過去10年の「10大脅威」、決して変わらないセキュリティ対策とは：特集：セキュリティリポート裏話（2）（2/2 ページ）

情報処理推進機構（IPA）が約10年にわたってまとめ、公表してきた「10大脅威」を参考に、セキュリティ脅威を取り巻く状況において何が変わり、何が変わらないのかを確認してみた。

[高橋睦美，＠IT]

ファッションと同じ？ 繰り返し同じものが流行

　実際のところどうなのか、過去10年間の「10大脅威」で取り上げられた話題をまとめてみました。年によってトピックの表現方法や粒度に違いがあるのですが、大まかには以下のようになります。

年	2005	2006	2007
第1位	SQLインジェクション	Winnyによる情報漏えい	「誘導型」攻撃の脅威
第2位	Winnyを通じた情報漏えい	標的型（スピア型）攻撃	Webサイトを狙った攻撃の広まり
第3位	「ルートキットに類似した機能」の事件化	悪質化・潜在化するボット	情報漏えい
第4位	フィッシング詐欺	ゼロデイ攻撃	標的型攻撃
第5位	スパイウェア	フィッシング詐欺	信用できなくなった正規サイト
第6位	ボット	スパムメール	検知されにくいボット、ウイルス
第7位	Webサイトを狙うCSRFの流行	情報漏えい	検索エンジンからマルウェア配信サイトに誘導
第8位	組込みソフトウェアの脆弱性	安易なパスワード	国内製品の脆弱性
第9位	セキュリティ製品の脆弱性	SQLインジェクション	減らないスパムメール
第10位	ゼロデイ攻撃	不適切な設定のDNSサーバを狙う攻撃	組み込み製品の脆弱性

　この時期に目立つのは、P2P型ファイル共有ソフトウェア「Winny」を介した情報漏えい事件に関するトピックです。同時に「SQLインジェクション」や「クロスサイトリクエストフォージェリ（CSRF）」といったWebアプリケーションの脆弱性を狙う攻撃にも注目が集まっています。ほぼ10年前から、正規のWeサイトを改ざんし、それを踏み台にしてマルウェアに感染させる手口による被害が発生していたことが分かります。

年	2008	2009	2010
第1位	DNSキャッシュポイズニングの脅威	Webサイト改ざん	「人」が起こしてしまう情報漏えい
第2位	巧妙化する標的型攻撃	アップデートしていないクライアントソフト	Webサイトを経由した攻撃
第3位	恒常化する情報漏えい	悪質なウイルスやボットの多目的化	定番ソフトウェアの脆弱性を狙った攻撃
第4位	多様化するウイルスやボットの感染経路	対策をしていないサーバ製品の脆弱性	狙われだしたスマートフォン
第5位	脆弱な無線LAN暗号方式における脅威	あわせて事後対応を！情報漏えい事件	複数の攻撃を組み合わせた「新しいタイプの攻撃」
第6位	減らないスパムメール	被害に気づけない標的型攻撃	セキュリティ対策不備がもたらすトラブル
第7位	ユーザIDとパスワードの使いまわしによる危険性	深刻なDDoS攻撃	携帯電話向けWebサイトのセキュリティ
第8位	正規のWebサイトを経由した攻撃	正規のアカウントを悪用される脅威	攻撃に気づけない標的型攻撃
第9位	誘導型攻撃の顕在化	クラウド・コンピューティングのセキュリティ	クラウド・コンピューティングのセキュリティ
第10位	組込み製品に潜む脆弱性	インターネットインフラを支えるプロトコルの脆弱性	ミニブログサービスやSNSの利用者を狙った攻撃

　この時期から徐々に広がり始めてきた「クラウド」や「携帯電話（スマートフォン）」といった新しい要素が攻撃の標的になってきました。また、攻撃の糸口として既知の脆弱性が狙われるケースが多いことを踏まえ、クライアント、サーバーともに、パッチ適用などの対策をたびたび求めていることが分かります。

年	2011	2012	2013
第1位	新しいタイプの攻撃	クライアントソフトの脆弱性を突いた攻撃	標的型メールを用いた組織へのスパイ・諜報活動
第2位	予測不能の災害発生!引き起こされた業務停止	標的型諜報攻撃の脅威	不正ログイン・不正利用
第3位	特定できぬ、共通思想集団による攻撃	スマートデバイスを狙った悪意あるアプリの横行	Webサイトの改ざん
第4位	更新忘れのクライアントソフトを狙った攻撃	ウイルスを使った遠隔操作	Webサービスからのユーザー情報の漏えい
第5位	Webサイトを狙った攻撃	金銭窃取を目的としたウイルスの横行	オンラインバンキングからの不正送金
第6位	続々発覚、スマートフォンやタブレットを狙った攻撃	予期せぬ業務停止	悪意あるスマートフォンアプリ
第7位	電子証明書に思わぬ落し穴	Webサイトを狙った攻撃	SNSへの軽率な情報公開
第8位	身近に潜む魔の手・・・あなたの職場は大丈夫?	パスワード流出の脅威	紛失や設定不備による情報漏えい
第9位	アカウントの使いまわし	内部犯行	ウイルスを使った詐欺・恐喝
第10位	利用者情報の不適切な取扱いによる信用失墜	フィッシング詐欺	サービス妨害

　この頃からいよいよ「標的型攻撃（新しいタイプの攻撃）」や「金銭目的のウイルス」が上位に顔を出すようになってきました。安易なパスワード運用につけ込んだ不正ログインの横行も見て取ることができます。一方で、「Webサイトを狙う攻撃」も相変わらずランクインし続けています。

　この表は他にもいろいろな読み取り方ができると思いますが、一連のトピックを眺めてまず気が付くのは、ある日突然、ビックリするような目新しい手口が出てくるのではなく、「Webサイトへの攻撃」「脆弱性を狙った攻撃」といった、「ベタ」な手口が繰り返し浮上していることです。これは、基本的なセキュリティ対策の重要性を示すものです。

　逆に言えば、同じような脅威がたびたび取り上げられ、対策として「脆弱性への対策を」「アカウントの適切な管理を」といった呼び掛けが出てくることは、それがまだできていないということでもあります。

　土屋氏は「ソフトウェアの更新、ウイルス対策ソフトの導入、パスワード・認証の強化、設定の見直し、それに脅威や手口を知るという5つの対策をぜひ徹底してほしい」とあらためて呼び掛けました。さらに「これらを継続的に実施できるよう、CSIRTのような体制作りと、経営者がそれを良しとする姿勢を示してほしい」と言います。

選外のトピックにも要注意

IPA 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー 研究員の土屋正氏

　土屋氏はまた、10大脅威のランキングのみに注目せず、取り上げられているトピック全体にまんべんなく注意を払ってほしいと述べています。そして、「選外」となったトピックにも注意が必要ということです。

　例えば10大脅威 2015では、10位までに選出されなかったものの、問題になる脅威がいくつか取り上げられています。11位に挙げられた「ウイルスを使った詐欺・恐喝」は、PC内のデータをロックしたり、暗号化したりして、引き換えに金銭を要求する「ランサムウエア」の被害に警鐘を鳴らしたものです。

　折しもランサムウエアによる被害がネット上で話題になり始めました。「ランサムウエアによる被害は海外では報告されていたが、日本語化が進んでいなかったことから国内での被害はまだ目立っていなかった。しかし今年に入り、日本語対応が進み、被害の拡大が懸念される」（土屋氏）と言います。

　同様に、12位に入っている「サービス妨害（DDoS）攻撃」や13位の「無線LANの無断使用・盗聴」といった動きにも注意を払ってほしいとしています。

　次の「10大脅威」がまとめられるのは2016年3月の見込みで、これから選定作業が始まります。今後警戒が必要となるトピックの一つに、IoT（Internet of Things）のセキュリティも含まれるそうです。「これまでつながらないことを前提としていたものに通信機能が加われば、危険性は上がるだろう」と土屋氏は述べています。

特集：セキュリティリポート裏話

近年、効果的なセキュリティ対策を実施するには、脅威の最新動向を常にウオッチし、分析することが欠かせません。その成果の一部が多数のセキュリティベンダーから「リポート」や「ホワイトペーパー」といった形で公開されています。この特集では、そんな各社最新リポートのポイントを解説するとともに、行間から読み取れるさまざまな背景について紹介していきます。

特集：セキュリティリポート裏話