2014年「脅威動向」&2015年「予測」
ネットバンキング、オープンソース、モバイル・・・
サイバー犯罪の明日を読む

企業のビジネスを脅かし、痛打を与える情報セキュリティの脅威。2014年、その動向にいかなる傾向が見られたのでしょうか。そして2015年、脅威はどんな変容・変化を見せるのでしょうか――。ここでは、トレンドマイクロがまとめた脅威の動向・予測を基に、企業・組織が特に注視すべきポイントをお伝えします。

2014年脅威動向
あらゆる企業が攻撃の的に

特定企業・組織を標的にしたサイバー攻撃が猛威を振るうなか、中堅企業や法人ビジネスを営む企業からは、「自社には盗まれて困るような情報はない。だから我々はサイバー攻撃の標的になることはないだろう」との楽観論も漏れ聞こえます。  「しかし、それは間違った見方です。あらゆる規模、あらゆる業種の企業がサイバー攻撃と情報窃取の脅威にさらされているのです」とトレンドマイクロのセキュリティエバンジェリスト、染谷 征良は言います。

例えば、トレンドマイクロは現在、さまざまな業種・規模の顧客企業の要請を受けて、毎月数百~数千件の脅威解析を実施しています。それによって検出された脅威の中で、顕著に数を増やしているのが情報窃取の常套手段である「遠隔操作ツール」です。同ツールが検出脅威全体の中に占める割合は、2014年10-12月期には49.2%と過去最大となっています(図1)。

図1 法人での遠隔操作ツール検出割合※1

2014年脅威動向
狙われるPOSとネットバンキング

周知のとおり、2013年12月末に米国大手小売り企業がPOS端末へのマルウェア攻撃を受けて、7,000万人のクレジットカード情報を漏えい。巨額の損失とCEO・CIOの辞職という事態に追い込まれました。以来、POSマルウェア感染によるカード情報漏えいが、さまざまな業種・規模の米国企業を中心に多数発覚しています。ICチップ/暗証番号によるクレジットカード決済の認証があまり普及していない日本でも、POSマルウェアによるカード情報漏えいは対岸の火事とは言い切れません。POSを標的にした攻撃は今後も増大・高度化が予想され、国内に攻撃の波が到来する危険性は十分あるため警戒を怠ってはならないのは確かです。

一方、「ネットバンキングを標的にした脅威」も、企業が強く警戒すべきリスクとして急浮上しています。例えば、ネットバンキング被害における法人被害の比率は2014年第3四半期で45%に到達(図2/トレンドマイクロ調べ)。「少なくとも3,000社近くが、ネットバンキング狙いの不正プログラムに感染していると見ています」と、染谷は指摘します。

図2 国内ネットバンキング関連不正プログラム検出台数と法人の割合※2

さらに深刻なのが、ネットバンキング攻撃の高度化です。従来、ウイルスがID/パスワードを犯罪者の手元に送り、犯罪者がそれを用いて不正ログイン・不正送金を行うといった手法が一般的でした。ところが現在、すべての不正処理をウイルスが自動的に行う「自動送金システム(Automatic Transfer System:ATS)」が日本で出回り始めています。ATSは、ユーザに気づかれぬよう不正送金処理を背後で進め、銀行がワンタイム・パスワードの入力を求めるタイミングで「ワンタイム・パスワードを確認用に入れて下さい」といったプロンプトを流し、ユーザに入力させます。これにより、従来手法では突破が困難だった「ワンタイム・パスワードを用いた二要素認証」の難関もすり抜け、不正送金を完了させるのです。

2014年脅威動向
見つけにくい外部脅威と内部犯行 長期化する被害

Web サーバの脆弱性を狙った攻撃も相変わらず活発で深刻です。加えて2014年では、多くの企業のWeb サーバ環境を成す重要なオープンソース・ソフトウェア(OSS)に相次ぎ脆弱性が発見され、「ゼロデイ攻撃※3」の脅威にさらされました。
さらに、2014 年になってWebサイト攻撃の手法が悪質化。「コンテンツデリバリーネットワーク(CDN)※4侵害」や「(Webサイト上の)ソーシャル・プラグイン侵害」などによる不正サイトへの誘導が多く確認されました。こうした新手の攻撃に共通しているのは、Web サイト管理者では対応が難しい点です。また、被害の拡散も激しく、トレンドマイクロがつかんでいるCDN侵害の事例では、侵害発生直後に約9万8,000件の不正サイト誘導があったといいます。

Web改ざんや標的型サイバー攻撃では、攻撃を受けている当事者が攻撃に気づかず、被害を長期化させるケースも顕著です。
「実際、2014年のセキュリティ・インシデントを見ても、数週間~数カ月間、攻撃に気づかなかった事例が多い。それが結果的に、攻撃による被害拡大と事態収拾コストの増大を招いているのです」と、染谷は言います。
攻撃・犯行が見えにくい、阻止しにくいという点では、社内での立場を悪用した「内部不正」も大きな脅威です。2014年、日本でも内部犯行による深刻な情報漏えい事件が発生し、社会問題化したが、米国の大手鉄道会社では、秘書という立場を利用して19年間にわたり個人情報を外部に持ち出し、日本円にして9,000万円近くの不正収入を得ていた事例もあります。

2015年脅威予測
闇経済の拡大で 高まるサイバーリスク

トレンドマイクロでは、以上のような脅威の動向をとらえながら、2015 年に予想される脅威の動きを8つの方向性に分類し、警戒を呼びかけます(表1)。
このうち、⑦にある「闇取引」の増加・活発化は、情報を窃取する犯罪者の経済的な利を膨らませ、それが、標的型サイバー攻撃やPOS・ネットバンキング攻撃の高度化、オープンソース・ソフトウェア(OSS)・スマートデバイス(スマートフォン/タブレット)に対する脆弱性攻撃、さらには内部不正の増大へとつながります。

例えば、OSSの脆弱性を突く攻撃は2015年で一層の活発化が予想され、「企業のWeb サイトや組み込み機器が大きな危険にさらされるおそれが高い」と、染谷は警鐘を鳴らします。さらに、こうした脆弱性攻撃はスマートデバイスの領域でも定着する気配があります。トレンドマイクロが確認したAndroidを狙うマルウェア数は、全世界累計ですでに400万種に達しているが、「2015年には倍増の800万種に達する勢い」(染谷)といいます。

企業を取り巻くサイバーリスクの状況は2015年も厳しく、あらゆる企業・組織・人が、今以上に高度な脅威にさらされています。「したがって、内部不正や脅威の侵入は必ず起きるという前提の下で、ネットワーク全体の可視性を強め、未知の脅威や脆弱性への検知・対応力を高めていくことが必須です」と、染谷は説きます。
とはいえ、IT 技術・脅威の変化・高度化が続くなか、自社で全てに対応するにはセキュリティの負担が大き過ぎることもあります。今後は、外部専門家をうまく活用することでリスクを下げ、運用負担を削減していくことも選択肢の一つになるでしょう。

表1 2015年脅威予測 警戒すべき8つの方向性

2014年の脅威動向と2015年の脅威予測のより詳しいレポートはこちらでダウンロードいただけます。

※1・2 2014年12月トレンドマイクロ調べ 2014年10~12月期データは11月末日までの暫定データ
※3 ゼロデイ攻撃は、脆弱性の発見から、パッチのリリース/適用までの間隙を突いた攻撃
※4 オリジナルサーバのコンテンツを複数のキャッシュサーバにコピーしてアクセスの負荷分散や冗長性を担保するWeb配信の最適化サービス

記事公開日 : 2015.02.02
 この記事は、公開日時点での情報です