1.はじめに
個人事業主としてフリーエンジニアをしている吉田です。
情報社会が進化すればするほど、情報セキュリティの脆弱性をついた犯罪は増える傾向にあります。
その一方で、初心者でも簡単にWebサイトを作れたり、サービスをリリースできたりなど、ネットをビジネス用途で活用するときのハードルは下がっていっています。簡単にサイト運営を始められる分、セキュリティに対する意識も格差が大きいため、よりセキュリティ意識の向上が必要となってきます。
そこで、今回の記事のテーマは「2016年セキュリティ動向から2017年下半期を予測」です。
2016年に実際に起きたセキュリティ事故をご紹介し、それを踏まえた上で今年2017年にどんなセキュリティ事故が増えているか、そして増えてきそうかをまとめます。それぞれの現場において、どんな対策が必要になっていくのか、その参考となれば幸いです。
2016年の傾向を踏まえた上での2017年のセキュリティ事故対策としてはIPA(情報処理推進機構)が資料にまとめているものがあります。こちらも参考にしてみてください。
情報セキュリティ10大脅威 2017
https://www.ipa.go.jp/security/vuln/10threats2017.html
2.2016年に発生した重大セキュリティ事故
2016年にはどのようなセキュリティ事故が発生したのでしょうか。
2016年はネット上での恐喝が急増したことに加え、スマートフォンなどデバイスの不具合による被害も深刻化しました。
ここでは実際に発生したセキュリティ事故を5つご紹介します。
①「クラッシュ オブ キングス」の公式フォーラムから約160万人の個人情報が流出
2016年7月、人気スマートフォンゲーム「クラッシュ オブ キングス」の公式フォーラムサイトがハッキングされ、160万人近くのフォーラム登録者の個人情報が流出するというセキュリティ事故が発生しました。
攻撃者はフォーラムアプリケーションソフトウェア「vBulletin」のセキュリティ脆弱性を突いて機密データにアクセスしたと推測されています。
フォーラムの登録者がセキュリティ事故の発生を認識しておらず、ユーザーに対して、自衛のための対策を告知していない可能性がある点でも問題となりました。告知していないことによって、例えば攻撃者がフォーラムサイトから盗んだ個人情報を利用して、フォーラム登録者にフィッシング攻撃を仕掛けてくる可能性があったのです。
②JTBから個人情報793万件流出の恐れ
2016年5月に、JTBのオンラインサービスから793万件の個人情報が流出するというセキュリティ事故が発生しました。
原因は標的型攻撃メールを社員が開いてしまい、ウイルスに感染したためです。標的型攻撃メールとは、企業などに偽メールを送りつけ、ウイルスに感染させて情報流出を狙うサイバー攻撃のことを指します。
実在する取引先企業のメールアドレスになりすまし、航空券eチケットの偽装PDFファイルをメールで送りつけるという巧妙なものでした。実際の取引先の署名があり、添付ファイル名が「E-TKT控え」というJTB社内でもよく使っているファイル名というのもあったのか、社員は顧客の航空券だと信じて開封してしまったのです。攻撃者は明らかにJTBをターゲットにしていることが想像できます。
もう1つの問題としては、流出した情報に個人情報が含まれていることを確認しておきながら、それから1か月も過ぎてから公式に発表した点です。流出した顧客への周知が遅くなったことは否定できない事実です。発表が遅くなったことで二次被害が出ることも考えられます。
③大阪硝子工業会のウェブサイトが1年以上にわたり改ざん状態
大阪硝子工業会のウェブサイトが不正アクセスによって改ざんされるというセキュリティ事故が発生しました。
外部から不正アクセスがあり、2016/2/6~2017/3/10にかけて、同サイト内のセミナーやイベントを紹介するページが改ざんされた状態だったそうです。
上記期間の間に問題のページを閲覧した場合、マルウェアへ感染するおそれもありました。
④インターネットバンキングやクレジットカード情報の不正利用
2016年はネットバンキングやクレジットカードの不正利用が急激に増えた年でもありました。
10月にはネットバンキングで他人の口座から180万円を不正送金したとして逮捕者が出ています。送金する際に必要なパスワードの入力に使う乱数表は、容疑者が闇サイトで入手していたとのことです。
最近のネットバンクでは送金の際、ワンタイムパスワードを発行する仕組みにしているところもありますが、地方銀行など一部ネットバンクではそれに対応しておらず、こういった不正利用に繋がることもあります。
⑤内部不正による情報漏えいとそれに伴う業務停止
外向けのセキュリティ対策では防げない事故として、内部の人間による情報漏えいも発生しています。
一見、敵は外にいるように見えますが、実は外ではなく身内にいた、ということもよくあります。
2016年5月には、大阪市東成区の職員が、業務と関係なく住民基本台帳システムで住民の個人情報を閲覧していたことがわかりました。この職員はシステム運用の担当から外されました。また、YJFXでは元従業員が18万件を超える顧客情報や営業秘密を無断で社外に持ち出していたことを公表しました。
データはネット上で保存されており、誰でも閲覧可能な状態にあったとのことです。YJFXは元従業員宅を訪問し、ヒアリングや情報の削除を実施した上で、端末を持ち帰り分析したそうです。このように、関係者や元関係者の悪意やセキュリティ意識の欠如によるセキュリティ事故も多数発生しています。
3.2017年のセキュリティ事故の傾向は?
2016年に発生したセキュリティ事故を踏まえ、2017年のセキュリティ事故の傾向はどのようになっているのでしょうか。
ここでは2017年上半期に発生したセキュリティ事故から傾向を5つご紹介します。
①ランサムウェアによる被害の急増
ランサムウエアとは、身代金要求型のウィルスのことを指します。
具体的に言うと、ウィルスに感染したPCをロックしたりすることで使用不可能な状態にした後、元に戻すことと引き換えに「身代金」を要求するわけです。
日本においても、大手電機メーカーの日立製作所が5/15、サイバー攻撃を受けて社内のメールシステムに障害が出ていることを明らかにしました。
サイバー攻撃対策を支援している一般社団法人「JPCERTコーディネーションセンター」によると、5/13~14日にかけて日本国内で約600カ所、2000端末でランサムウエアの感染が判明したそうです。
また、ランサムウェアの重要セキュリティ情報が公表されておりますので、こちらも参考にしてみてください。(IPA 独立行政法人 情報処理推進機構より)
- 感染が拡大中のランサムウェアの対策について(2017年6月29日)
http://www.ipa.go.jp/security/ciadr/vul/20170628-ransomware.html- 世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について(2017年5月18日)
https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html
②研究室などの放置サイトを狙ったサイト改ざんが多発
大学の研究室やサークルのウェブサイトはその役割が終了した場合でも、閉鎖されないことがあります。
しかし、大学側ではそれぞれのウェブサイトの管理ができておらず、多くの大学において、セキュリティ対策が不十分なウェブサイトが放置されたままになっています。
これがウェブサイト改ざんを招く主な原因となっているということで問題とされています。
これは、多くの大学など学術組織ではウェブサイトの管理が在籍期間が限定された学生や教員に委ねられることに関係しています。
卒業や異動などでサイトの管理者がいなくなると、管理の引き継ぎがなされず、セキュリティ対策がなされていないウェブサイトが放置されることになるのです。
大学は企業との共同研究など、知的財産である情報を保有しています。そのため、ウェブサイトの改ざんをキッカケに情報が漏えい一度でも発生すると、周囲の関係組織に対してもダメージが大きくなり、評判にも悪影響を及ぼす可能性が高いです。
③インターネットバンキングやクレジットカード情報の不正利用
2016年に引き続き、ネットバンクやクレジットカード情報を不正に利用した犯罪も発生しています。
6月には、ネットバンクで不正に送金された金を引き出し盗んだとして、中国籍の専門学校生の男らが警視庁に逮捕されています。2016年12月、東京・台東区のコンビニのATMで、大阪府にある会社のネットバンクの口座から不正に送金された現金約100万円を引き出し、盗んだ疑いが持たれています。
2017年に入って、ネットバンクによる不正送金はワンタイムパスワードの普及などにより大幅減少の傾向にありますが、犯罪者側はネットバンクから電子マネーを購入するなどの新手口を考案していたちごっこは続いています。
クレジットカード情報の不正利用としては、2017年4月に発表された、チケットぴあの事件が印象に残ります。ぴあがプラットフォームを提供し運営を受託しているプロバスケットリーグのチケットサイトとファンクラブのサイトが不正アクセスを受け、個人情報約15万件が流出した可能性があると発表しました。カードの不正使用が約630万円分確認されています。
④IoT機器の脆弱性の顕在化
PCやスマホだけでなく、モノがインターネットに繋がるこれからのIoT時代では、セキュリティ対策はIoT機器に対しても必要となってきます。
アメリカでは、セキュリティカメラが一般家庭で使われています。このカメラをIoT化することでスマホからチェックできるようになっていますが、IoTカメラを開発するメーカーNestで、Bluetoothを使ってカメラとインターネットの接続を解除できる脆弱性があることがわかりました。撮影した画像は全てネット上に保存するので、この脆弱性は非常に問題となってきます。このように、今後IoT機器のセキュリティ脆弱性が問題化していくことが予想されます。
⑤スマートフォンやスマートフォンアプリを狙った攻撃
Check Point Software Technologiesによると、大手販売チェーンから購入したAndroidスマホの36台が、販売時点ですでにマルウェアに感染済みだったことを明らかにしました。
確認された36台は中国メーカーで、日本では目にする機会が少ないモデルが多かったですが、中にはサムスンのGalaxy NoteシリーズやGalaxy Sシリーズなど、日本国内でも人気のモデルも含まれています。メーカーからの出荷時点では安全な状態だったにも関わらず、携帯電話キャリアが独自のカスタムROMを用意するときに、マルウェアが混入した可能性が高いそうです。
PCのように、Androidスマホにもセキュリティ対策ソフトが必須という時代が訪れているのかもしれません。買ったときからマルウェアに感染しているということは、どんなAndroidスマホも気づかないうちに感染しているということがあり得るということを表しているとも言えるでしょう。
これから2017年の予測
上でご紹介したようにランサムウェアはさらに巧妙化していくことが予想されます。
放置されたままのウェブサイトはその踏み台として悪用される恐れもあります。
また、2016年のJTBの情報漏えい事件に代表されるように、ビジネスメールを偽装するビジネスメール詐欺(Business Email Compromise)も攻撃者にとっては簡単で魅力的なものになっています。さらに巧妙化していくことが予想されます。IoT機器が今後普及していけば、IoT機器の脆弱性をついたセキュリティ事故が増えていくでしょう。
4.まとめ
ここまで、2016年、2017年に発生したセキュリティ事故を振り返りながら、これからの2017年における傾向を予測してきました。
個人情報の流出は企業・組織においてイメージダウンや事後処理の大変さもあって、かなりのダメージをもたらすものでもあります。
ウェブサイトやサービスを運営するということはそれなりのセキュリティリスクを認識し、それに対する対応策を持っておく必要があります。しかも、サイバー攻撃の手口は年々巧妙化してきており、それに応じて必然的にセキュリティ技術の向上が求められています。
そこで、SiteLockというサービスがあります。
SiteLockを使うことによって、初心者であってもウェブサイトの安全性を日々監視し、セキュリティ事故発生時は速やかに復旧に向けた処置を進めることができます。
国内外800万を超えるサービス利用者がいることで高い信頼を得ているサービスと言えるでしょう。わずか月385円(税込)からサービスを利用できるという点も魅力的です。
セキュリティ対策は一度痛い目に合わないとなかなか実感がわかない部分もあることは理解できます。しかし、一度起きるとその影響が広く及ぶリスクもはらんでいることはきちんと理解した上で適切な対応策を講じることが必要です。
執筆者プロフィール
- 吉田純
- フリーランスエンジニア、ライター、教育ベンチャー企業共同経営者。
フリーとして、ツール制作やライティングなどを行う一方、認識技術を応用活用した次世代教育にも取り組んでいます。