2014年最後となる今回の月次レポートでは、1年を通じてITセキュリティ業界を振り返りながら、その中で得られた教訓をいくつか取り上げたいと思います。まずは、Windows XPの「サポート終了」から始めましょう。Microsoftではユーザーに対し大々的な呼びかけを行っていましたが、一部の組織はWindows XPからの移行に頭を悩ませたようです。この問題は、移行すると使えなくなるレガシーアプリケーションにまで波及しました。多くの企業はWindows 7への切り替えを決断しています。Windows 8の方が新しいのですが、馴染みやすさでは7に軍配が上がります。

影響を最小限に抑えるために組織は、所有するソフトウェアやハードウェアが正式な「サポート終了日」を迎える前からライフサイクル管理に対しもっと注意を払い、より新しいバージョンのプラットフォームへの移行計画を策定しておくことが重要となります。旧バージョンのソフトウェアやハードウェアの切り替えが難しい場合は、ベンダーと連携し、サポート期間を延長するための計画を立てる必要があります。

続いて、ここ数年でもとりわけ深刻な問題が確認された2014年の脅威に話題を譲りましょう。まず発覚したのは、多くのWebサイトやネットワーキングギア、VPNなどに影響を及ぼすOpenSSLの脆弱性「Heartbleed」です。続いてOpenSSL 3.0の実装に存在する脆弱性「POODLE」。こちらはデータの復号化を可能とします。さらに、UNIX系のシステムでは「Shellshock」という重大なバグも報告されています。

上記の欠陥を突く攻撃には、注目に値する共通点があります。それは、どれもMicrosoft Windows固有の脅威ではないという事実です。そして見方を変えれば、サイバー犯罪者がWindows以外のプラットフォームにも攻撃の手を伸ばし始めたとも言えます。

では、AndroidやAppleはどうでしょうか。被害は局所的ですが、Mac OSXとiOSを狙う2つの高プロファイルの攻撃、SSLの脆弱性「gotofail」を突く攻撃とクロスプラットフォーム型マルウェアの「WireLurker」が確認されています。Androidに関する問題の大半は、サードパーティーのアプリストア、または中国やロシアのアプリと関係があります。Googleの公式ストアであるGoogle Playは基本的には安全と言えますが、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション（PUA）やアドウェアなどの問題も抱えています。

このレポートの締めくくりとして、組織のセキュリティに関する問題に対処するIT担当者向けのアドバイスをご紹介します。大事なのは、アップデートやパッチ適用を必ず実行してセキュリティを常に最新の状態に維持する取り組みです。そのためには、ベンダーからのアドバイザリをこまめにチェックし、勧告に従います。また、評価の高いセキュリティニュースサイトを閲覧して、最新のセキュリティ動向を把握しておくことも重要です。ESETでも、研究者が執筆したセキュリティ関連の記事（ www.welivesecurity.com）やVirus Radarによるセキュリティ脅威のリアルタイム監視結果を公開していますので、ぜひご覧ください。

引き続き、オンライン上では安全な行動を心掛けてください。

・ 2015年のサイバー犯罪のトレンドと予測

・ 猛威を振るうランサムウェア「TorrentLocker」

・ 匿名SNS「Yik Yak」を使用する際に知っておくべきこと

・ Sony Picturesのハッキング事件に学ぶ5つの教訓

・ 初の自己複製型でシェイプシフター型のランサムウェア「Virlock」

この情報は、ThreatSense.net（※）の情報を元に作成しています。

• ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。