SNS経由で企業を狙う攻撃、2009年に70％増加--ソフォス調査

　セキュリティ企業Sophosの新しいレポートによると、500社を対象にした調査の結果、ソーシャルネットワーキングサイト（SNS）を経由したスパムやマルウェアによる攻撃が2009年に70％増加したことが判明したという。

　大手のSNSで最も危険と見なされたのは「Facebook」で、続いて「MySpace」「Twitter」「LinkedIn」の順だった。

　Sophosのレポート（PDF）によると、2009年中に調査対象企業の50％以上がSNS経由でスパムを送られ、36％がSNSからマルウェアによって攻撃されたという。

　SNS経由のマルウェアが企業にもたらす危険度は特に高い。調査を受けた企業の大半は、従業員がFacebookなどのSNS上で実行する操作により、企業秘密のデータが危険にさらされる可能性に懸念を表明した。

　しかし、SNSユーザーだけに責任があるのではない。SophosはSNSの運営側の責任も指摘した。Sophosによると、多くのWeb 2.0サイトは、利用者の保護よりも市場シェアの拡大に注力してきたという。Facebookなどの運営企業は、サイバー脅威を撲滅する取り組みの強化に着手しているが、増加を続ける膨大なユーザー人口にも対処している。

　Sophosのシニア技術コンサルタントであるGraham Cluley氏は、米国時間2月1日の声明で次のように述べた。「事実、Facebookのセキュリティチームは、同サイトにおける脅威に対抗すべく懸命に取り組んでいる。ただ、3億5000万ユーザーの安全を維持するのは、誰であろうと簡単な仕事ではない。しかし、簡単な変更でFacebookユーザーの安全を改善できていただろうことは間違いない。例えば、同社は昨年末（2009年12月）に新しい推奨プライバシー設定を展開したが、これはインターネット上の全員と情報を共有することを多くのユーザーに奨励するもので、一歩後退だった」

　LinkedInは、4大SNSの中で最も安全だと評価されたが、それでも危険と無縁ではない。サイバー犯罪者がある企業について収集できる「内部」情報が増えるほど、その企業の脆弱性も高まることになる。そして、LinkedInは企業の詳細な情報を外部に漏らす主要な源になり得る。

　「LinkedInのようなサイトは、企業の従業員の氏名と役職を掲載することで、実質的な社員名簿をハッカーに提供している。これにより、標的候補の従業員の電子メールアドレスをリバースエンジニアリングすることがきわめて容易になっている」（Cluley氏）

　SNSは顧客や同僚と連絡を取り合うのに有用なツールとなっているので、企業はSNSのブロックに消極的な姿勢を保ってきた。

　調査対象のうち、Facebookへの自由なアクセスを従業員に許可している企業は、今やほぼ半数を占めるが、1年前はわずか13％だった。Sophosは、SNSを禁止せず、監視して危険性を最小化することが解決策になると述べた。