Consumers fear a cyberattack over a physical attack, but what are they doing about it? (Sophos official blog)

英国セキュリティベンダーのSophosは、約1,250人のコンシューマーを対象にセキュリティ上(盗難や物理的なセキュリティも含む)最も恐怖に感じていること、コンピューターを安全にするにあたって最もアドバイスが欲しい分野、ランサムウェアなどのマルウェアを体験したことがあるか、などについて5カ国でアンケートを実施。その一部を公式ブログで述べている。

国家や企業、コンシューマーとレベルを問わずIoTやスマートフォンなどのモバイルが普及するに連れ、サイバーセキュリティの懸念は広がっていく。専任の担当者が築けるような組織では、24時間体制でリスクを防衛する仕組みを構築することも可能だが、家族に専任の担当者を付けるのは困難を極める。にも関わらず、サイバー空間がどんどん身近な場所に溢れてくる時代に入っている。マルウェア、ランサムウェア、その他のサイバー攻撃に最も敏感なのはコンシューマーの方だ。

アンケートは5カ国で実施し、約1,250人のコンシューマーを対象にセキュリティ上最も恐怖に感じていること、コンピューターを安全にするにあたって最もアドバイスが欲しい分野、ランサムウェアなどのマルウェアを体験したことがあるか、などについて尋ねたが、結果からは、コンシューマーの間でサイバー上の脅威についての認知に大きな開きがあることが明らかになったという。

調査結果の中で最も懸念される事項として、"コンシューマーは物理犯罪や盗難よりもサイバー犯罪のリスクを恐れてはいるが、多くはサイバー犯罪がどのように起こるのか、そしてどうすれば保護できるのかについての知識を十分に持ち合わせていなかった"という考察を行っている。

コンシューマーの63%がデータ漏えいの結果、財務的損失を被るのではと心配し、悪意あるハッカーにコンピューターを乗っ取られ、スパムやマルウェアをアドレス帳の友人や無知のユーザーに送りつけるキャンペーンを展開されるのではと心配するコンシューマーは61%いたが、対象的に物理的に襲われる、車が盗難にあうなどを心配するコンシューマーは46%にとどまっている。

Sophosのエンドユーザーセキュリティ事業部のバイスプレジデントを務めるJohn Shaw氏は「消費者は家や車を保護する方法は理解している。物理世界はちゃんと把握できると感じている。一方で、サイバー犯罪は目に見えないものであり、バーチャル犯罪の世界は予測不可能で複雑なものだ。特に、フィッシング、ランサムウェアといったサイバー脅威になるととても難しい」と述べる。

たしかに、目に見えないものが恐ろしいと感じるのは道理にかなう。PCやスマートフォンのバックグラウンドで行われる動作は、なかなか把握ができない。サイバーセキュリティの被害を耳にする機会は増えても、車やバイクの盗難のように簡単にはイメージできない。情報化社会が進むに連れて、サイバーセキュリティは身近な恐怖になってくる。

Shaw氏は、「今日の攻撃は通常、ハッキングされた合法的なWebサイトからはじまっている--訪問したユーザーはハッキングされているとは知らない。あるいは、本物に見せかけた偽の電子メールを送り、コンシューマーが脆弱性を含むドキュメントを開いたり、悪意あるURLをクリックするように仕向ける。ユーザーがクリックしたことがわかると、ランサムウェアがバックグラウンドで実行され、ユーザーの個人ファイル、写真、その他の価値あるデータを暗号化して鍵をかけ、人質として押さえる。そして身代金を要求する」と警鐘を鳴らしている。

いわゆる"水飲み場型攻撃"と言われる標的型攻撃の一種である手法では、怪しいサイトではなく、普通の情報サイトなど人が集まるWebサイトを改ざんして閲覧者に感染させる。脆弱性を利用し、Webを閲覧しただけでバックグラウンドでコードが走り出す。画面上では何の変化も見せずに様々な仕掛けを埋め込む。また、多くにとって古くから存在するマルウェアとスパイウェアは、セキュリティ上の優先課題として上位に挙がったが、30%以上がフィッシングとランサムウェアに対抗するに当たって決定的に保護されていないことを認めており、フィッシングやランサムウェアに関する情報が不足しているのだという。

調査の回答者の半分以上が、家族や友人にITについて教えているという人たちだが、そのうちの14%は、他人のコンピューター上のデータバックアップが適切にできているかどうか確実ではなく、もしハッキングされた場合、データを戻せるかどうか自信がないことを認めており、18%がバックアップも復旧もわからないと回答。11%が自分が見てあげているコンピューターが悪意あるハッカーやウイルスからきちんと保護されているか確かではないという。

「コンピューターのバックアップ、それに家庭のWindows PCとMacの高度な保護のインストールは必須と言える。家や車を安全にするためのアラームをつけたり、ドアに鍵をかけるのと同じだ。オンラインを信じすぎるのも良くない。これらは、オンラインのセキュリティ対策のベストプラクティスとして、コンシューマーと自称"家族のIT担当"が知っておくべきことと言える」とShaw氏は助言している。

繋がりが広がっていくインターネットの世界では、ビジネスやコンシューマの垣根を越えてリスクが拡散してしまう。コンシューマが抱く危機感は正しく、それに備えた知識や対応を心がけていかなければならないということになる。Web上にはマルウェアの動作やバックグラウンドで動作するプロセスの様子を動画で見せているものもある。プライベートにおいても情報を扱う端末にはバックアップや基本的なセキュリティソフトのインストールは後悔しないように心がけたい。