キーワードは「標的の多様化」―2014年情報セキュリティ三大脅威
レポートに関する記者説明会では、上級セキュリティエバンジェリスト染谷征良氏が「金銭的な価値を生む個人情報が狙われるようになり、攻撃対象はボーダーレス化した。自発的に被害に気づくことが難しく、攻撃や被害は長期化、範囲も拡大した」と総括。そのうえで、9つの脅威を順に解説していった。
まず、法人・個人に共通の傾向としては、次の3つの脅威がある。
- インターネットバンキング利用者を狙う脅威
- 影響範囲を広げる脆弱性
- 狙われるPOSシステム上のクレジットカード情報
いずれも、さまざまなメディアで取り上げられ、官公庁からも注意喚起などが出されたものだ。これらを読み解くキーワードは「標的の多様化」だという。
▲トレンドマイクロ
上級セキュリティエバンジェリスト
染谷 征良氏
まず、ネットバンキングの脅威については、標的が、個人を対象とした大手金融機関から法人や中小金融機関へと拡大した。オンライン銀行詐欺ツールの検出台数は11月末時点で約4万4164台と前年から倍増。日本がはじめて検出台数の国別でもトップになった。また、法人は、前年の4400台から8000台へと倍増し、全体に占める割合も、7-9月期では44%に達した。攻撃方法としても、金融機関側が相次いで導入したワンタイムパスワードを突破する「自動送金システム」が登場して、国内でも2万台に感染が確認されるなど猛威を振るった。染谷氏は「オンライン詐欺ツールは、国内で今後も暗躍する」とあらためて注意を促した。
2つめの脆弱性については、これまでの脆弱性がIEやFlashといったプログラムが主な発見対象だったのに対して、2014年は「Heartbleed」や「Shellshock」など、広範囲に利用されている公開ライブラリやプログラムで見つかり、広範囲に影響を与えることになった。注意したいのは、これらはIoTに関連する機器でも用いられていること。染谷氏は「今後、犯罪者の中では、IoT/IoE関連機器に存在する脆弱性を悪用する動きが増加する」と予測した。
攻撃対象の機器の多様化という点では、3つのPOSシステムにも広がった。米国で普及するWindowsベースのいわゆるPC POSシステム上からクレジットカード情報が窃取される事件が相次いだ。POSマルウェアの検出台数は実数ベースで467台で前年比21倍増だ。「被害の大半は米国だが、国内の端末からも計6件見つかっており、決して対岸の火事ではない」と染谷氏。
