シマンテックでは、これまでユーザーのインターネット利用状況やサイバー犯罪の最新動向について、統計調査を実施している。その結果は「ノートン犯罪レポート」として発表していたが、今年からは、「ノートンレポート」として発表することになった。その理由は、犯罪状況だけでなく、ユーザーの行動分析も同時に調査したことによる。発表は、マーケティング統括本部本部長の岩瀬晃氏が行った。
まずは、調査方法について紹介しよう。日本、中国、米国、ブラジル、ロシアなど24カ国の13,022人が調査対象となった。年齢は18歳から64歳で、オンラインユーザーを対象としている。特に、特定のデバイスのユーザーという限定はしていない。限定したのは年齢だけである。調査期間は、2013年7月4日から8月1日にかけて行われた。
セキュリティを軽視するスマートフォン、タブレットユーザー
今回の調査でまずもって浮かび上がったのは、携帯デバイスのセキュリティに対する軽視である。まずは、図2を見ていただきたい。これは全世界の調査結果をまとめたものである。
携帯デバイスを身近に置きながら、バックアップなどの基本的な対策を半数のユーザーが行っていない。さらに、高機能なセキュリティ対策ソフトの導入は、26%にとどまる。特に岩瀬氏が問題視したのは、携帯デバイス用のセキュリティ対策ソフトの存在自体を知らないユーザー57%にも達している点である。同じ分析を日本で行ったのが、図3である。
基本的な対策は上回っているものの、全体としては同じような傾向といえる。岩瀬氏は、携帯デバイスのユーザーが増え続ける一方で、セキュリティの軽視は非常に問題であると指摘する。セキュリティベンダーのシマンテックとしても、遺憾な結果と振り返る。今後は、媒体なども含め、啓蒙活動をより的確に行っていきたいと考えているとのことだ。さらに、デバイスによってどういった意識の差があるかを示す分析が図4である。
これは、PC、タブレット、スマートフォンのユーザーに対して、
・見知らぬ人からの不審なメールの削除
・少なくとも基本的なセキュリティ対策ソフトの利用
・機密ファイルをオンライン上に保存しない
といった行動について比較したものである。デバイスとセキュリティ意識の関連が如実に表れている。PCユーザーの場合、セキュリティに対するリテラシーも高く、同時にセキュリティ対策ソフトの導入、危険な行動をしないといった傾向がわかる。しかし、携帯しやすいデバイスほど、セキュリティ意識が低下している。
サイバー犯罪の被害
次の分析は、サイバー犯罪における被害をまとめたものだ。被害者の申告によるもので、企業などは含まれていない。
総額は1,130億ドルに達するが、前年と比較すると微増に留まっている。一方、被害者1人あたりの被害額は、298ドルと前年から50%以上増加している。これについて、シマンテックでは次のように推測している。従来は、金銭を詐取する手口として、偽セキュリティ対策ソフトなど多かった。これが、最近ではランサムウェア(使用不能にし、金銭をせしめる)に移行している。偽セキュリティ対策ソフトでは、60ドルから100ドルくらいが被害金額となっていた(一般的なセキュリティ対策ソフトと同じような金額である)。しかし、ランサムウェアは上限がないといってもよい。このことが被害者1人あたりの被害金額を押し上げている要因と分析する。
ビジネスとプライベートの間で
これは、私物のデバイスを仕事で使ったことがあるかどうかの調査である。
半分近くのユーザーが、私物のデバイスを仕事でも使っている。また、会社側でもこのような状況に対するセキュリティポリシーを設定していない比率も高い(個人の責任に委ねている状態だろう)。日本では、図7のようになった。
日本では、全体的に被害や問題行動は低い傾向にある。しかし、会社側でセキュリティポリシーの設定をしていない比率が、42%にも上っている点は全世界を上回り、BYOD(Bring your own device)に関する意識の低さがうかがえるとのことだ。また、オンラインストレージの利用などでも、公私の混同がやや目立つ(図8)。
業務上重要なファイルも友人や家族と共有し、危険に晒されている状態と指摘する。日本では、この比率は低い結果となった。攻撃者にとっては、個人情報のみならず会社情報も魅力的な標的になる。このように混在させたり、共有を行うことで、より狙われやすくなる。また、会社側の対応でも、十分な行為形成のないまま一律に使用を禁止しても効果的でない。必ず使用するユーザーが現れ、セキュリティホールとなる危険性をはらむ。今後の対応がさまざまな形で求められるだろう。
ソーシャルメディアに関する分析
日本では、SNSをはじめとするソーシャルメディアの利用率が高い。そこで、ユーザーがどのように考え、行動しているかを調査したものである。図9は、ソーシャルメディア上での行動を調査したものである。
セッション終了後にログアウトしない、他人とパスワードの共有、知らない人と繋がるといった問題ある行動をとった結果、12%ものユーザーがなりすましなどの被害を経験している。この調査では、日本において特徴的な結果となった(図10)。
いずれも非常に高い数字となっている。パスワードの共有に関しては、家族などが推察されるとのことだ。また、何を目的としているかまでは、今回の調査ではわからなかったとのことである。そして、岩瀬氏が注目したのは、知らない人と繋がっている率である。日本では、知らない人と繋がることへの抵抗感がない。実際の被害は1%であるが、この調査はアンケートベースなので、被害に気が付いていないユーザーも多数、存在している可能性もあると指摘する。また、攻撃者もこのようなあまさを見逃すことはない。セキュリティベンダーからみると、非常にリスクの高い行動なので、注意喚起などをしていきたいとのことだ。
安全性よりも利便性
これは、セキュリティから離れ、ユーザーの行動などを調査したものの1つである。携帯デバイスの差別化の要素の1つに利便性があげられる。そのためにはセキュリティは犠牲になってもよいと考えるユーザーを示すものだ(図11)
1/3のユーザーがセキュリティよりも利便性を優先している。セキュリティベンダーとしてゆゆしき事態と感じているとのことだ。一方、プライバシーの完全削除を望んだり、不適切なコンテンツは困る考えるユーザーも多く、安全性と利便性のジレンマの中にユーザーが戸惑っている状態であると分析する。日本では、図12のようになった。
ほぼ似たような結果となった。これらの結果は、前述したセキュリティ意識の低さを裏付ける結果ではないかとも推察される。実際には、セキュリティ対策の方法がわからない、どんな被害が予想されるかわからないことが大きく関係していると思われる。引き続き、啓蒙活動が必要としている。
どのような対策が必要になるか
最後に、どのような対策が有効か? 岩瀬氏は以下の6つをあげた。
データを守る
包括的なセキュリティ製品の導入である。PCだけでなく、さまざまな端末を守る製品が求められる。また、マルウェア対策だけでなく、脅威を未然に防ぐ対策、パスワード保護・管理なども必要となる。携帯デバイスは小さなコンピュータ
デバイスのパスワード保護だけでなく、盗難・紛失対策までに対応した専用のセキュリティ対策ソフトの導入をする。オンラインストレージの利用は慎重に
公私混同することは避け、ファイルのアクセス権を設定する。セキュリティ対策を備えたサービスの利用も考慮したい。ダブルチェック
オンラインバンキングや取引などでは、取引後、残高確認や利用明細のチェックを行う。異常を見つけたら速やかに被害届を行う。強力なパスワード
最近は、パスワードの使い回しによる被害が多発している。推察されにくい強力なパスワードと定期的な変更を行う。ソーシャルネットワークでの自己防衛
むやみにリンクをクリックしたり、知らない人と繋がらないという対策が必要。個人情報の公開の範囲なども意識すべき。
本稿では、すべての内容を紹介することはできなかった。こちらで、全文を参照することができる。興味を持った方は、ぜひ一読してみるとよいであろう。