NEWS

ニュース | 最新のニュースをお届けします

ESETによる2016年のサイバー犯罪:予測と傾向

この記事をシェア

2016年におけるサイバー犯罪の予測をESETのセキュリティ専門家たちが行いました。その結果、IoT、ランサムウェア、クライムウェア、インフラ基盤への攻撃といったキーワードが共通項として浮かび上がりました。

国内で話題になったサイバー攻撃10大ニュース ~2015年を振り返る~
 

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。


ESETのセキュリティ専門家陣6名による、2016年におけるサイバー犯罪の予測と傾向を発表します。

なお、1年前には2015年における予測と傾向を同じように発表しましたが、そのときには、以下の2つのキーワードが示されました。

  • 持続的な標的型攻撃(APT、Advanced Persistent Threat)
  • 各業界を狙った攻撃

Cybercrime Trends & Predictions for 2015
By ESET Research posted 18 Dec 2014 - 01:19PM


これについては世界各国でも起こったことですが、すでに下記の記事を2015年に公開してきたように、国内においても特定の政府機関や企業組織が持続的に狙われたことは、まだ記憶に新しいと思います。

国内における標的型攻撃(APT)の手口と対策(特集)

これに対して、2016年におけるサイバー犯罪ついては、以下の点がキーワードとなるでしょう。

  • IoT (モノのインターネット 、Internet of Things)
  • ランサムウェア(身代金を要求する脅迫マルウェア)
  • クライムウェア(情報を盗み出すことに特化したマルウェア)
  • インフラ基盤への攻撃

ここでは、各専門家が何をテーマとしているのか、簡単なコメントを以下でお伝えします。いずれ詳細な分析はレポート(英文)として公表する予定です。

デイヴィッド・ハーレー(David Harley、ESETシニアリサーチフェロー)

デイヴィッド・ハーレー(David Harley、ESETシニアリサーチフェロー)

  • テクニカル・サポート詐欺と本物のマルウェア(特にランサムウェア)との違いが、なお一層分かりにくくなる。

  • 偽のポップアップ警告表示やランサムウェアについては、Windows以外のプラットフォームが標的となることが増える。

  • これは英国の話だが、NHS(国民保健サービス)のサイトが財政難によりコンピューターシステムをアップグレードできずにおり、セキュリティを得意とするブロガーたちから酷評を受け続ける。

  • すでにプライバシーに対する懸念が発生している「ハロー・バービー」という対話型バービー人形(Webを通じて子供たちの音声をメーカーが収集している)を筆頭に、玩具のIoT化が進むことによって、専門家から脆弱性に関する注意喚起が継続的に起こる。

  • テロ攻撃や暴力行為への対策として、暗号化の制限やプライバシーを認めないとする意見が出てくるだろう。
アリエ・ゴレツキー(Aryeh Goretsky、ESET上級研究員)

アリエ・ゴレツキー(Aryeh Goretsky、ESET上級研究員)

  • 家庭やSOHO(小規模のオフィス、自宅オフィス)のユーザーを中心に仮想化技術の利用が人気になり、その結果、サイバー攻撃も増加する。

  • これまでと同様に、Adobe 社のFlashとPDF、そしてOracle社のJavaの脆弱性がサイバー犯罪者に付け狙われる(常にパッチを必要とする)。

  • Drupal、Joomla、Typo3、WordPressといったWebフレームワーク(CMS)が目標とされ、攻撃が増す。

  • Newrelic、Optimizely、Parsely、その他、Webのパフォーマンス、最適化、解析、個人化、そしてその他の関連サービス・ネットワークは、ごく一般的な攻撃(DDoS)のみならず、特定の顧客にのみ被害をもたらすような高度な攻撃も増える。

  • Androidなど、他のOSへの攻撃も増すが、Windowsは依然として最も標的にされ続ける。
ブルース・バレル(Bruce Burrell、ESETセキュリティ研究員)

ブルース・バレル(Bruce Burrell、ESETセキュリティ研究員)

  • 企業へのサイバー攻撃については、被害が極めてはっきりとした形で広がる。しかもそれは、あらゆる業種に及ぶ。だが一方で、おそらくマスメディアは(したがって消費者も同様に)その中でもリテールと健康ケアに最大の関心を払う。ただし被害を受けた企業組織は、再発防止策を発表すると、比較的短期間のうちに何事もなかったかのように平常に戻る。

  • 具体的にどの企業という形で特定はできないが、多くの企業の経営陣はサイバー攻撃に頭を悩まし、そのうちの一部はセキュリティ対策に多大な出費を行う可能性があり、そのために経営上深刻な問題となる。

  • サイバー攻撃関連のニュースが出るたびに多くのエンドユーザーはごく自然に心配するものの、また次の大きなニュースが現れて世間を騒がせない限り、普段は気にしなくなる。一方、個人情報が盗まれたり金銭を奪われたり、さらには健康保険のサービスが受けられなくなるといった被害を受けたことのあるユーザーは、もちろん、そうではないユーザーよりも長期にわたって注意が継続する。

  • 2016年もまた、残念ながら2015年と同じようにサイバー攻撃が激化する可能性は高いが、エンドユーザーや企業が自らを守ろうと対策を実質的に行っていけば、事態は変わる。

  • 健康ケアの分野では機器が旧式となっても(レガシー機器)使われ続ける。実際そうであるか想像上のことであるのかはさておき、たとえ旧式となってもわざわざ新機種に取り換えることは難しいという認識があるからである。一方、新機種の機器は2016年に限らず当面の間、十分にセキュリティについて練り上げられるようには思えない。例外はほんのわずかにすぎず、時間はかかりそうだが、それでも「正しいことを行う」関係者と共に、諦めることなくセキュリティへの注意と実質的な対策を推進していきたい。
スティーヴン・コッブ(Stephen Cobb、ESETシニアセキュリティ研究者)

スティーヴン・コッブ(Stephen Cobb、ESETシニアセキュリティ研究者)

  • これは米国の場合であるが、2016年には、健康ケア業界のIT管理担当者は以下の3方向から圧力が掛けられるため対応を余儀なくされる。第1に、新たに公民権局(OCR)による米国における医療保険の相互運用性と説明責任に関する法令(HIPAA)への監査と処罰が強化される。第2に、米国食品医薬品局(FDA)が脆弱性のある医療機器や医療用と称する偽アプリに対してこれまで以上に厳しく取り締まるという方針を打ち出す。第3に、米国連邦取引委員会(FTC)は健康促進を目的として利用されるウェアラブル機器やIoT機器、そしてアプリなどに対して何らかの規制を行う。他国においても同様の傾向が見られる。

  • 2015年には自動運転を行うジープをクラッキングしたデモ映像が自動車産業に打撃を与えたが、2016年もまた似たようなことが起こる。例えば健康ケアのIT化が世間では騒がれているが、多くのセキュリティ専門家はそうした危険性を訴えるデモ映像の公開に消極的である。もちろん、こうした映像が何よりも世間にインパクトを与えることを否定しているわけではない。公開デモ映像によって世論が沸き上がり、良い方向に行く場合もあるからである。
キャメロン・キャンプ(Cameron Camp、ESETマルウェア研究者)

キャメロン・キャンプ(Cameron Camp、ESETマルウェア研究者)

  • 引き続きIoTのセキュリティに注目が集まる。しかし、もしも子供のために買ったIoT化した熊のぬいぐるみがサイバー攻撃を受けたとしても、それを返品するために店まで移動することを除けば、それほど深刻な危害を加えられる心配はない。とはいえ、IoTに対して一通りの攻撃が繰り広げられることは間違いない。サイバー犯罪者は新たに登場するITガジェット群に目を付け、新たな方法を見つけ出し、今までとは全く異なる標的を攻撃する。ただしその結果、IoTに致命的な影響を与えるほどの「キラーアプリ」が現れるわけではない。それにはまだ、もう少し時間がかかる。

  • 産業用監視制御システム(SCADA)のクラッキングが国家的問題となる。多くの人がこの問題に日夜従事する。思ってもみないような業種や国家のセキュリティが破られてSCADAに対する信頼性が揺らぐ。

  • EMV(ユーロペイ、マスター、ヴィザの頭文字をとった国際標準規格)に準拠したICカードが一般化し偽造防止などのセキュリティが強化されたにもかかわらず、引き続きクレジットカードは狙われる。お金があるところでは必ずクラッキングが起こり、さまざまな技術が悪用されるからである。ただしEMVは少しだけ安全性を高めるのに貢献しており、クラッキングを困難にさせている点は評価される。


  •  
リーサ・マイヤーズ(Lysa Myers、ESETセキュリティ研究者)

リーサ・マイヤーズ(Lysa Myers、ESETセキュリティ研究者)

  • 世界各国の政府は、先端技術(特に暗号化とネットワーク化されたコミュニケーション)のことを理解できないまま、関連法案を可決し続ける。

  • エルニーニョ現象が起こった年の各国の滝の水量が激しい勢いで増加したように、ユーザーの個人情報を漏えいする恐れのある玩具やフィットネス機器、スマートハウス(スマートホーム)機器・アプリが大量に販売される。

  • 健康ケア関連企業に集められた個人情報はたびたび漏えいが起こり、医療機器メーカーは時代遅れのソフトウェアとOSを搭載した器材を売り続け、健康管理のための電子記録は十分な安全設計が行われないまま活用される。

  • (あくまでも希望的観測であるが)自社製品の脆弱性を報告する場合、しっかりとした情報公開と対応を行う機器メーカーが増える。
  • シンプルだがセキュリティレベルの高い認証技術が新たに開発され、多くの機器やアカウントに使用される。

以上、ESETのセキュリティ専門家6名による2016年におけるサイバー犯罪の予測のダイジェストをお伝えしました。その傾向を振り返ってみると、6名の専門分野はそれぞれ異なるため、別々の角度から考えを述べていますが、にもかかわらず、IoTやランサムウェア、クライムウェア、インフラ基盤への攻撃など、多くの部分に共通点があることが分かりました。

また、ここでははっきりとは取り上げられていませんが、重要なトピックとして、Windows 10のセキュリティ問題があります。ESETでは引き続きこの問題についても機会あるごとに発表していきます。

もう1点、新たなコンセプトとして、これまでの暴露(エクスポージャー)に対する「ハクスポージャー」を提起する予定です。これもまた、別の機会にあらためて紹介します。

なお、ここで述べた予測は2016年の1年間に限らず、数年間の予測と傾向でもあり、その間に、どのような点に特に注意すればよいのか、その方向性を示しています。セキュリティ対策のための大まかなガイドラインとして役立てていただければ幸いです。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!