ビジネスパーソンと専門家が注目した2014年のセキュリティ事件とは？

トップ10を発表したマカフィーのブルース・スネル氏

　セキュリティ企業のマカフィーは11月12日、国内のビジネスパーソン1036人に聞いた2014年の国内セキュリティ事件トップ10を発表した。回答者が最も注目した事件は、7月に発覚したベネッセグループでの顧客情報流出事件だった。

　調査は10月にマクロミルの協力で実施。国内に住む22歳以上の企業経営者や情報システム担当者、従業員などに、同社が約30の事件を挙げてその認知度を調べた。トップ10は以下の通りだ。

　トップ3の事件について同社マーケティング本部 テクニカルソリューションズ ディレクターのブルース・スネル氏は、次のように解説している。

3位：LINEの乗っ取り被害

「犯罪者はユーザーが信頼している知人になりすまして攻撃する。ユーザーは信頼が逆手に取られていることをぜひ知っていただきたい」

2位：振り込め詐欺／迷惑電話による被害

「電話を使う古典的な犯罪だが、現代の犯罪者はターゲットの素性をSNSなどから調べ上げて攻撃を実行する。昔に比べて犯罪がしやすい環境にあるといえるだろう」

1位：ベネッセ、顧客情報が大量流出

「最も注目すべきは、犯人がスマートフォンで大量のデータを持ち出した点だ。つまり、現代は携帯電話さえあれば、簡単に膨大なデータを持ち出せる時代というわけだ」

　同社SE本部長 執行役員の田井祥雅氏は、「一般の人が注目するのは、内部犯行による情報漏えいや古くからある詐欺犯罪だった。セキュリティ専門家の立場では脆弱性攻撃などの事件にも注目が集まった」と語っている。

専門家が注目した事件

　田井氏が語るように、調査結果では仕事などでITを専門とはしていない人たちの視点から、組織や日常生活に関係する事件が上位に挙がっている。一方、ITセキュリティ専門の立場ではインターネットの根幹を支える技術に関係した事件が注目されるといい、スネル氏は次の事件をピックアップする。

• Heartbleed——オープンソースの暗号化ライブラリ「OpenSSL」のTLS Heartbeat拡張でのメモリ処理に起因する問題。OpenSSLは多数のWebサイトに実装され、通信内容が漏えいされるリスクが世界中に広がった
• Shellshock——LinuxなどUNIX系OSの「bash」シェルに起因する脆弱性。悪用された場合にシステムを不正操作されかねない。多数のシステムに導入されており、パッチがリリースされたものの、適用がなかなか広まらない
• POODLE——15年近く前から存在するSSL 3.0の脆弱性。WebブラウザとWebサーバが暗号化通信を行う際、TSLで処理できない場合にSSL 3.0に切り替える点を突いて情報が盗聴されてしまう
• Sandworm攻撃——ロシアの犯罪組織が西欧諸国の政府機関や重要インフラ企業などに対して行ったとされるスパイ活動。5年前から実行されているとみられ、ロシアとウクライナの紛争も焦点になるなど、国際的なサイバースパイが表面化した

直近で話題になった「POODLE」脆弱性の問題。AppleやGoogleなどはすぐに対処した

　さらにスネル氏は、現在のセキュリティ脅威動向から2015年以降に、「モバイルマルウェアのさらなる急増」「ランサムウェア（身代金要求ウイルス）による金銭被害の増加」「東京五輪に便乗した日本人を狙うサイバー攻撃の発生」「ソーシャルメディアを通じた詐欺犯罪の巧妙化」が進むだろうと予想している。