古くて新しいセキュリティ脅威を振り返る

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

古くて新しいセキュリティ脅威を振り返る

2016/04/19


 情報処理推進機構(IPA)から「情報セキュリティ10大脅威」の2016年版が公表された。これは、情報セキュリティの専門家らが前年に発生したセキュリティ事故や攻撃などによる脅威を選出し、投票によって順位付けした資料だ。11年目となる今回は、「個人」と「組織」という2つの視点でランキングが発表された。ここでいう組織とは「企業、政府機関・公共団体などの組織、及びその組織内のユーザー」を指す。今回のセキュリティ強化塾では、同報告書を基に2015年に発生し、組織を襲った10大脅威を振り返ろう。

情報セキュリティ10大脅威

組織を襲った10大脅威、1位は「標的型攻撃による情報流出」

表1 情報セキュリティ10大脅威 2016 「組織」編
表1 情報セキュリティ10大脅威 2016 「組織」編
資料提供:IPA

 まずは、2015年に発生した10大脅威(組織編)を眺めてみよう(表1)。堂々の1位に選ばれたのは「標的型攻撃による情報流出」だ。本連載でも度々取り上げているが、2015年5月に発生した日本年金機構の個人情報大規模漏えい事故は、情報セキュリティになじみのない人にも「標的型攻撃」というキーワードを知らしめた。同機構からは125万件もの個人情報が漏えいし、その対応コストは8億円にも上るという。また、漏えい事故後にも厚生労働省や同機構の名をかたった不審電話についての注意喚起が行われた。

 2位には「内部不正による情報漏えいとそれに伴う業務停止」が選出された。2015年4月、サンリオなどの株主向けに優待サービスを提供していた資産運用企業から約1万2000件の個人情報(氏名、住所、性別、生年月日、電話番号、メールアドレス)の漏えいが発覚した。個人情報は名簿会社へと流出し、電話勧誘や迷惑メールなどの二次被害を招いた。漏えい元となったサービスは終了し、セキュリティを強化した別サービスとして再スタートしている。

 また、2015年9月には大阪府堺市で大阪府知事選挙時の有権者情報(約68万人)が流出し、誰でも閲覧可能な状態となっていたことが発覚した。これは同市職員(当時、会計室課長補佐級。懲戒免職)が無断で持ち出した業務データに含まれていたもので、レンタルサーバに保管されていた。その後の調査で、当該職員が持ち帰ったデータを基に「選挙補助システム」を自作し、複数の民間企業に売り込みを行っていたことも分かっている。

 3位にランクインしたのは「ウェブサービスからの個人情報の窃取」だ。これは、いわゆる「ハッカー集団(ハクティビスト)」らによるサイバー攻撃によって、サービス提供者が保有する個人情報が盗み出される事件を指している。例えば、既婚者向けの出会い系SNS「アシュレイ・マディソン」からは不正アクセスによって3200万人分の会員情報が流出した。攻撃者たちは同サービスが公序良俗に反すると「抗議」の意味を込めて、盗み出した会員情報をインターネット上で公開した。彼らの言い分に正当性があるかどうかは別の議論となるが、個人情報の窃取は許されるものではない。

 4位には「サービス妨害攻撃によるサービスの停止」が入った。企業や組織のWebサイトに過剰なアクセスを行い閲覧不可の状態にするDoS/DDoS攻撃は古くからある手段だ。依然として攻撃者によって乗っ取られた端末(ボットネット)から攻撃対象のWebサイトに大量の負荷をかけるやり方は変わらない。だが、その目的は変質化しており、かつてのような愉快犯ではなく、自身らの主義主張を掲げるハクティビズムや、攻撃停止と引き換えにビットコインなどによる金銭の支払いを要求する行為が主流になっている。

 5位の「ウェブサイトの改ざん」も昔からあるセキュリティ脅威の1つといえる。2015年もコンテンツ管理システム(CMS)の脆弱性が突かれウイルスを仕込まれたり、DDoS攻撃のための踏み台として利用されたりする事例が散見された。Webサイトの改ざんによってサービスの一時停止などの直接的な被害が発生するだけでなく、Webサイトの閲覧者にウイルスを感染させるような「水飲み場攻撃」に使われた場合には、社会的な信頼を損なうことにもなりかねない。

 これら上位のセキュリティ脅威に加えて、7位に挙げられた「ランサムウェアを使った詐欺・恐喝」は今、最も注意すべき脅威といえるだろう。悪意のあるプログラムを起動してしまうと、PC内や共有フォルダやファイルサーバ内のデータが勝手に暗号化され、ユーザーによって閲覧や編集できない状態になる。そして、攻撃者から「解除(復号)してほしければ、身代金(ランサム)を払え」と恐喝される。業務遂行に著しい障害が発生する上、身代金を支払ったところでデータの全てが戻ってくる保証はない。2015年ごろからは非常に流ちょうな日本語によるメッセージが表示されるようになり、日本でも感染の可能性が高まっている。

 さて、これらさまざまな情報セキュリティ脅威に対して、企業はどのような対策を講じるべきか。あらためて再点検してみよう。


1

標的型攻撃は「内部侵入」を前提とした多層防御体制を

 本連載の「対応体制整備でリスクを最小化!今すぐ取りかかれる標的型攻撃対策」でも紹介しているが、標的型攻撃の手口は次の7つのステップで遂行される。

(1)

計画立案

(2)

攻撃準備(標的組織の調査)

(3)

初期潜入(ウイルス感染)

(4)

基盤構築(感染拡大)

(5)

内部侵入・調査(文書や情報の探索)

(6)

目的遂行(外部へのデータ送信)

(7)

再侵入

セキュリティ情報局にご登録頂いた方限定で「古くて新しいセキュリティ脅威を振り返る」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


情報セキュリティ10大脅威/古くて新しいセキュリティ脅威を振り返る」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報セキュリティ10大脅威」関連情報をランダムに表示しています。

情報セキュリティ10大脅威」関連の特集


ランサムウェアはPCの中にあるデータを暗号化/ロックし、解除のための“身代金”を要求する大変悪質なマ…



「大掛かりなWebサイトを運営しているわけではないし……」という企業にも、アプリケーションの脆弱性や…



毎年、年末年始の人員が手薄になるスキを狙ったWebサーバへの攻撃が増加するのをご存知でしょうか。20…


「アンチウイルス」関連の製品

マルチエンジン型ウイルス対策ソフトウェア 「Metascan」 【ネクスト・イット】 添付のOfficeファイルも安心して編集できる標的型攻撃対策とは? 【コネクトワン】 感染前提のマルウェア対策、VDIの次の仮想化セキュリティは? 【ヴイエムウェア】
アンチウイルス アンチウイルス アンチウイルス
最大30種類のウイルススキャンエンジンを動作させ、マルウェアの検出率を最大限に高めたウイルス対策ソリューション。インターネット接続ができない閉環境でも使用が可能。 添付のOfficeファイルも安心して編集できる標的型攻撃対策とは? 「VDI+セキュリティ製品」でも防御は不完全……何が足りない?

「アンチウイルス」関連の特集


 前回は、ファイルのアクセス制限不備の脆弱性の傾向を紹介した。今回はコンポーネントのアクセス制限不備…



 前回は不正プログラムの増加傾向と、Webからの脅威の事例を紹介したが、今回はパターンマッチング方式…



トレンドマイクロが「企業におけるランサムウェア実態調査2016」を発表しました。暗号化されてしまった…


「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30008714


IT・IT製品TOP > エンドポイントセキュリティ > アンチウイルス > アンチウイルスのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ