米国に本拠を置くセキュリティ会社のウェブルートは、2018年のセキュリティ脅威に関する動向と今後の見通しをまとめたレポートを公開した。
レポートによると、セキュリティ脅威についての注目キーワードとして「IoT機器」「サイバーテロ」「2020東京オリンピック」という3つを提言。IoT機器を狙ったサイバー脅威については、2018年1月初旬に「Meltdown」「Spectre」という新たな2つのCPUの脆弱性が発見されたことを受けて、機器に搭載されているCPUの脆弱性を悪用したサイバー攻撃の危険性を指摘しているほか、IoT機器を無効化して身代金を要求するランサムウェアの拡大、人工知能(AI)の採用による犯罪の高度化などを脅威に挙げている。
サイバーテロを巡っては、「実際に人々の負傷や最悪の場合死に至るケースが発生する可能性がある」と指摘。米国では、今までの金銭や情報を目的とした脅威とは異なり、社会を混乱させるテロなど一般市民がターゲットにされていると言われているという。
また、欧米では大きなスポーツイベントなどの開催に合わせて主催者やスポンサーのサイトを狙ったり、一般ユーザーをターゲットにしたフィッシング攻撃などサイバー犯罪が増加する傾向にあるが、レポートでは2020年の東京オリンピック・パラリンピック開催に向けて国内全体でセキュリティ強化の必要性を提言。運営体制や施設などハード面に関する安全対策だけではなく、サイバーセキュリティに関連した対策の必要性を訴えている。
2018年は平昌冬季オリンピックやサッカーのロシアワールドカップなど大きなスポーツイベントが相次いで開催されるが、こうしたイベントを狙ったセキュリティ脅威やサイバー犯罪の実態について、ウェブルート日本法人のシニアマーケティングマネージャである東田巌秀氏に話を聞いた。
――大きなスポーツイベントを狙ったサイバー犯罪について、欧米ではこれまでどのような事例があるのでしょうか。
オリンピックのような大きなイベントは世界的に注目されていることから、これまで度々サイバー犯罪の脅威にさらされてきました。その手口はサイトを狙った「DDoS攻撃」とユーザーを狙った「フィッシング詐欺」という大きく2つに分かれています。
2012年のロンドン五輪の際には主催者やスポンサーのウェブサイトを狙ったDDoS攻撃が横行し、サイト側のセキュリティ対策がしっかりしていたため大きな混乱にはなりませんでしたが注目されました。一方、主催者のサイトや関連するサイトをなりすましたフィッシング詐欺はここ数年で急増しており、サッカーの2014年ブラジルワールドカップの際には、フィッシング詐欺による深刻な被害が生まれています。
具体的な被害に関しては、個人情報やクレジットカード情報が盗まれるケースが多いですが、深刻なのはその規模です。たとえば、ウェブルートの統計では2017年に毎月平均140万件のフィッシングサイトが生み出されており、それらのサイトの多くはセキュリティソフトウェアのクローラーを掻い潜りながら、Googleなどの検索エンジンには表示されるように巧妙に制作されています。事前に発見するのが難しくなってきているのが現状です。
――こうしたサイバー犯罪の狙いは何でしょうか。
中には政治的な理由、軍事的な目的によるサイバー犯罪のケースもありますが、最も多いのは個人情報の収集や金銭目的による犯行です。私たちの予測では、東京オリンピック・パラリンピックで懸念されるのはチケット販売サイトやボランティア募集のサイト、公式グッズの販売サイトなどを語ったフィッシングサイトの増加で、ブームに乗じた詐欺行為に注意する必要があると言えるでしょう。
――企業や団体のサイトをハッキングすると脅迫をして運営者から身代金を要求するブラックビジネスは近年増加していると思いますが、日本ではあまり見られません。今度の東京オリンピック・パラリンピックに合わせて狙われる可能性はあるのでしょうか。
ランサムウェアによる企業への攻撃などは2017年までと2018年以降で、その動向に大きな変化が生まれる可能性があります。これまでは身代金を払えば解放されるランサムウェアが中心でしたが、今後は被害者のデータを破壊していくタイプの破壊的ランサムウェアの登場が考えられるのです。2020年までに数も増えていくのではないでしょうか。
加えて、今後深刻になっていくのはAIによるハッキングの拡大です。最近ではセキュリティソフトウェアにもAIが採用されてきていますが、攻撃者もAIを活用するようになっていくのです。
AIによるサイバー攻撃の大きな特徴は、ソフトウェア自身が攻撃をしながら学習し、対象者のセキュリティホールを探り出していくという手法で攻撃を加えていく点です。ハッカーが手を動かさなくても、プログラムが勝手に攻撃対象者に最適なプロセスを発見していくのです。AIを採用していない既存のセキュリティソフトウェアであれば、数時間で突破できてしまうのではないかと言われており、サイバー攻撃のレベルはAIの登場で一気に高度化し、被害も拡大する危険性があると言えるでしょう。
――レポートでは米国のサイバーテロについて「実際に人々の負傷や最悪の場合死に至るケースが発生する可能性がある」と指摘していますが、具体的にどのような脅威が考えられるのでしょうか。東京オリンピック・パラリンピックが狙われる可能性もあるのでしょうか。
すでに生まれているケースですと、医療機関を狙ったサイバー攻撃で患者の生命維持に必要なシステムに被害を加えるという攻撃が実際に発生しています。先程ご説明したとおり従来の身代金要求型のランサムウェアではなく破壊的なランサムウェアが登場すると、こうした被害が拡大することは否定できません。特に、東京オリンピック・パラリンピックでは、電力、交通、通信ネットワーク、テレビ放送といったインフラを制御するノードを狙ったサイバー犯罪が懸念されており、実際に発生した場合の社会的な損害は計り知れないものになるでしょう。
特に最近は、反社会的組織はサイバー攻撃の知見を蓄積しており、実際に行われるテロと比較しても攻撃のためのコストが少なくて済むわけです。たとえば、AIによるサイバー攻撃も、既成の製品やプログラムを組み合わせるだけで簡単に仕組みを構築できてしまいますし、ランサムウェアは最近では簡単に攻撃環境を構築できる「Ransomware as a Service(RaaS)」と呼ばれる仕組みも生まれています。こうした状況から、サイバー攻撃の高度化はどんどん進むのではないでしょうか。
――こうしたサイバー脅威からウェブサイトやユーザーを保護するために、企業はどのような対策を考えるべきでしょうか。
これまでお話したとおり、これからのサイバー犯罪は「AI対AI」という構造になっていくでしょう。その中で、AIを活用した総合的なセキュリティ対策を施すことはもちろんですが、それに加えてこれからは企業のアセット管理についてエンタープライズ・セキュリティに専門的な知識を持つ人材の確保することが必須ではないでしょうか。専門的な知識を持たないIT管理者では高度化するサイバー攻撃にとても太刀打ちできません。
欧米では、ほとんどの大手企業でセキュリティ担当役員が起用され、またリモートで企業の端末やネットワークを監視してサイバー攻撃の兆候に即座に対応する「Managed Service Provider(MSP)」と呼ばれるビジネスモデルも活況で、グローバルで約3万社あると言われています。ここ5年で急速に市場が拡大していますが、日本だけこうした動きに遅れている状況だと言えるでしょう。特に、サーバのセキュリティはある程度担保できていても、社員のPCやモバイル機器の対策ができていないケースが多く、こうした環境は攻撃者にとって格好のターゲットになるといえます。
特に懸念されるのは、日本の中小企業です。優良な情報や資産を持っているけれどセキュリティ対策が充分ではなく、そこが攻撃者にとって良いターゲットになってしまっているのです。大手企業はある程度の投資をしてセキュリティを担保できるかもしれませんが、中小企業はそこまで手が回りません。実際に最近は中小企業を狙ったサイバー犯罪が増加しており、ランサムウェアでも中小企業に多くの被害が生まれています。欧米の中小企業では安価にサービス導入ができるMSPの採用が進んでいますが日本ではそこまで至っておらず、今後の登場を期待したいところです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」