過去10年の「10大脅威」、決して変わらないセキュリティ対策とは:特集:セキュリティリポート裏話(2)(2/2 ページ)
情報処理推進機構(IPA)が約10年にわたってまとめ、公表してきた「10大脅威」を参考に、セキュリティ脅威を取り巻く状況において何が変わり、何が変わらないのかを確認してみた。
ファッションと同じ? 繰り返し同じものが流行
実際のところどうなのか、過去10年間の「10大脅威」で取り上げられた話題をまとめてみました。年によってトピックの表現方法や粒度に違いがあるのですが、大まかには以下のようになります。
年 | 2005 | 2006 | 2007 |
---|---|---|---|
第1位 | SQLインジェクション | Winnyによる情報漏えい | 「誘導型」攻撃の脅威 |
第2位 | Winnyを通じた情報漏えい | 標的型(スピア型)攻撃 | Webサイトを狙った攻撃の広まり |
第3位 | 「ルートキットに類似した機能」の事件化 | 悪質化・潜在化するボット | 情報漏えい |
第4位 | フィッシング詐欺 | ゼロデイ攻撃 | 標的型攻撃 |
第5位 | スパイウェア | フィッシング詐欺 | 信用できなくなった正規サイト |
第6位 | ボット | スパムメール | 検知されにくいボット、ウイルス |
第7位 | Webサイトを狙うCSRFの流行 | 情報漏えい | 検索エンジンからマルウェア配信サイトに誘導 |
第8位 | 組込みソフトウェアの脆弱性 | 安易なパスワード | 国内製品の脆弱性 |
第9位 | セキュリティ製品の脆弱性 | SQLインジェクション | 減らないスパムメール |
第10位 | ゼロデイ攻撃 | 不適切な設定のDNSサーバを狙う攻撃 | 組み込み製品の脆弱性 |
この時期に目立つのは、P2P型ファイル共有ソフトウェア「Winny」を介した情報漏えい事件に関するトピックです。同時に「SQLインジェクション」や「クロスサイトリクエストフォージェリ(CSRF)」といったWebアプリケーションの脆弱性を狙う攻撃にも注目が集まっています。ほぼ10年前から、正規のWeサイトを改ざんし、それを踏み台にしてマルウェアに感染させる手口による被害が発生していたことが分かります。
年 | 2008 | 2009 | 2010 |
---|---|---|---|
第1位 | DNSキャッシュポイズニングの脅威 | Webサイト改ざん | 「人」が起こしてしまう情報漏えい |
第2位 | 巧妙化する標的型攻撃 | アップデートしていないクライアントソフト | Webサイトを経由した攻撃 |
第3位 | 恒常化する情報漏えい | 悪質なウイルスやボットの多目的化 | 定番ソフトウェアの脆弱性を狙った攻撃 |
第4位 | 多様化するウイルスやボットの感染経路 | 対策をしていないサーバ製品の脆弱性 | 狙われだしたスマートフォン |
第5位 | 脆弱な無線LAN暗号方式における脅威 | あわせて事後対応を!情報漏えい事件 | 複数の攻撃を組み合わせた「新しいタイプの攻撃」 |
第6位 | 減らないスパムメール | 被害に気づけない標的型攻撃 | セキュリティ対策不備がもたらすトラブル |
第7位 | ユーザIDとパスワードの使いまわしによる危険性 | 深刻なDDoS攻撃 | 携帯電話向けWebサイトのセキュリティ |
第8位 | 正規のWebサイトを経由した攻撃 | 正規のアカウントを悪用される脅威 | 攻撃に気づけない標的型攻撃 |
第9位 | 誘導型攻撃の顕在化 | クラウド・コンピューティングのセキュリティ | クラウド・コンピューティングのセキュリティ |
第10位 | 組込み製品に潜む脆弱性 | インターネットインフラを支えるプロトコルの脆弱性 | ミニブログサービスやSNSの利用者を狙った攻撃 |
この時期から徐々に広がり始めてきた「クラウド」や「携帯電話(スマートフォン)」といった新しい要素が攻撃の標的になってきました。また、攻撃の糸口として既知の脆弱性が狙われるケースが多いことを踏まえ、クライアント、サーバーともに、パッチ適用などの対策をたびたび求めていることが分かります。
年 | 2011 | 2012 | 2013 |
---|---|---|---|
第1位 | 新しいタイプの攻撃 | クライアントソフトの脆弱性を突いた攻撃 | 標的型メールを用いた組織へのスパイ・諜報活動 |
第2位 | 予測不能の災害発生!引き起こされた業務停止 | 標的型諜報攻撃の脅威 | 不正ログイン・不正利用 |
第3位 | 特定できぬ、共通思想集団による攻撃 | スマートデバイスを狙った悪意あるアプリの横行 | Webサイトの改ざん |
第4位 | 更新忘れのクライアントソフトを狙った攻撃 | ウイルスを使った遠隔操作 | Webサービスからのユーザー情報の漏えい |
第5位 | Webサイトを狙った攻撃 | 金銭窃取を目的としたウイルスの横行 | オンラインバンキングからの不正送金 |
第6位 | 続々発覚、スマートフォンやタブレットを狙った攻撃 | 予期せぬ業務停止 | 悪意あるスマートフォンアプリ |
第7位 | 電子証明書に思わぬ落し穴 | Webサイトを狙った攻撃 | SNSへの軽率な情報公開 |
第8位 | 身近に潜む魔の手・・・あなたの職場は大丈夫? | パスワード流出の脅威 | 紛失や設定不備による情報漏えい |
第9位 | アカウントの使いまわし | 内部犯行 | ウイルスを使った詐欺・恐喝 |
第10位 | 利用者情報の不適切な取扱いによる信用失墜 | フィッシング詐欺 | サービス妨害 |
この頃からいよいよ「標的型攻撃(新しいタイプの攻撃)」や「金銭目的のウイルス」が上位に顔を出すようになってきました。安易なパスワード運用につけ込んだ不正ログインの横行も見て取ることができます。一方で、「Webサイトを狙う攻撃」も相変わらずランクインし続けています。
この表は他にもいろいろな読み取り方ができると思いますが、一連のトピックを眺めてまず気が付くのは、ある日突然、ビックリするような目新しい手口が出てくるのではなく、「Webサイトへの攻撃」「脆弱性を狙った攻撃」といった、「ベタ」な手口が繰り返し浮上していることです。これは、基本的なセキュリティ対策の重要性を示すものです。
逆に言えば、同じような脅威がたびたび取り上げられ、対策として「脆弱性への対策を」「アカウントの適切な管理を」といった呼び掛けが出てくることは、それがまだできていないということでもあります。
土屋氏は「ソフトウェアの更新、ウイルス対策ソフトの導入、パスワード・認証の強化、設定の見直し、それに脅威や手口を知るという5つの対策をぜひ徹底してほしい」とあらためて呼び掛けました。さらに「これらを継続的に実施できるよう、CSIRTのような体制作りと、経営者がそれを良しとする姿勢を示してほしい」と言います。
選外のトピックにも要注意
土屋氏はまた、10大脅威のランキングのみに注目せず、取り上げられているトピック全体にまんべんなく注意を払ってほしいと述べています。そして、「選外」となったトピックにも注意が必要ということです。
例えば10大脅威 2015では、10位までに選出されなかったものの、問題になる脅威がいくつか取り上げられています。11位に挙げられた「ウイルスを使った詐欺・恐喝」は、PC内のデータをロックしたり、暗号化したりして、引き換えに金銭を要求する「ランサムウエア」の被害に警鐘を鳴らしたものです。
折しもランサムウエアによる被害がネット上で話題になり始めました。「ランサムウエアによる被害は海外では報告されていたが、日本語化が進んでいなかったことから国内での被害はまだ目立っていなかった。しかし今年に入り、日本語対応が進み、被害の拡大が懸念される」(土屋氏)と言います。
同様に、12位に入っている「サービス妨害(DDoS)攻撃」や13位の「無線LANの無断使用・盗聴」といった動きにも注意を払ってほしいとしています。
次の「10大脅威」がまとめられるのは2016年3月の見込みで、これから選定作業が始まります。今後警戒が必要となるトピックの一つに、IoT(Internet of Things)のセキュリティも含まれるそうです。「これまでつながらないことを前提としていたものに通信機能が加われば、危険性は上がるだろう」と土屋氏は述べています。
特集:セキュリティリポート裏話
近年、効果的なセキュリティ対策を実施するには、脅威の最新動向を常にウオッチし、分析することが欠かせません。その成果の一部が多数のセキュリティベンダーから「リポート」や「ホワイトペーパー」といった形で公開されています。この特集では、そんな各社最新リポートのポイントを解説するとともに、行間から読み取れるさまざまな背景について紹介していきます。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 過去一年のセキュリティ動向、「想定内」と「想定外」は?
ブログやリポート、調査など、日々増え続けるセキュリティ関連情報の中から気になるものを掘り下げて紹介する新連載。第1回は、かつてないほど話題が多かった2014年のセキュリティ脅威リポートの「想定内」「想定外」を尋ねてみた。 - 標的型攻撃、不正ログイン……巧妙化する脅威から身を守る術は
6月6日に都内で開催された@IT主催セミナー「標的型攻撃、不正ログイン……巧妙化する脅威から身を守る術は」では、最近のセキュリティインシデントを振り返りながら、必要な戦略や対策を考察、提案する講演が行われた。 - IPAが2012年度版「10大脅威」を公表、1位は「標的型攻撃」