人質に取られるセキュリティ――2017年のトレンド

この記事をシェア

2016年のサイバーセキュリティトレンドはパソコンやスマートフォンを狙う「ランサムウェア」だったが、2017年はプラットフォームがさらに拡大して、コネクテッドカーなどのIoT機器が被害を受ける恐れがある、とESETの専門家たちは推測している。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

人質に取られるセキュリティ――2017年のトレンド

夢の中で携帯電話の目覚ましが鳴っている。目を開けて、スマートウォッチを操作し、アラームを切る。スマートTVが今朝のニュースを流し始める。天気予報はどうだろうか。今日は凍てつく冬の朝だ。車はいつものように外に止めてある。エンジンを温めて、フロントガラスの氷を溶かしておかなければならない。外に出るのは面倒なので、スマートフォンを手に取り、カーアプリを開いて、暖かいキッチンに居ながらにして、外の車のエンジンをかけようとする。でもうまくいかない……。その代わり、次のメッセージがスクリーンに現れる――「お客さまの自動車はロックされています。ご使用の際は次の指示に従って0.5ビットコインをお支払いください」

このようなことは実際に可能だろう。IoT(モノのインターネット)は、ランサムウェアのような攻撃や脅威に対して、どこまで脆弱なのか。ESETは、こうした疑問を含め、さまざまな疑問を集め、考察したことを整理し、「2017年のトレンド:人質に取られるセキュリティ」と題した新たなレポートを作成した。

レポートの構成は、どのようなタイミングで新たなテクノロジーが出現し、またそれを受けた攻撃が広がっていくかを、8人の専門家が検証している。この内容に沿って、以下では、セキュリティ上のリスクがどこにどう移って現れてくるのか、またそのリスクに直面した企業、専門家、政府、ユーザーに何ができるのか、を考えてみる。

2017年のサイバーセキュリティ展望

2016年がランサムウェアの年だったとすると、2017年は、スティーブン・コッブ(Stephen Cobb、ESETシニアセキュリティ研究者)が示唆するように、「ジャックウェア」の年になりそうである。つまり2017年は、ランサムウェアの不当な脅威が、コンピューターやスマートフォンに代わって、それ以外の、データ処理やデジタル通信を主目的としないプラットフォームに狙いを変えていく可能性が大いにある。冒頭で触れた「ネットにつながっている自動車」は、まさにその一例である。

しかし、インターネット接続が条件となる標的は、スマート機器にとどまらないだろう。攻撃者は確実に、インターネットを使って最重要インフラに探りを入れ、ダメージを与えたり、サービス拒否を起こしたり、データを人質に取ったりする方法を探し続けるに違いない。最重要インフラへの攻撃は、コッブとキャメロン・キャンプ(Cameron Camp、ESETマルウェア研究者)がレポートで分析しているが、 物理的、経済的なセキュリティ、または国家のセキュリティに関わるシステムに必要不可欠なデータとサービス、要するに一社会における日々の安定した生活と社会の発展にとって致命的なものを、危険にさらすのである。

「致命的」と言うのであれば、健康産業の働きを支えるシステムの防御以上に重要なことがあるだろうか。次第に健康産業がコンピューター化されていくのにつれ、医者も患者もますます、インターネットに接続した医療機器や健康管理機器(大切な秘密情報がたくさん詰まっている)を使うようになる。しかし、しばしばセキュリティとプライバシーは後回しになっている、とリサ・マイヤーズ(Lysa Myers、ESETセキュリティ研究者)は説明し、健康産業の将来はおそらく、絶えず切実な課題を私たちに突き付けてくるだろう、と指摘する。

もう一つ別のセクターでも、ますますデバイス統合が一般的になりつつある。コンピューターゲームである。カッシアス・プーチャス(Cassius Puodzius、ESETセキュリティ研究者)は、コンソールのコンピューターへの統合がはらむ潜在的リスクについて述べている。というのも、システムはインターネットに依存する度合いを強めており、脆弱性に付け込まれたり、マルウェアに感染し、ゲーマーの個人情報や財産情報、さらにはプレー情報さえも盗まれたりする恐れがあるからである。

確かに「脆弱性に付け込む」というのは、これまで常にそうであったように、これからも重要な攻撃の手口であり続けると考えられるが、新しいトレンドというものもあり、これを見逃してはならない。ルカス・パウス(Lucas Paus、ESETセキュリティ研究者)の指摘によれば、2016年に報告された脆弱性の数は、2015年に記録された数には達しないものの、そのほぼ40%が「致命的」なものであり、この割合は、昨年までと比べてかなり多い。だから問題は、報告された弱点の数は減っているのに、その中で「致命的」なものが増えているのはなぜか、またこのことは何を意味しているのか、ということだ。この箇所では、そのパラドックスとそれが生み出し得る帰結が分析される。

以上でもさまざまなトピックがカバーされているが、最後に、テクノロジーの発展が止められるものではなく、そこに新たな攻撃シナリオの可能性がついて回る、という文脈において、モバイル機器向けマルウェアの現実がどのようなものとなっていくかについても触れておきたい。確かなのは、VR(仮想現実)技術の隆盛が、デジタル情報だけでなく、ユーザーの物理的生存さえ脅かす新たなセキュリティ上のリスクをもたらす、ということである。そうしたアプリケーションがますます、大切な秘密データを収集し、ストックするようになる一方で、モバイル機器向けマルウェアは常に成長を続け、より複雑になり、したがって、日頃から安全を意識した開発を行うことの重要性と必要性が増すこととなろう。

2017年のトレンドは、「セキュリティが人質に取られる」ということと、また細かい点では、サイバーセキュリティに関する国際的に効力のある法制化を困難にする諸要因ということになろう。ミゲル・メンドーサ(Miguel Mendoza、ESETセキュリティ研究者)が分析しているように、今のところ有効な規制がないわけではないが、世界中の政府機関や企業、市民がなおも多くの課題を抱え続けていることにかわりはない。

マルウェア対策産業そのものに関しては、デヴィッド・ハーレー(David Harley、ESETシニアリサーチフェロー)が、「伝統的なマルウェア検知」と「シグネチャを用いない次世代検知」とが反目し合う現在の状況を説明し、ありがたいことに、後者に潜む神話を見事に暴いてみせてくれる。

システムの脆弱性、人の脆弱性

これら全てのトピックを横断する要素が一つある。それは、現在と将来のリスクを理解する際、ユーザー、企業、ベンダーにとって、かつてないほど高まっているニーズであり、「バイタルな」(生命に関わる)ニーズである。さらにこのニーズは、今の「接続の時代」においては発想を変えなければならないという事実へと注意を促すものでもある。

レポート全体を貫く共通分母とは「ヒューマンファクター」すなわち「人間という要因」である。サイバーセキュリティは、人々が最弱の輪であることをやめるまで永遠になくならない。さもなければ、ユーザーは最新技術を使っているにもかかわらず、そのセキュリティ・コンセプトは何十年も前のもの、ということになってしまう。

当レポートが結論付けているように、それは、エンドユーザー教育にとどまるものではない。政府は、正規のセキュリティ教育を提供することから、最重要インフラをきちんと防御することに至る、サイバーセキュリティ全般の整備を推し進めるための、法的枠組みを採用する必要がある。この意味で、実業界が適切な情報セキュリティ管理の実行を約束すること、そして開発者が、自社製品のセキュリティよりも使いやすさを優先しないということもまた、今後とも必要となってくるだろう。

レポート「2017年のトレンド:人質に取られるセキュリティ」は、ESETサイト内の「ホワイトペーパー集」(英文)でも読むことができる。2017年、情報セキュリティに何が起こりうるのかをお知りになりたい方は、ぜひともこのレポートをお読みいただきたい。

この記事をシェア

ランサムウェアのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!