サイバー犯罪の「as a Service」化が鮮明に、EMCが指摘：2015年はモバイルペイメントやIoTに注意を

EMCジャパンは2014年12月5日、「2015年のオンライン脅威の動向予測」と題するラウンドテーブルを開催し、サイバー犯罪の「as a Service」化が進んでいることに警鐘を鳴らした。

[高橋睦美，＠IT]

　EMCジャパンは2014年12月5日、「2015年のオンライン脅威の動向予測」と題するラウンドテーブルを開催した。EMCのFRI事業部門 グローバルセールス担当バイスプレジデント、アダム・バングル氏は、モバイルやIoT（Internet of Things）といった新しいテクノロジーは「サイバー犯罪者に、新たな悪用の機会を提供するものでもある」と指摘し、サイバー攻撃の対象の広がりに警鐘を鳴らした。

EMC FRI事業部門 グローバルセールス担当バイスプレジデント アダム・バングル氏

　バングル氏が主に担当しているのは、主に金銭的な利益を目的とし、オンラインバンキングなどをターゲットにする「サイバー犯罪」の不正防止ソリューションだ。2014年を振り返ってみると、金銭目的のサイバー犯罪は「より高度に、より洗練され、より組織的なものになっている」（バングル氏）という。

　その顕著な例が、「サイバー犯罪が『as a Service』として提供されるようになったこと」（バングル氏）だ。例えば、オンラインバンキング利用者のPCに感染して不正送金を行うマルウェア「Zeus」がFacebook上で堂々と売り出されていたり、クレジットカード情報をはじめとするさまざまな個人情報が定価付きの一覧表で売りに出され、簡単に購入できるようになっている。DDoS攻撃も同様に「as a Service」化しており、1時間当たり8ドル程度の費用でECサイトの運営を妨害し、数百万ドル単位の被害を与えることも可能になっているという。

クレジットカード情報がワンクリックで購入できるような状態になっている

　バングル氏が今後の脅威として懸念しているのが、モバイルをターゲットにしたサイバー犯罪だ。この数年でモバイルデバイスは急速に普及したが、それに伴ってモバイルを狙うサイバー犯罪も増えているという。「われわれの計測では、全トランザクションのうちモバイルトランザクションが占める割合は27％だが、不正なトランザクションに限ると、モバイルの割合は40％に上る」（同氏）。

　これまでもそうだったが、「サイバー犯罪者は、一番狙いやすく、一番実入りの大きそうなところを狙う」（バングル氏）。今はそれがモバイル市場というわけだ。例えば、銀行などを装って偽のSMSメッセージ（フィッシングのSMS版、「SMiShing」）を送りつけて情報を盗み取る手口などが確認されている。しかも、そのためのツールもまた「データシート付きで公開されており、これもまた『as a Service』として提供されている」（同氏）という状況だ。2015年は、モバイルでの被害がさらに拡大する恐れがあり、特にApple Payなどのモバイルペイメントシステムでの被害が生じるのではないかという。

　バングル氏はまた、2015年以降も、小売業が主なターゲットであり続けるだろうと予測する。加えて、「ヘルスケア業界が次のターゲットになるだろう。クレジットカード情報は、あまりに大量の流出事件が相次いで発生した結果、単価が下落している。今後はソーシャルアカウント情報、そしてパーソナルヘルスケア情報が狙われるのではないか」（同氏）。

　同時に、IoTのセキュリティにも留意が必要だとした。「IoTは犯罪者にも大きな可能性をもたらすものだ。われわれとしては、どんなIDを持ったデバイスが、どんなデバイスとどんなデータをやり取りしていようとするかを明らかにし、制御する『Identity of Things』の強化によって対策していきたい」とバングル氏は述べている。