2013年の脅威動向を振り返って
--2013年の脅威動向はどんな特徴があったでしょうか。
「Web改ざんの大幅な増加があります。2009年以降、報道でも有名な会社や組織の改ざんが報告されています。2013年9月末時点で、JPCERT/CCに報告された件数は2012年の3.2倍になっていますが、こうして明るみになったのは氷山の一角にすぎません。」
「Web改ざんといわれても、画面やコンテンツが変わった程度と思われるかもしれません。しかし、実際には、訪問者へのサイバー攻撃の手段となっています。特に公になった事例では、情報詐取を目的とした改ざんが確認されました。」
「後半の不正アクセスでも指摘されていますがアカウントリスト攻撃も、ID・パスワードを使うWebサイトが増えてきたことが一因といえます。その一方で、ID・パスワードの使い回しも非常に多いことが、このような攻撃が成立する要因となっています。2013年には数十万件のIDで不正ログインが成功した事件がありました。現在は、大規模な被害が起きる土壌や環境ができつつあると思います。」
--攻撃者の金銭奪取目的は明確化していますが、より悪質になってきたのでは?
「個人的には「巧妙化」という言葉はあまり使いたくないのですが、2013年の攻撃をみるとやはり巧妙化してきています。Web改ざんでも、サイトの管理者にばれないような細工をしています。ある事例では、サーバーにモジュールを仕掛け、閲覧者に動的にコンテンツを送る際に不正なコードも送信する手口が使われました。通常のCMSだけでは、発見できないものです。こういった傾向が顕著になっています。」
--アカウントリスト攻撃では、パスワードの使い回しが一因ですが、パスワード管理も大変です。
「大量の不正ログインが行われた事例でパスワードを調査したところ、「abcde」や「abc123」のようなパスワードがかなり多かったとのことです。やはりユーザーには、複数のサイトでID、パスワードが必要なためわずらわしいという意識があるのでしょう。」
「ID・パスワードだけでは安全ではない、そこで乱数表やワンタイムパスワードなどが導入されます。しかし、それを狙った攻撃も登場しています。海外ではモバイル端末でワンタイムパスワードを作成するアプリがありますが、すぐにまねた偽アプリが登場しています。認証の方法を増やせば解決するともいえません。そして、ID・パスワードの在り方も問われてきていると思います。」
--サイトによっては、クレジットカードの情報が紐付いていることも多いです。
「商品を1回購入しただけでも、クレジットカード情報が勝手に保存されることがあります。さまざまな個人情報や行動がビッグデータとして保存される時代において、この方法は正しいのか。サイトによっては、ユーザーの選択肢がない状態でクレジットカード情報が保存されます。今後、どうあるべきか、問われてもよいかもしれません。」
「さらにネット上にある個人情報やプライバシーについて、それを収集・再利用する企業についても、今後、考え方が変化するかもしれません。」
人の脆弱性が標的に
--2014年の脅威予測で、攻撃者はOSやアプリの脆弱性を狙うようにみえるが、最終目標は「人」であるとの指摘があります。
「機械仕掛けの対策は、いくらでもやりようがあります。弊社のウイルスバスターのようなセキュリティ対策ソフトの導入、修正プログラムの適用などです。しかし、コントロールできないのは人の部分なんです。どんな犯罪もそうですが、最終的には人の弱みに付け込みます。オレオレ詐欺の手口ですが、脅しから始まり身内に変化しました。最近は、公務員を騙るようになりました。なぜ、それで成功するのか? 簡単にいえば、効果的だからです。攻撃者は、人の脆弱性も狙っているのです。そして、模倣や偽サイトの作成ツールやテクニックが個人でも入手可能となり、人を騙すことが簡単になっています。」
「多くのユーザーが、無料アプリやSNSなどのサービスを便利だから使っています。しかし、便利になればその一方で弊害も存在しているのです。そして、多くのユーザーが、その裏で何が行われているかを理解していません。そのために、弊社としては、注意喚起や啓発を積極的に行っていきたいと考えています。」
「一昔ならば、スパムやフィッシングメールを見ると、一目でおかしいと気が付きました。しかし、最近の偽サイトやなりすましのメールは、IT知識のあるユーザーでも見破れないものがあります。セキュリティ対策ソフトといった機械仕掛けの対策も、もちろん必要です。しかし、そういった攻撃や手口があることを、知ってほしいと思います。今後、サイバー犯罪の被害を減らす重要なポイントになるでしょう。」