、仮想通貨の価値が低下したことで、マイニングマルウェアも減少している。

2018セキュリティ十大ニュース

  • 【第1位】4月4日 米Facebookは8700万人の個人情報流出を発表
  • 【第2位】3月1日 パスワード更新ルールの変更に議論百出
  • 【第3位】5月16日 IoTセキュリティの懸念にNICT法改正など進む
  • 【第4位】1月29日 コインチェックで仮想通貨流出による大規模被害
  • 【第5位】5月25日 GDPR施行さる、日本企業の対応やいかん?
  • 【第6位】10月15日 海賊版サイトブロッキング問題、通信の秘密で異例の迷走
  • 【第7位】6月14日 Coinhive等のマイニングツール設置で16人が逮捕・書類送検
  • 【第8位】7月9日 ついに日本語のBEC着弾
  • 【第9位】3月2日 財務省、決裁文書の改ざんが明らかに
  • 【第10位】4月26日 ますます深刻化するサプライチェーンリスク
  • 【番外】10月9日 東証のシステム障害の波紋広がる

出典元:JNSA 2018 セキュリティ十大ニュース
(https://www.jnsa.org/active/news10/)

目次へ戻る

2019年の脅威予測

セキュリティ企業の各社による2019年の脅威予測で、例外なく取り上げられているのは「AI(人工知能)」であった。サイバー犯罪者は、既に独自のAI技術を開発してサイバー攻撃に活用していると言われているが、2019年はサイバー攻撃の対象をAIで判別したり、より重要なデータを見極めたりして、攻撃効果の最大化を図るとされている。さらに、企業などのAIシステムに直接侵入することも考えられる。

サイバー攻撃そのものについては、ファイルレスマルウェアワームの登場や、標的型攻撃の対象の拡大が指摘されている。その中でも、サプライチェーンは攻撃対象の中心となりそうだ。DDoS攻撃もより強力になり、ソーシャルエンジニアリングの手法を利用したフィッシングやスミッシング(偽装SMSによるフィッシング)も継続すると見ている。さらに、国家が絡んだサイバー攻撃も増加し、国家規模の「Fire Sale」攻撃の現実化も指摘されている。これは、交通、金融、通信、エネルギーなどのシステムへ同時にサイバー攻撃を行うもので、映画「ダイ・ハード4.0」で描かれているものだ。

IoTの進展に合わせ、サイバー攻撃も変化、活発化する。例えば、スマートホームを狙ったマルウェア攻撃なども今後は多発するだろう。また、IoTを構成する要素となる5Gの通信ネットワークや、Wi-Fiネットワークも標的になるはずだ。既に、IoTの特性を生かしたマシンベースの自動攻撃も確認されているという。標的も単なるアカウント情報だけでなく、個人の行動データなども価値が上昇し狙われるようになる。さらには、セキュリティとプライバシーの意識向上に伴い、立法や規制活動が進むとされている。

2019年は、複数の国で選挙が行われ、イギリスのEU脱退(Brexit)も実施されるなど政治的なイベントが多く、サイバー攻撃の標的になりやすい状況を迎える。日本においても、2019年のラグビーワールドカップや、2020年の東京オリンピックをテーマとしたサイバー攻撃が徐々に増加していく。元号の変更も国として大きなイベントとなるため、サイバー犯罪者はAIなどを駆使して完全な日本語を操り、より巧妙な攻撃を仕掛けてくるだろう。これにはハクティビストだけでなく、テロリストグループも参加する可能性がある。

2019年、世界各国の政治的イベント

  • 1月

    ブラジル新大統領就任

    世界経済フォーラム年次総会(スイス・ダボス)

    ギニアビサウ国民議会議員選挙

    ギニア国民議会議員選挙

  • 2月

    日EU経済連携協定(EPA)発効

    モルドバ議会選挙

    タイ総選挙

    エルサルバドル大統領選挙

    アフリカ連合(AU)首脳会議

    ナイジェリア大統領選挙

    セネガル大統領選挙

  • 3月

    エストニア議会選挙

    イギリスがEUを離脱

    ウクライナ大統領選挙

    コンゴ民主共和国上院議員選挙

    マダガスカル国民総選挙

  • 4月

    インドネシア大統領選挙

    フィンランド議会選挙

    IMF・世界銀行春季総会(米国・ワシントン)

    第2回「一帯一路」国際協力ハイレベルフォーラム(北京)

    アンティグア・バーブーダ総選挙

    OPEC定例総会(ウィーン)

    南ア下院総選挙

    マリ国民議会議員選挙

  • 5月

    英国地方議会選挙

    リトアニア大統領選挙

    欧州経済会議(ポーランド・カトビツェ)

    欧州議会選挙

    ベルギー連邦政府選挙、地域政府選挙

    スペイン統一地方議会選挙

    CIS首脳会議(トルクメニスタン・アシガバード)

    G20農業相会合(新潟市)

    パナマ大統領選挙

    ドミニカ国大統領選挙

    マラウイ国民総選挙

    南ア大統領選挙

    チャド国民議会議員選挙

  • 6月

    メキシコ地方選挙

    上海協力機構首脳会議(キルギスタン)

    グアテマラ大統領選挙

    マラウイ大統領選挙

    G20財務相・中央銀行総裁会議(福岡市)

    G20金融・世界経済に関する首脳会合(サミット)(大阪市)

  • 7月

    太平洋同盟首脳会合(ペルー)

    AU首脳会議(ニジェール・ニアメ)

  • 8月

    G7サミット(フランス・ビアリッツ)

    APEC農業相会合(チリ・プエルト・バラス)

    第1回カスピ海経済フォーラム(トルクメニスタン・アワザ)

    第7回アフリカ開発会議(TICAD7)(横浜市)

  • 9月

    コンゴ民主共和国、市議会議員選挙

    第74回国連総会(ニューヨーク)

    一帯一路サミット(Belt and Road Summit)(香港)

    G20労働雇用相会合(愛媛県松山市)

    APEC中小企業相会合(チリ・コンセプシオン)

  • 10月

    アルゼンチン大統領選挙

    APEC財務相会合(チリ・サンティアゴ)

    G20保健相会合(岡山市)

    G20観光相会合(北海道倶知安町)

    IMF・世界銀行年次総会(ワシントン)

    CIS首脳会議(トルクメニスタン・アシガバード)

    カナダ連邦議会総選挙

    ウクライナ議会選挙

    ウルグアイ大統領選挙

    ボリビア大統領選挙

    モザンビーク国民総選挙、大統領選挙

    ナミビア国民総選挙、大統領選挙

    ボツワナ国民総選挙、大統領選挙

    カメルーン国民議会議員選挙

    第11回BRICS首脳会議(ブラジル)

  • 11月

    APEC首脳会議(チリ・サンティアゴ)

  • 12月

    スイス国民議会議長、全州議会議長選挙

    スイス連邦大統領、連邦副大統領選挙

    国連気候変動枠組み条約第25回締約国会議(COP25)(チリ)

    APEC閣僚会合(サンティアゴ)

    APEC首脳会議(サンティアゴ)

    G20外相会合(名古屋市)

    中国、中央経済工作会議(北京)

    ウズベキスタン議会選挙

    セネガル地方議会議員選挙

    エジプト大統領のAU議長国就任

    アフリカ国際フォーラム「Africa 2019」

  • 2019年中

    コロンビア地方選挙

    ベナン国民議会議員選挙

    ニジェール市議会議員選挙

    ギニアビサウ大統領選挙

目次へ戻る

2019年、企業が取るべき対策

多くのセキュリティ企業が予測するとおり、2019年のサイバー攻撃はより激化/進化し、複数の手法を使用して行われるようになると考えられる。基本的には、従来叫ばれているセキュリティ対策、つまり多段防御/多層防御が重要であることに変わりはない。また、セキュリティ対策機器を一元管理できるようにして、状況を俯瞰(ふかん)できるにすることも重要だ。機器同士を連携させ、初動対応の自動化を図ることも有効だろう。

IoT機器へのサイバー攻撃も増加すると思われるので、まずは自社にどのようなIoT機器があり、どこに置いてあるか、どのようなデータを扱っているかを把握する必要があるだろう。そのうえで、重要なデータを扱うIoT機器や、直接インターネットに接続しているIoT機器には対策を行う。ファームウェアなどのバージョン管理も大切な作業となる。Wi-Fiで接続している場合には、通信の暗号化設定も見直したいところだ。

一方、いわゆる「人の脆弱性」を狙うソーシャルエンジニアリングの手法は、さらに複雑になり、巧妙化すると思われるので、全社を挙げてセキュリティや情報リテラシーの教育を実施することも重要だ。特にフィッシングメールについては、メールを開く前に偽物であることを見抜けるようにしておきたい。そのためには、フィッシングの最新手法を知り、注意すべきポイントを把握し、常にそれを確認する癖を付けるようにすることが大切だ。ダミー攻撃を用いた演習や訓練なども効果的だろう。

人に関連する対策として、認証機能の強化も実施しておきたい。IDとパスワードの組み合わせだけでは、認証を突破される可能性があるためだ。可能であれば、生体認証を含む多要素認証を導入したい。とはいえ、セキュリティ対策の構築には費用がかかるので、まずは自社にとって重要な情報資産を把握し、それを守ることを第一にセキュリティ対策を考えていけばよい。また、マルウェアやサイバー攻撃に関する最新情報は、常に把握しておくようにしよう。

攻撃の複雑化:現時点でも複数の手法が組み合わされている

目次へ戻る

関連記事