2014年中、ソニーは破壊的なサイバー攻撃に苦しみ、米国の銀行や、米国の小売店であるTargetやStaplesが標的型攻撃の的になり、ハッカーたちは常に一歩先にいるように感じられた。
では、2015年は一体何が起こるのだろうか?
Heartbleed、Cryptolocker、Shellshockなどの脆弱性・攻撃方法がメディアに取り上げられ、企業はリスクマネジメントとダメージコントロールのプロセスを見直している。また、企業ネットワークへの侵入を最小限に抑えるため、次世代のサイバーセキュリティ専門家の訓練に資金が投資されている。モバイルやウェブを利用したウイルスの危険性はなくなっておらず、データ流出や、新たなマルウェアが見つかったという話を聞かない週はない。
セキュリティ企業FireEyeの、欧州・中東・アフリカ地域担当最高技術責任者(CTO)であるGreg Day氏は、2015年には、これらの状況がさらに深まり、悪化する可能性が高いと述べている。
セキュリティとサイバー犯罪を専門とする同社は、技術的な面では、モバイル用のランサムウェアがよく使われるようになると予想している。2014年にはランサムウェアの「Cryptolocker」が一定の成功を収めたこともあり、2015年は攻撃者がユーザーのスマートフォンや連絡先リストへのアクセスを得ようとして、モバイルデバイスが狙われることが多くなるはずだ。ロックされたデータはクラウドアカウント上に送られ、被害者のデバイスがロックされる前に暗号化され、それを人質として金銭を要求される。
FireEyeはまた、POSを標的とする攻撃でデータや金銭を盗むことがより一般化すると予想している。また、POSへの攻撃の被害者も広がり、頻度も上がるだろう。同社は、小売店が守りを強化する一方、より多くの犯罪者が参加するようになるため、標的の選び方も変化してくると考えている。その結果、サイバー攻撃の対象は決済サービス会社やPOS管理企業などの「ミドルレイヤ」に広がると思われる。
「そうなった場合、侵入に1度成功しただけで、多くの情報源から集められたクレジットカード情報のプールにアクセスすることが可能であり、その規模は、過去に巨大な被害企業から盗まれた件数に匹敵する可能性がある」とFireEyeは述べている。
POSシステムを標的とするハッカーがサードパーティーを狙い始めるのと同じことが、企業に関しても言える。つまり、企業のサプライチェーンに対する攻撃が増えることが予想される。これは、守りを十分な水準まで固められるのはトップクラスの企業だけであり、成熟していない企業や、財務的に弱い企業がエコシステムの中の弱点となるためだ。このため、大企業はサプライヤーに対し、十分なセキュリティコントロールを講じているという証明を求めるようになるだろう。しかし、小さな企業にそれだけの体力があるかどうかは不明だ。
何か問題が起こり、サイバー攻撃が成功した場合に、対応計画がうまく働かないケースも多くなるだろう。FireEyeは2015年に、適切な対応が取られないことが原因で、有名ブランドが消えるような事態も起こりえると考えている。また企業の世界でこのようなリスクが増えると、業界としてのサイバー攻撃保険も成長することが予想される。
現代のビジネスでは、情報漏えいは避けられないリスクだが、ダメージコントロールは可能だ。攻撃を受けた後のリアルタイムネットワーク監視や捜査が、攻撃者を特定し、発生している情報漏えいを検知し、深刻なダメージを受ける前に防御するために役立つ可能性がある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス