インテルセキュリティ(マカフィー株式会社)は10日、日本国内の企業を調査対象としたセキュリティ意識調査に基づく「2016年の10大セキュリティ事件ランキング」を発表した。
調査は2014年から実施しているもので、今年が3回目。2015年11月から2016年10月に発生したセキュリティ事件のうち30件をマカフィーで選定、日本国内の企業経営者や情報システム部門の従業員および一般従業員など22歳以上の男女1552人を対象に、認知度をインターネットで調査したもの。調査期間は10月8日~11日。
2015年のランキング1位は日本年金機構への標的型攻撃で、マカフィーの櫻井秀光氏(セールスエンジニアリング本部本部長)によれば、「2015年は標的型攻撃の1年」だったが、その傾向は2016年には変わってきているという。
回答者のプロフィール。業種は製造業とIT・通信が多いが、「企業規模は均等化し、幅広い結果を取り入れるように工夫している」(櫻井氏)2016年のランキング1位は「振り込め詐欺/迷惑電話による被害」(51.7%)、2位は「大手金融機関やクレジットカード会社などをかたるフィッシング」(36.9%)。これらは2015年の2位と3位で、ランキングは上がったが、認知度の数値は昨年よりむしろ下がっている。
振り込め詐欺は、1年を通じて継続して発生しており、現在では、銀行口座への振り込みではなく、知り合いと名乗る人間が直接、物理的に金銭を受け取ったり、指定された住所に送らせる事例が増えているという。
2位のフィッシング詐欺は、「犯罪者が簡単に金儲けができる手法」(櫻井氏)として、3年間継続してランクインしている。これまでは主にインターネットバンキングがターゲットだったが、2016年にはAmazonやLINEのIDとパスワードを搾取する事例が見られたことを特徴に挙げた。また、広島東洋カープ優勝翌日に記念グッズ販売を称する偽サイトで個人情報を抜き取る事例を例に、「犯罪者はトレンドウォッチャーで、引っかけやすい内容や用語で、ユーザーを引っかけようとしている」と述べた。
3位は2016年7月に起きた人気の「Pokémon GO」を騙る偽アプリ(35.8%)。「米国で正規アプリが登場した翌日に、ほぼ同様の画面を持った偽アプリが出てきていた」とし、「犯罪者もトレンドをしっかりウォッチしており、どういう方法ならばマルウェアをインストールしてくれるかを見ている」と述べた。そして対策としては「偽アプリはインストール時に異様なほど多くの情報へのアクセス許可を要求してくる。一歩踏みとどまってセルフチェックを行うことが重要」とした。
4位は公衆無線LANのセキュリティ(33.4%)。「ユーザーは通常、SSID名などをあまり意識せずに無線LANにつないでしまっている」とし、犯罪者はダミーのスポットに接続させて情報を搾取する。今後も引き続き注意すべき問題だ」と述べた。
5位は、2015年10月~2016年2月に起きたアノニマスによる日本を標的とした攻撃(28.9%)。空港や政府機関のホームページがターゲットとなった事例で、「これまでは自分は狙われないとの意識を持った人がいたが、日本もターゲットになり得ることを示した事件」とした。
6位は米連邦捜査局(FBI)が米Appleに対して、銃乱射事件の犯人が使っていたiPhoneのロック解除を要請した事例(28.9%)で、プライバシーのどこまでが自分のもので、どこまで国が関与していいのかに注目が集まった。まだ正解や答はないが、「大量の個人情報をデバイスに持てるようになった今、あらためて考えるべき問題をはらむ」とした。
そして櫻井氏は「7~10位に、ある意味で2016年を特徴付ける事件が入っている」と述べ、その内容を紹介。7位は米Yahoo!が、国家が関与するとみられるサイバー攻撃を2014年に受け、個人情報が流出した2016年9月の事例(28.9%)だ。
米Yahoo!では、2014年から事例が発覚した2016年9月まで5億人以上の情報を搾取され続けていた。7月下旬には、米Verisonが米Yahoo!の主要事業を48億3000万ドルで買収すると発表されたが、その後、この情報漏えいが発覚したことで、米Verison幹部が10月、買収に関しての見直しを発言している。櫻井氏は「個人情報漏えいに対する補償などの実際の対策費用だけでなく、信用失墜による影響が大きいことを示している。攻撃を受けたことで、企業価値が失墜した事例で、企業や個人はこれを意識する必要がある」とした。
8位は2016年6月に起きた、JTB子会社が標的型メールによりマルウェアに感染し、最大約793万人分の個人情報が流出した可能性がある事例(28.3%)。「旅行商品をネット販売する子会社がターゲットだったが、信用を失うのはJTB」とし、2015年12月に経済産業省が発行した「サイバーセキュリティ経営ガイドライン」に含まれる経営者向けの3提言、セキュリティ担当者向けの10提言には、系列会社への言及があることを例に挙げ、「親会社がサプライチェーンを含めて対策を行っていくべきことを示した事件」とした。
9位は、昨年17位だったランサムウェア被害(28.0%)。2015年までは個人が標的だったが、2016年は主に企業が標的になっており、米国では医療機関が身代金として数億ドル支払う事例があったという。さらに、脆弱性などを突いてシステムをコントロールする例と比較し、「ランサムウェアは感染させれば終わりなので、簡単で迅速に被害を与えられる」とした。「2016年はランサムウェアの1年と言っても過言ではない」と述べた上で、「モバイルを標的としたマルウェアが増加しており、来年以降はIoTデバイスなど、さらに標的が多様化する」との予測を示した。
10位は、2016年6月に発生した事例で、佐賀県で17歳の少年が、県立学校の情報システムにエクスプロイトキットを使った不正アクセスを行い、個人情報を含むファイル約15万3000件が漏えいしたもの(21.6%)。「漏えいした情報を考えると規模は大きくないが、エクスプロイトキットを使った学内LANへの侵入を、17歳の少年ができることで注目された」とした。
ランキング全体を総括して櫻井氏は「スマートフォンをはじめ、さまざまなデバイスがインターネットに接続される状況で、あらゆるものがターゲットになる」とし、「犯罪者にとって、出来のよいランサムウェアを開発すると、亜種を作っていくだけで莫大な富を手にできる」とした上で、犯罪者はトレンドウォッチャーで、日々新たな手法が出現してくると想定している」と述べた。