ネットアイビーニュース

NET-IB NEWSネットアイビーニュース

サイト内検索


カテゴリで選ぶ
コンテンツで選ぶ
会社情報

社会

2014年、クラウドが企業セキュリティを崩壊?(1)~守屋英一氏インタビュー
社会
2014年2月 6日 15:14

 2013年はインターネットやスマートフォン関連の凶悪なサイバー犯罪が多発した。オンラインバンキング不正送金、不正ログイン、クレジットカード情報流出など大規模な事件が何度も起きた。2014年はこの傾向がさらに強まると言われている。そして、このセキュリティ脅威は、決して他人ごとではなく、いつ我が身に降りかかってもおかしくはない。日本を代表するセキュリティアナリストである守屋英一氏に「2014年のセキュリティ事情」について訊いた。

<「水飲み場型攻撃」が増加して猛威を振るった>
 ――まずは、2013年を振り返って頂けますか。

守屋 英一 氏 守屋英一氏(以下、守屋) X-Force(IBMセキュリティ研究開発組織(注1))のレポートを見ても、攻撃手法において、ここ数年で大きな変化はありません。SQLインジェクションによるデータベース侵害やDoS攻撃などは金融機関、政府機関を中心に続いています。しかし、これらは2002年頃に始まったものです。

 昨年の特徴として挙げるとすれば「水飲み場型攻撃」が増加したことだと思います。この攻撃手法自体は古くからあったものですが、2013年に急速に進化・巧妙化して企業、個人に甚大な被害を与えました。

 「水飲み場型攻撃」とは、ユーザーが集まるサイト(水飲み場)でターゲットを待ち受け、特定のユーザーを狙ってウイルスの感染などをさせる攻撃のことです。Webを改ざんして、標的型攻撃(特定の情報を狙って行なわれるサイバー攻撃の一種)の入口に使用しているわけです。

<個人を攻撃するために、企業を仲介させている>
 守屋 攻撃者にしてみれば、個人の電子メールを調べるのは大変ですし、調べ上げ送ったとしてもスパム対策で開かれない可能性が高くなっています。そこで、一般の人がよく見る人気のあるウェブサイトを攻撃して「改ざん」、ウイルスを感染させるほうが効率いいわけです。そのサイトを見に来た人は自動的にどんどん感染していくことになります。

 この「水飲み場型攻撃」の増加と「不正送金」の増加は正比例しているという統計もあります。「不正送金」は去年から急激に増えているので、恐らく、一般の多くの人が「水飲み場」でウイルスに感染、情報をとられてしまった可能性が高いと思います。
 さらに「アカウントの流出」や「IDパスワード流出」の影響で、他人が個人のアカウントに不正アクセス、ポイントを盗み、買い物をする事件も多発しました。これも「水飲み場型攻撃」が原因と思われています。

 問題を一層深刻化させているのは、攻撃者の動きが巧妙で、あからさまでないため、利用者や運用者が気づかないうちに攻撃を受けていることも多くなったことです。

 今まで攻撃に対する個人の防御は、基本的に企業や政府機関任せでした。しかし、今の動きは、あくまでも個人を攻撃するために、企業を仲介させているのに過ぎません。今後は「自分で自分を防御していく」ことが必要となります。個人のセキュリティ意識を高める以外に被害を避ける方法はありません。そして、このことは、本来セキュリティの基本でもあるのです。

(つづく)
【金木 亮憲】

| (2) ≫

注1.X-Force:IBMセキュリティ研究開発組織の略称。全世界10拠点のセキュリティ・オペレーションセンター、9拠点のIBM基礎研究所、14拠点のセキュリティ・ソフトウェア開発ラボ、IBM Institute for Advanced Security(IBM先進セキュリティ機関)によって構成されている。IBMは現在、130カ国以上で、1日に130億件以上のセキュリティイベントをモニタリングしている。

注2.SQLインジェクション:引数などのパラメータにSQL文を混ぜ込んでおき(インジェクション),プログラム内部でそのSQL文を実行させてしまう攻撃手法。これで、ログインを突破、データの削除、コンテンツの改ざんおよび情報の詐取等を行なう。

注3.DoS攻撃(Denial of Service attack):サーバなどのネットワークを構成する機器に対して攻撃を行ない、サービスの提供を不能な状態にすること。

<プロフィール>
守屋 英一 氏守屋 英一(もりや えいいち)
2007年に日本アイ・ビー・エム株式会社入社。セキュリティ・オペレーション・センターを経て、2011年に情報セキュリティ推進室に異動。社内の不正アクセス事件及びISMS内部監査を担当。2012年にIBM Computer Security Incident Response Teamへ異動。社外活動として、明治大学ビジネス情報倫理研究所客員研究員、日本シーサイト協議会運営委員、警察庁「不正アクセス防止対策に関する官民意見集約委員会」委員、経済産業省「CTAPP運用・技術WG」委員ほか。2012年度NPO日本ネットワークセキュリティ協会表彰個人の部を受賞。著書に「フェイスブックが危ない」、「フェイスブック 情報セキュリティと使用のルール」がある。


※記事へのご意見はこちら

社会一覧
NET-IB NEWS メールマガジン 登録・解除
純広告用レクタングル

2012年流通特集号
流通メルマガ
純広告VT
純広告VT
純広告VT

IMPACT用レクタングル


MicroAdT用レクタングル