2013年はインターネットやスマートフォン関連の凶悪なサイバー犯罪が多発した。オンラインバンキング不正送金、不正ログイン、クレジットカード情報流出など大規模な事件が何度も起きた。2014年はこの傾向がさらに強まると言われている。そして、このセキュリティ脅威は、決して他人ごとではなく、いつ我が身に降りかかってもおかしくはない。日本を代表するセキュリティアナリストである守屋英一氏に「2014年のセキュリティ事情」について訊いた。

＜「水飲み場型攻撃」が増加して猛威を振るった＞
　――まずは、2013年を振り返って頂けますか。

　守屋英一氏（以下、守屋）　X-Force（IBMセキュリティ研究開発組織（注１））のレポートを見ても、攻撃手法において、ここ数年で大きな変化はありません。SQLインジェクションによるデータベース侵害やDoS攻撃などは金融機関、政府機関を中心に続いています。しかし、これらは2002年頃に始まったものです。

　昨年の特徴として挙げるとすれば「水飲み場型攻撃」が増加したことだと思います。この攻撃手法自体は古くからあったものですが、2013年に急速に進化・巧妙化して企業、個人に甚大な被害を与えました。

　「水飲み場型攻撃」とは、ユーザーが集まるサイト（水飲み場）でターゲットを待ち受け、特定のユーザーを狙ってウイルスの感染などをさせる攻撃のことです。Webを改ざんして、標的型攻撃（特定の情報を狙って行なわれるサイバー攻撃の一種）の入口に使用しているわけです。

＜個人を攻撃するために、企業を仲介させている＞
　守屋　攻撃者にしてみれば、個人の電子メールを調べるのは大変ですし、調べ上げ送ったとしてもスパム対策で開かれない可能性が高くなっています。そこで、一般の人がよく見る人気のあるウェブサイトを攻撃して「改ざん」、ウイルスを感染させるほうが効率いいわけです。そのサイトを見に来た人は自動的にどんどん感染していくことになります。

　この「水飲み場型攻撃」の増加と「不正送金」の増加は正比例しているという統計もあります。「不正送金」は去年から急激に増えているので、恐らく、一般の多くの人が「水飲み場」でウイルスに感染、情報をとられてしまった可能性が高いと思います。
　さらに「アカウントの流出」や「IDパスワード流出」の影響で、他人が個人のアカウントに不正アクセス、ポイントを盗み、買い物をする事件も多発しました。これも「水飲み場型攻撃」が原因と思われています。

　問題を一層深刻化させているのは、攻撃者の動きが巧妙で、あからさまでないため、利用者や運用者が気づかないうちに攻撃を受けていることも多くなったことです。

　今まで攻撃に対する個人の防御は、基本的に企業や政府機関任せでした。しかし、今の動きは、あくまでも個人を攻撃するために、企業を仲介させているのに過ぎません。今後は「自分で自分を防御していく」ことが必要となります。個人のセキュリティ意識を高める以外に被害を避ける方法はありません。そして、このことは、本来セキュリティの基本でもあるのです。

｜　（２）　≫

注１．X-Force：IBMセキュリティ研究開発組織の略称。全世界10拠点のセキュリティ・オペレーションセンター、９拠点のIBM基礎研究所、14拠点のセキュリティ・ソフトウェア開発ラボ、IBM Institute for Advanced Security（IBM先進セキュリティ機関）によって構成されている。IBMは現在、130カ国以上で、１日に130億件以上のセキュリティイベントをモニタリングしている。

注２．SQLインジェクション：引数などのパラメータにSQL文を混ぜ込んでおき（インジェクション），プログラム内部でそのSQL文を実行させてしまう攻撃手法。これで、ログインを突破、データの削除、コンテンツの改ざんおよび情報の詐取等を行なう。

注３．DoS攻撃（Denial of Service attack）：サーバなどのネットワークを構成する機器に対して攻撃を行ない、サービスの提供を不能な状態にすること。

※記事へのご意見はこちら