EMCのセキュリティ部門であるRSA事業本部は12月5日、メディア向けラウンドテーブルを開催し、2015年のオンライン脅威動向予測の説明を行った。
説明を行ったのは、米国本社でオンライン脅威防御対策ソリューション事業部を統括するバイスプレジデントのアダム・バングル氏。バングル氏によると、犯罪を予測するためには「サイバー犯罪がどのような動機で行われているのか知ることが重要だ」と話す。
「動機で最も多いのは『お金儲け』。ただし、ここ数年は手口が巧妙化しており、スマートフォン時代に合わせてモバイルベースの犯罪も増加傾向にある」(バングル氏)
もちろん、PCに対する脅威がなくなるわけではない。犯罪者がマルウェアを作成する際、これまで情報収集に成功しているプログラムをコピーし、改良して作り上げるケースが多いが、2014年になっても未だに脅威となり続けているマルウェアファミリーが「ZEUS」だ。
同社の調査によると、マルウェアの実に8割がZEUSベースで作られており、その他ファミリーの多くを圧倒する"人気"を誇っているという。
「これまでは新しいプログラムをダウンロードしたりすることで、マルウェアに感染してしまうことが多かったが、現在は感染が"シンプル"になっている。例えば、新しいスクリーンセーバーが欲しいと思って壁紙をダウンロードしただけで感染してしまったケースもあるほどだ」
また、こうした攻撃で狙われるのは消費者それぞれではなく、「企業」だ。
「企業を狙うことで何百万、何千万人というレベルで個人情報を収集できる」
数百万単位で企業から個人情報が漏れているため、クレジットカード情報がブラックマーケットではありきたりになりつつあるとバングル氏は語る。そのため、数万人単位のクレジットカード情報が一覧で表示されており、その"単位"ごとに定価まで付けられているという。
定価がつけられているのは、個人情報の束だけではない。「DDoS攻撃」という大量のリクエストを送信し、相手サーバーの処理をダウンさせる攻撃も"時間単位"で売られているというのだ。
「DDoS攻撃は非常に手軽な攻撃となりつつある。オンライン取引では1時間あたり8ドル(約960円)から相手サーバーを止めてくれる。とある試算では、電子取引の有名サイトで1時間に渡ってサイトを停止させた場合、340万ドル(約4億円)の損害となる」
そして、犯罪者のトレンドは一般消費者と同じ「モバイル」へと移りつつある。
「トランザクションはモバイルから27%が来るようになった。ただし、不正なトランザクションの割合は、40%に達している。つまり、犯罪者にとってモバイルがいい機会となっているわけだ。SMSフィッシング詐欺の例では、送り元の携帯電話番号を隠しつつ、別企業の名をかたりURLをクリックさせ、詐欺サイトへと誘導している。犯罪者がクリエイティブに、スマートになりつつある」
SMSを利用したフィッシング詐欺は、SMSの利用率が低いとされている日本では影響がないようにも思える。しかし、記憶に新しい「LINEを利用したカード購入詐欺」など、手段はいくらでも存在する。自分の身には関係ないと思っていては、いつか狙われる可能性がある。
2015年のサイバー犯罪はどうなる?
こうした現状から、RSAは次の4点を2015年の脅威動向として挙げた。
国家レベルのサイバー攻撃が拡大、民間企業への被害も増大
プライバシーに関する議論が成熟する?
小売業が標的になる傾向は変わらず、ヘルスケア情報も標的に
IoTではなく、モノのアイデンティティを
国家間やそれに準ずる団体のサイバー攻撃についてはRSAに限らず、直近ではファイア・アイなども発表しているが、それの攻撃が民間企業にも及ぶようになるという。
「国同士が私企業に対する攻撃も含むようになる。企業が商売上の被害を受ければ、その企業と取引のある企業も影響を受けるし、最終的には政府にも波及効果が見られるようになる」
先週もソニー・ピクチャーズが大規模な標的型攻撃を受けたが、一部報道では北朝鮮が背後にある攻撃ではないかとの指摘もある。このように、2014年年内であっても、その兆候が見られている。
一方で、2点目のプライバシーに関する議論では、セキュリティとプライバシー、そして「簡便さ」のバランスが重要で、その議論が成熟するのが2015年だとバングル氏は指摘する。
「私達が仕事をしている金融機関の企業は、ユーザーのセキュリティを守ることと同時に、簡単なアクセスを提供しようとしている。ただ、プライバシーも守らなければならない。つまり、セキュリティとプライバシーは一緒。セキュリティという前提の上でプライバシーも守らなければならないし、セキュリティのためにプライバシーが侵害されてはならない」
モバイルやソーシャルは犯罪者にとって好都合
3点目のヘルスケア情報では、ウェアラブルデバイスなどで得られた情報などの流出を危惧しているとバングル氏。これは、4点目のIoTにも繋がる話だが、あらゆる情報が集積されている現代社会では、企業の情報収集とその管理が誤っていると、流出という危険性がそこまで迫ってしまう。
「IoTはこれまでに比べてサイバー犯罪者が攻撃できる場所を拡げてくれた」とバングル氏は犯罪者の気持ちを代弁する。
ヘルスケア情報はもちろんだが、直接的な取引であるモバイルペイメントについてもAppleの「Apple Pay」などにより海外でも普及しつつある。現在は2兆円程度のモバイルペイメント市場も2017年には1170億ドル(約14兆円)まで急拡大。これは決済の簡素化という意味では喜ばしいことだが、セキュリティの側面からすると「爆発的に犯罪が増える」ことに繋がるという。
また、ネットにおけるもうひとつのトレンドが「ソーシャルメディア」だ。
アカウント情報はすでに"ビッグマーケット"になりつつあり、1アカウントにつき1ドルで取引されている。
「大したことないじゃないかと思うかもしれないが、ブラックマーケットでは1ドル出せば1000台のマルウェア感染PCが購入できる。つまり、ソーシャルIDに対して付加価値を犯罪者が見出していることになる」
RSAでは、こうした予測を立てた上で"状況を一転させる"努力をしているとしているという。
「私達は狙われる側から狙う側になろうとしている。銀行のセキュリティグレードをアップグレードしたところ、地下組織のコミュニティで、ある犯罪者が『侵入できない』と嘆くと、ほかの犯罪者も『うちも入れないよ』と嘆いていた。彼らにとって犯罪を難しくしている証拠が得られたと思う。
私達の対策だけではなく、モバイルデバイスについても、今後は『生体認証技術』を搭載したものが標準となるだろう。これは2015年にすぐ……というわけには行かないだろうが、2016年や2017年には一般的になってくる。これは本人が意識しなくてもセキュアに利用できるようになるというメリットもある」(バングル氏)