2018 セキュリティ・レポート

2018

セキュリティ・

レポート

今後のサイバー・

セキュリティを占う

目次

45

参考文献

40

プラットフォームに

関する推奨事項

34

今後の見通し

21

業種別のレポート

サイバー・セキュリティの

最新動向

15

はじめに

3

2017

_年の主な

サイバー事件

7

はじめに

2017年は時代の変わり目と言える年で、ITセキュリティの業界でも多くの関係者が衝撃を受けました。破壊的なランサム ウェア、IoTボットネット、データ侵害、モバイル・マルウェアの再活発化から複数の攻撃経路を利用する高度な技術の出現まで確 認されており、サイバー攻撃が第5世代へと移り変わる転換点を迎えていることは間違いありません。 世界経済フォーラムはサイバー環境の変化を受けて、2018年の三大グローバル・リスクの1つにサイバー攻撃を挙げています。 実際、大規模な組織を機能停止に追い込む手段としてランサムウェアが効果的に活用されており、多くの企業の収益に悪影響が 及ぶだけでなく、一般市民の健康や生命が脅かされるケースも出てきています。 データ侵害は顧客データの大量流出が発覚して大きなニュースになるなど、2017年に大きな注目を集めました。ウーバー・テクノ ロジーズのアプリUberや消費者信用情報会社のEquifaxなども攻撃を受けており、被害の規模や頻度を見る限り、このタイプの 攻撃が収束する気配は今のところありません。 アプリストアだけでなく、Bluetoothなどのモバイル機能でもセキュリティの課題が解消されていない現状では、マルウェアの 亜種が増殖してはびこる状態を今後も抑えることはできないでしょう。世界中のモバイル・デバイス数百万台が悪意のある アプリに感染しているのが現状で、アプリストアへの侵入に成功した攻撃者に大きな収益をもたらしています。 また、世界的に仮想通貨への注目度が高まり、価値も急騰した結果、仮想通貨のマイニング・ツールの普及が著しく進みました が、そうしたツールはすぐに金銭目的の攻撃へと広く転用されるようになりました。 さらにCIAがサイバー攻撃ツールを開発していたというハクティビスト・グループのリークも、情報セキュリティの世界的なエコシ ステム全体に大きな影響を及ぼしました。アメリカ大統領選でのハッキング疑惑から重要インフラの破壊を狙った攻撃まで、国を またいで展開される大規模なサイバー攻撃の裏に国家がらみの技術があることを示す証拠も増えてきています。 このレポートでは2017年を振り返り、どのような年だったのか理解することを目指します。第5世代に入ったサイバー脅威がネット ワーク、クラウド、モバイルなどの多様な経路を通って複数の国や業界に拡がっていく仕組みが明らかになり、そのために国家 レベルの技術まで利用されている現実も確認できるはずです。しかし最近の攻撃を調べてみた限り、現状では97%の組織が 第5世代のサイバー攻撃に対応できていないようです。このレポートでは、2018年に発生すると考えられる攻撃を予測し、その有効 な対策に的を絞って解説します。

2017

年に発生した主なサイバー攻撃（時系列）

MongoDBの脆弱性

により27,000の

組織でデータ消去の

被害が発生。

プリン

ストン大学

も被害を

受けた。

クレジット・カード/

デビット・カード

決済の大手

Verifone

の

PoS

ソリューショ

ンが攻撃を受けた。

フランス大統領選

で

エマニュエル・マクロン

候補の機密文書

（

9GB

）が漏洩した。

選挙妨害が目的。

モバイル・マルウェアの

CopyCat

が全世界で

1,400

万台以上の

Android

デバイスに感染。

偽の広告の収益が

2

か月

で

150

万ドルに達した。

信用情報サービス大手

Equifax

の顧客データ

1

億

4,300

万件が流出。

社会保障番号やクレ

ジット・カード情報な

ども含まれていた。

Xbox

と

PlayStation

のユーザ情報

250

万

件が流出。名前や電

子メール・アドレス、

ID

情報なども含まれ

ていた。

New York Post

のモバ

イル・アプリがハッ

キングされ、偽の

ニュース速報が繰り

返し発信された。

5

月の

WannaCry

に

続いて今度は

NotPetya

が全世界に拡散。

FedEx

、

Maersk

、

WPP

なども被害を

受けた。

ウクライナ国営の

郵便サービス

が

DDoS

攻撃を受け、

全国で業務が混乱。

仮想通貨のマイニング・

プラットフォーム

NiceHash

のセキュリティ

が破られ、

4,700

ビット

コイン（

7,000

万ドル相当）

がハッカーの手に

渡った。

1

_月

2

_月

3

_月

4

_月

5

_月

6

_月

7

_月

8

_月

9

_月

10

_月

11

_月

12

_月

2017

_{年に発生した主なサイバー攻撃（時系列）}

スウェーデンの交通

局

が大規模な

DDoS

攻撃を受け業務が

停止し、大混乱が

生じた。

Uber

の

AWS

アカウント

が乗っ取られてドライ

バーと顧客のデータが

流出。同社はこの漏洩

事件を隠蔽するため

攻撃者に

10

万ドルを

支払った。

2017

年の主な

クラウド・コンピューティングが普及した 要因は、即応性の高さ、統合の容易さ、 コストの低さでしょう。 しかしクラウド・サービスには、外部 にさらされているというセキュリティ 上の大きな課題があります。言い換え ると、任意のデバイスを使ってどこか らでもアクセスできるということです。 しかも、標準装備のセキュリティ機能 には効果を期待できないという問題 もあります。 お客様にはサービス・プロバイダだけ に頼らず責任共有モデルに移行し、 データだけでなく、そのデータへのアク セス手段も保護することを推奨してい ます。 ヨアフ・ダニエリー、クラウド・セキュ リティ製品管理責任者

衝撃的なデータ侵害

Equifax

で発生したデータ侵害

9月にアメリカの三大信用調査会社の1つEquifaxでデータ侵害が発生、1億4,500万 人以上の顧客に影響が及びました。ハッカーはソフトウェア・パッケージ「Apache Struts」のセキュリティの欠陥を悪用し、名前、住所、誕生日、クレジット・カード 番号、社会保障番号、運転免許証の番号といった高度な機密情報の入手に成功して います。

Deloitte

_{で発生したデータ侵害}

世界最大手の会計事務所の1つDeloitteが受けたサイバー攻撃は数か月にわたって 露見せず、クライアント6社が影響を受けました。同社の電子メール・システムは Azureのクラウド・サービスでホストされていましたが、その管理アカウントがハッカー に乗っ取られたことが原因として有力視されています。

Uber

で発生したデータ侵害

UberのAWSアカウントのログイン情報をハッカーが入手。保存されているデータに アクセスされ、顧客やドライバー5,700万人分の個人情報が流出しました。同社は このデータ侵害を公表せずに隠 を画策。事もあろうに、攻撃者に機密文書を削除し てもらうため、10万ドルを支払っていました。

UNC Health Care

ノース・カロライナ大学の医療機関で検診を受けていた1,300人を超える妊婦が深刻 なデータ侵害の被害を受けました。氏名、住所、人種、民族、社会保障番号のほか、 健康状態に関する各種の情報も流出しました。

78

%

主な懸 案事項として

I a a S

や

SaaS

_{のセキュリティを挙げて}

いる企業の割合

₁

64

%

過去1年間にフィッシング攻撃の

被害を受けた組織の割合

₂

国家がらみのマルウェア

「Vault 7」のリーク

4月、WikiLeaksのハクティビスト・グループはCIA由来とみられるハッキング・ ツールの情報をリーク。このリークにより、第5世代のサイバー攻撃で国家がらみの技術 がどの程度使われているか推し量ることができるようになりました。その膨大な数の ハッキング・ツールを入手すれば、CIAのハッキング能力をすべて手に入れたも同然と 言えるでしょう。問題のマルウェア群と数十種の悪質なゼロデイ・エクスプ ロイトは、AppleのiPhone、GoogleのAndroid、Samsung TV、Microsoft Windowsなど、欧米企業の製品をターゲットにしていると考えられています。

アメリカ国内の重要インフラ 選挙のハッキング

アメリカの連邦政府は、国家がらみとみられるAPT（Advanced Persistent Threats）グループ「Dragonfly」の活動について警告を発しています。国内のエネル ギー企業やその他の重要インフラ事業者の中核的な産業制御システムに狙いを 定め、各種の戦略や技術を組み合わせてサプライヤや信頼できる第三者のネット ワークからアクセスしようと試みているとのことです。

ヨーロッパ、中東、アフリカ地域（EMEA）で発生する攻撃の割合

EMEAで発生したランサムウェア攻撃の割合は2016年は28%でしたが、2017年には 48%まで増えています。チェック・ポイントのリサーチ・チームは、スキルの低いハッ カーでも非常に高度なマルウェアを利用できるようになった点が原因と見ています。 マルウェア「Fireball」の被害は約20%の組織で発生し、感染したコンピュータは 全世界で2億5,000万台を上回っています。また、WannaCryで大混乱が生じたのは、 国家の支援を受けた開発者の手による高性能の攻撃ツールや技術が使用されたことが 原因です。 ハクティビストやサイバー犯罪者はど ちらも、今では壊滅的な被害が及ぶ 国家がらみのマルウェアを利用するよ うになりました。 そうしたマルウェアの多くで共通して いる特徴は、公共機関の人的要因の 脆弱性を狙っている点です。 人命は言うまでもなく、地政学的な意味 でも多くのリスクを孕んでいるため、この 分野のサイバー・セキュリティについ ては世界中のあらゆる政府機関が真剣 に受け止めなければならないでしょう。 リチャード・クレイトン、APT調査部門 の責任者

前回のアメリカ

大統領選で、

50

州のうち

39

州が

ハッキングを受けたと

言われている

₃

巧妙な手口による仮想通貨の窃取

Youbit

_{のハッキング被害}

韓国の比較的無名な仮想通貨取引所Youbitから1億2,000万ドル相当のBitcoinが 盗み取られた事件では、サイバー犯罪者が仮想通貨の熱狂をうまく利用していた 事実が判明しています。サイバー犯罪者は貴重なデジタル資産を手間暇かけて採掘 するより、採掘した人から盗み取ろうとする傾向があります。昨年は仮想通貨の価格 が急騰したため、すでに数十億ドル相当が個人や取引所から窃取されています。

Confido

の詐欺被害

イーサリアム・プラットフォームのスタートアップ企業Confidoはイニシャル・コイン・ オファリング（ICO）の手法で数千人の投資家から37万4,000ドルの資金を調達した 後に、インターネットから姿をくらましました。多くの仮想通貨は未だに実世界での 有効な利用方法を模索している段階ですが、スタートアップでもICOで莫大な資金 を瞬時に集められるイーサリアムはすでに高い評価を得ています。

イーサリアムの盗難被害

イーサリアム・ネットワークのマルチシグ・ウォレット「Parity」で見つかった深刻なバグを ハッカーが悪用し、デジタル通貨史上2番目に被害額の大きい盗難事件が発生。 3,100万ドル以上の暗号通貨がわずか数分で3つの大規模なウォレットから抜き 取られていました。この事件では、急遽組織された善意のハッカー集団が即座に 攻撃者をブロックしていなければ、被害額はさらに膨れあがっていた可能性があります。 仮想通貨は匿名性が高いため、数少 ない早期利用者の中にはサイバー 犯罪者も含まれていました。しかし10億 ドルだったBitcoinの時価総額がわずか 1年で5,000億ドル（公表時点）まで 膨れあがった結果、誰もがデジタル通貨 のブームに気付くこととなったのです。 金銭目的の犯罪者はもはや大銀行を 狙う必要がなくなりました。彼らは現在、 デジタルの財布から金銭を抜き取る 斬新でクリエイティブな手法の開発に 集中して取り組んでいます。そうした 手法では価値の上昇が続くデジタル 資産を窃取するだけでなく、合法的に 採掘しているユーザの採掘リソースを 奪うこともできます。 スティーブ・ジョンソン、高度な脅威 対策部門の責任者

59

%

ランサムウェアを最大の脅威

と考えている企業の割合

4

ランサムウェアの脅威

WannaCry 悪名高いランサムウェア「WannaCry」の攻撃により、イギリスの国民保険サービス （NHS）では数千件の手術や診察がキャンセルになり、世界的にも数千の企業や 公共事業団体の業務が混乱に陥りました。被害を受けた組織にはスペインの通信 事業者Telefónicaやドイツの国有鉄道なども含まれています。この攻撃では組織の コンピュータ・システムがダウン。ファイルの暗号化を解きアクセスを回復する見返 りに、Bitcoinで身代金を支払うよう要求がありました。コンピュータが使えるように なるまでは紙とペンによる業務を強いられたのです。

NotPetya

全世界で大混乱を引き起こしたNotPetya。日用品や医薬品のメーカーReckitt Benckiserでも生産と出荷が滞り、1億ドルを超える損失が発生しました。このラン サムウェアの主なターゲットはウクライナでしたが、世界各国の企業が被害を受けて おり、その中にはデンマークの物流企業Maerskやアメリカの輸送サービスFedEx、 イギリスの広告代理店WPPも含まれています。NotPetyaの攻撃は感染したコン ピュータの制御を奪い、Bitcoin（300ドル相当）の支払いを要求するというもの でした。

Bad Rabbit

10月にも大規模なランサムウェア攻撃があり、重要インフラの事業者や医療、金融、 物流、ソフトウェア分野の企業や団体がターゲットとなりました。主に狙われた地域 はウクライナで、キエフ地下鉄、オデッサ空港、社会基盤省、財務省が混乱に陥って います。この攻撃は被害者のコンピュータの制御を奪い、暗号化を解く見返りに280 ドル相当のBitcoinを要求するというものでした。 ランサムウェアは1980年代後半から あるものですが、30年経過した現在、 急に注目を集めるようになりました。 1980年代は医療分野が主なターゲット でしたが、最近はあらゆる企業や個人 に被害が広がっています。 この手法が金銭の獲得に極めて有効 である以上、セキュリティ対策を導入 する必要性が企業や組織で共通認識 とならない限り、ランサムウェアは今後 も進化を続け、攻撃が収束することは ないでしょう。 タル・アイズナー、脅威対策の製品 マーケティング責任者

19

,

494

WannaCry

_{の攻撃が原因で}

キャンセルになった病院の

予約件数

5

2017年は大手メディアのWebサイト から重要インフラまでさまざまな対象が DDoS攻撃のターゲットになりました。 そうした攻撃の犯人は に包まれて いるため、正確な動機の調査は容易 なことではありません。主なものだけ でも、競合他社への嫌がらせから政治上 の目的まで多岐にわたります。 チェック・ポイントの調査によると、最近 は大規模なDDoS攻撃に利用された IoTデバイスの新規導入が見送られる ケースが増えています。そうしたデバ イスは認証機能に欠陥が存在し、攻撃 者による侵入や不正操作を阻止でき ないことが主な理由です。 ヤリブ・フィッシュマン、製品管理と 業種別セキュリティ・ソリューション の責任者

DDoS

_{攻撃の被害}

韓国の銀行に対する恐喝

「Armada Collective」を名乗るグループが韓国の銀行7社に分散サービス妨害 （DDoS）攻撃をちらつかせて、オンライン・サービスを混乱させない見返りに約31万 5,000ドル（Bitcoin）の支払いを要求しました。韓国の金融機関はサイバー攻撃のター ゲットになるケースが多く、2011年から何度も同様の脅迫を受けています。

イギリスの宝くじ

イギリスの宝くじのWebサイトが大規模なDDoS攻撃を受けてアクセス不能になり、 毎週発売される宝くじを多くの人が購入できなくなりました。さらに運営組織は、 この事件が発生した同じ月に「身代金（Bitcoin）を支払わないと大変な結果を 招く」という脅迫を受けていたのです。

スウェーデンで発生した攻撃

スウェーデン交通局（Trafikverket）の交通機関が利用しているISPが10月に立て続 けにDDoS攻撃を受け、電車の運行が大幅に遅延し、多くの通勤客に影響が及びま した。この攻撃で交通庁の電子メール・システム、Webサイト、渋滞マップが利用不 能となり、鉄道などの各種サービスを手作業で管理しなければならなくなりまし た。

24

%

過去1年間にDDoS攻撃を

受けた企業の割合

6

侵略的なモバイル・マルウェア

CopyCat

とExpensiveWall

全世界で1,400万台以上のデバイスに感染したCopyCatは、旧式のデバイスに偽の アプリをインストールする手法で大金をせしめるモバイル・マルウェアです。この攻撃 を仕掛けたハッカーは、わずか2か月で偽の広告から約150万ドルの収益を獲得しま した。Google Playストアでは、ユーザの許可なく有料サービスに登録するAndroid マルウェアの新しい亜種「ExpensiveWall」も見つかっています。このマルウェアは Google Playに潜伏して、少なくとも50種のアプリに感染していました。感染した アプリはGoogleが削除するまでに、100万回から420万回ダウンロードされてい ます。

サイバー犯罪集団「Lazarus」がモバイルへ

Samsung製のデバイスと韓国語を話すユーザを狙った新しいマルウェアが、韓国語 の聖書アプリなどで見つかりました。サイバー犯罪者集団「Lazarus」は北朝鮮との 関係が取りざたされており、韓国のユーザを狙った攻撃にはこのグループが関与して いると多くの人が信じています。

プレインストールのモバイル・マルウェア

チェック・ポイントが実施したモバイル脅威に関する調査によると、回答したすべて の組織が過去1年間にモバイル・マルウェアの攻撃を受けており、89%がWi-Fiネッ トワーク経由の中間者攻撃を少なくとも1回は受けていました。また、2つの会社の 36台のAndroidデバイスで、出荷過程のいずれかの段階でプレインストールされた マルウェアが見つかっています。一部のマルウェアにはシステム権限まで付与されて おり、ユーザによる削除が不可能だったため、メモリの書き換えを迫られました。

マルウェアが仕込まれていたGoogle

Play

_{ストアのアプリのうち、ダウン}

ロードしたユーザ数が1億600万人を

上回ったアプリの数

7

300

以上

モバイルの被害に関するチェック・ ポイントのレポートでも触れてい ますが、すべての大企業が過去1年 間にモバイル・マルウェアの攻撃 を受けています。 それどころか、最も信頼性の高い アプリ・ストアでも定期的あるいは 常に悪用されている脆弱性があり、 悪意のあるアプリが配布されてい る事実も判明しました。 サイバー攻撃が第5世代に入って 犯罪者がより広範囲に活動できるよ うになり、攻撃を仕掛けるチャンス も増えているのが実情です。また、 BluetoothやWi-Fi経由の新しい 脆弱性が表面化した結果、組織だ けでなく一般のユーザも含めてモバ イル・デバイスに起因するリスクに 注意することが必要となっています。 ジェレミー・ケイ、モバイル・セキュリ ティの責任者

モバイル・マルウェアの攻撃を

受けたことがある企業の割合

8

100

%

ボットネットの拡大

ボットネット「Hajime」 ボットネットのHajimeは悪名高いMiraiと同様、Telnetポートが開いており、パス ワードもデフォルトのままの脆弱なデバイスを通じて拡散します。Hajimeは30万台 以上という驚くほどの規模まで膨れあがりましたが、その目的は今もって判明してい ません。IoTからMiraiを除去する意図があると推測する人もいますが、悪意を持って 使おうと思えば簡単に転用が可能です。

BlueBorne

新たに見つかった攻撃経路のBlueBorneは8つの異なる脆弱性の総称であり、 Android、iOS、IoTデバイス、Windows、Linuxが影響を受けます。BlueBorneは 「自己拡散型」で、攻撃者からの指令がなくてもデバイスからデバイスへと拡散し、 大規模なボットネットを形成します。この攻撃はユーザの操作を必要とせず、 Bluetoothさえ有効であれば前提条件もなく、特別な設定も必要ありません。

IoTroop

「IoTroop」は驚くべき速度で進化しIoTデバイスを取り込んでいった最新のボット ネットで、2016年のMiraiより大きな被害が出る可能性があります。IoTソフトウェア やハードウェアのセキュリティ・ホールを介して拡散し、100万以上の組織が影響を 受けたとの見立てもあります。このボットネットの攻撃はまだ始まっていませんが、 実際に始まった場合には甚大な被害が広がる可能性があります。

2

週間で

2

割

の組織に

感染したボットネット。

脅威を完全に除去できる

まで1年を要した

₉

サイバー・セキュリティの

最新動向

図1:主要なマイニング・マルウェアの 攻撃の割合10 52% 16% 5% 6% 8% 13% Coinhive Cryptoloot Coinnebula Rocks Schemouth その他

マルウェアと仮想通貨の出会い

流行に敏感なマルウェアの開発者は、感染の拡大と効率アップのため新しい技術を積極的に取り入れる傾向があります。2017年に 価値が急騰した仮想通貨もそうした技術の1つです。 サイバー犯罪者が仮想通貨を利用する目的はいくつかあり、例えば、マイニング・ツールのマルウェアを利用して一般ユーザの コンピューティング・リソースを盗用し、仮想通貨を採掘するケースもあります。そうしたマルウェアは、Torrentのダウンロード・ サイトや、広告ブロック機能を利用するWebブラウザを通じて拡散しています。 サイバー犯罪者の手口には、採掘した仮想通貨の共有をユーザに促すタイプもありますが、それは違法な広告を表示したり、 別の不正行為を行ったりすることが本当の目的です。 さらに高度な攻撃になると、仮想通貨の採掘という時間と労力を要する手法はとらず、銀行強盗のような「従来型」の手法で 仮想通貨取引所から直接盗み出すようになります。もちろん取引所への侵入が難しい場合は、仮想通貨のウォレットのログイン 情報を不正に入手する場合もあります。

Mac OS

_{をターゲットとするマルウェア}

2017年はAppleのMac OSを狙った攻撃が増加した年でした。以前はそうした攻撃は かでしたが、最近は現実的な脅威となっ ています。残念ながら、マルウェアの開発者はAppleの防御機能をすり抜け、MacやiOSのユーザをターゲットにする効果的な手法 を見つけてしまったようです。 ただし、この信頼性の高いオペレーティング・システムを狙ったマルウェアが増えていると言っても目的はさまざまです。最も有名な OSX/Dokはネットワークのすべての通信を傍受し、パスワードなど機密性の高い情報の入手を狙っています。 皮肉な結果ではありますが、Mac OSのユーザがオペレーティング・システムのセキュリティを信頼しきっていることが、被害の拡大 の大きな原因になっているようです。他のオペレーティング・システムと異なり、Mac OS向けのセキュリティ・ソリューションは 種類が少なく、導入しているユーザも多くありません。このため、標準の保護機能をすり抜けた時点で、攻撃者の行動を阻止する 術がなくなってしまいます。 Macユーザの多さは攻撃の対象を広げたいハッカーにとっては非常に魅力的であり、これまでにWindowsで確認された傾向が、 今後はMac OSに波及する可能性があります。このため、Macユーザにはセキュリティのアップグレードが必要となり、ゼロデイ 攻撃を阻止できる専用の技術の導入も求められることになります。 15.3% 8.3% _7.9% 7.2% 4.9% _{4.7% 4.7%} 4.5% 4.5% _4.3% Roug hTed Glob eImpo ster 図2:世界的に最も拡散しているマルウェア: 企業ネットワークで検出された各マルウェアの 割合。11

世界の主要なマルウェア

-

_トップ10

マルウェアの大規模な展開：

産業用ボットネットの台頭

2016年に発生した悪名高いボットネット「Mirai」は世界規模の混乱を引き起こしました。悪意のあるボットネットが広く拡散した 2017年は、「Mirai」が示した「未来」が確実に訪れていたのです。 その上、PCとモバイルの両方でボットネットの機能性と有害性が高まっており、従来を上回るレベルの大規模な攻撃が展開され ています。 特にチェック・ポイントが発見した自動クリック・アドウェアの「Judy」は、最大で1,850万回ダウンロードされており、Google Play経由のモバイル・マルウェアの感染としては過去最大と考えられます。 ボットネットに共通する主な特徴に、スケール・メリットを活かした目標の達成があります。DDoS攻撃、仮想通貨の採掘、不特定 多数への広告の表示など目的がいずれであっても、できるだけ多くのデバイスに感染することが成否の を握り、通常の手段で 攻撃を根絶することは不可能と言ってよいでしょう。より高度なマルウェアの検知機能と防御機能を導入し、精度の高い保護 対策を確立することが極めて重要です。

マルウェアの開発者は一流から学ぶ

サイバー・セキュリティの世界は攻撃側と防御側の「いたちごっこ」に例えられますが、実際、次世代のマルウェアの開発者は 現在の最先端の戦略を用いてセキュリティ対策を回避し、常に防御側の一歩先を進んでいます。彼らは敵であるセキュリティ 企業から学ぼうとする謙虚さも備えており、そうした傾向はますます強まっているようです。 2017年5月に発生したWannaCryの攻撃では「EternalBlue」という脆弱性が利用されましたが、これなどが好例と言えるでしょう。 しかしこのケースでも他の多くの事例と同じように、最新のセキュリティ・パッチの悪用やそうしたパッチの未適用が攻撃の成功 につながっています。NSAで最初に検知されたこの攻撃は、EternalBlueを利用してネットワークに侵入し、内部で拡散が進行し ました。セキュリティのアップデートを怠っていた組織は、大きな代償を支払う結果を招いています。 Vault 7のリークでも同様の発見があり、CIAがモバイル・デバイスのハッキングに利用していたコードの一部が、ごく普通のマル ウェアから借用したものである事実が判明しました。企業や個人ユーザが学ぶべきポイントは、すべてのサイバー脅威が出自 に関係なく相互に関連しており、その点を考慮に入れなければコンピュータ・ネットワークを適切に保護できないという点です。 図3:主要なランサムウェアの攻撃 （全体に占める割合）12 26% 15% 3% 30% 6% 9% 11% Locky GlobeImposter WannaCry Jaff Cryptolocker Crypt その他

1990

2017

2000

2010

第

1

_世代

PC

_への攻撃 （ウイルス） 第

2

_世代 ネットワークへの 攻撃 第

3

_世代 アプリケーション の脆弱性悪用 第

4

_世代 多様なコンテンツ （ペイロード） 第

5

_世代 大規模攻撃

第5世代の波：

大規模なサイバー攻撃

振り返ってみる限りにおいては、攻撃やセキュリティ製品の世代を区別するのは難し いことではありません。 しかし攻撃の進化の速度は、組織に導入されているセキュリティのレベル をはるかに上回っています。 実際、ほとんどの組織のセキュリティ対策は第2世代か第3世 代の攻撃を想定していますが、攻撃側はすでに第5世代ま で進化を遂げているのです。 これは大きな問題です。

最新のサイバー・セキュ

リティ技術を導入してい

ない組織の割合

₁₃

97

%

20% 16% 5% 34% 6%8% 11% Ramnit Zeus Tinba Qbot Trickbot Dyreza その他 図4:世界の主要なバンキング・マルウェアの 全体に占める割合（攻撃の件数）14

金融業界：

世界を動かす原動力

はじめに

証券会社のスタッフや銀行の出納係が、電話やタイプライターの音に負けじと大声を張り上げていたのは遠い昔の話です。今や 金融業界の中心はコンピュータであり、毎日大量の取引がオンラインでやり取りされているため、攻撃のターゲットになるのは 避けられません。 金融業界を狙ったサイバー攻撃が金銭目的であることは間違いありませんが、狙われているのは金銭だけとは限りません。

問題

金融業界は主にSWIFTネットワーク、消費者対象のバンキング・ マルウェア、および情報窃盗の3分野でサイバー脅威に直面し ています。

台湾の銀行「Far Eastern International Bank」から6,000万 ドルもの大金が盗まれたのは去年の10月ですが、この事件か らもわかるように専用のバンキング・システムは未だ攻撃に 対する脆弱性を解消できていません。このケースでは、PCや Webサーバと同様に、行内で使用するSWIFT端末にもカス タム・マルウェアが仕込まれていました。その状態であれば、 犯罪者は支払いの送金に必要なログイン情報を入手可能で、 SWIFTネットワークで行われる送金の改ざんもできるように なります。 ただし現在、銀行では顧客の口座への攻撃を検知し阻止する ために多くのセキュリティ対策を導入しているため、バンキング・ マルウェアの数は減少傾向にあります。 しかしその結果として、マルウェア開発者は銀行の厳重な防御を 避け、より扱いやすいターゲットに目を向けるようになりました。 銀行口座に侵入する攻撃が減少した一方、今度はランサムウェア による攻撃が増加しています。ターゲットのコンピュータを 使用不能にするだけで、その被害者から身代金をせしめるこ とができるのです。 ただしPCの世界ではマルウェアはバンキング型からランサム ウェアにシフトしていますが、モバイル・バンキングを狙うサイ バー犯罪は未だ衰えていません。実際、モバイル・バンキング の普及は、モバイル・デバイスを狙った攻撃に無頓着な利便性 重視のユーザに新たなリスクをもたらしています。 サイバー攻撃の脅威に直面している対象としては、銀行やクレ ジット・カード会社が保有している情報もあります。例えば 今年、Equifaxから米国市民の約半数の機密情報が漏洩した 事件はその具体例です。 そして最後となりますが、これからの金融の基盤としてブロック チェーンが注目され始めている中、ハッカーも金融分野の最新の トレンドである仮想通貨をターゲットとして選ぶようになってい ます。昨年12月、世界最大の仮想通貨取引所であるBitfinexは、 大規模なDoS攻撃を受けて取引の停止に追い込まれました。 これはあくまで最近の攻撃の例であり、この市場を狙った攻撃 は数百万ドルの被害に遭ったケースも含めて多数の事例が確認 されています。

アドバイスと推奨事項

SWIFTネットワークの悪用を阻止するためには、金融機関は 標準的なセキュリティ対策だけでなく、最高レベルの攻撃で も阻止できる最先端の保護機能を導入する必要があります。 台湾の銀行で起きた事件も、高度なフォレンジック機能を 利用し、影響を受けたファイル、開始されたプロセス、シス テム・レジストリの変更、ネットワーク・アクティビティといった エンドポイントのすべてのイベントを監視、記録して包括的に 可視化していれば難を逃れることができたかもしれません。マル ウェアの動作を追跡してレポートし、痕跡を消し去ろうとする 攻撃者の試みも阻止できるソリューションを導入する必要があ ります。 悪意のあるファイルによってランサムウェアが拡散する事態 を防ぐためには、未知のものも含めてすべての脅威をブロック できる高度な対策が不可欠です。監視、ロギング、レポート 作成、イベント解析の機能を統合し、データの相関分析と有益 な攻撃情報を提供できる脅威除去/エミュレーション・シス テムがあれば、ITセキュリティ・チームの時間の節約にもつ ながります。 金融機関が理解しておくべきことは、クラウドに保存されている データの保護はクラウドのサービス・プロバイダとの共同責任 であるという点です。金融機関の側で確認されているすべて の脆弱性にパッチを当てるのはもちろん、ゼロデイ攻撃対策 に加えて拡張性と即応性が高い自動の転送管理機能も備え ている、総合的なクラウド向け脅威対策ソリューションを 導入する必要があります。 ユーザはそれぞれ自分のモバイル・デバイスにアンチマルウェア・ ソリューションを導入する必要がありますが、金融機関も顧客 が利用するバンキング・アプリに高度なモバイル・セキュリ ティ・ソリューションを直接組み込んだ方がよいでしょう。 この対策によりマルウェアの脅威やSMSを利用したフィン シング詐欺（SMiShing）、認証に関わる問題の阻止に加えて、 モバイル・オペレーティング・システム自体の脆弱性にも対応 することができます。 ここでヒントを紹介すると、セキュリティの監視や制御を厳密に行 えば、それだけ攻撃者の意欲をそぐことができます。これは、 PCを狙ったバンキング・マルウェアが衰退した事実からも 明らかです。 また、ブロックチェーンのような新しい技術が登場すると、銀行 では現在のセキュリティ・インフラを見直し、次世代のサイ バー・セキュリティ技術に移行することがどうしても必要とな ります。銀行ではこのような取り組みを通じて金庫の扉を確実 にロックし、金銭を盗み取ろうとするサイバー犯罪者の試みを すべてブロックすることができます。

小売業界：商品購入

概要

小売業者のネットワークの奥深くにはクレジット・カード情報や顧客の個人情報が数千件から数百万件も保存されているため、 犯罪者がこの分野までターゲットを広げるのは当然です。 サイバー犯罪者は以前からPoS端末の悪用や小売業者のネットワークのハッキングによって、顧客情報やクレジット・カード情報 を盗み出しており、その手法も年々巧妙化しています。実際、そうした攻撃の規模は拡大傾向にあり、深刻度は増すばかりです。 55% 5% 6% 6% 7% 8% 8% 5% Hiddad Triada Lotoor ZergHelper HummingBad Ztorg Bosuoa その他 図5:世界の主要なモバイル・マルウェア。 モバイル・デバイスで商品を購入する人が 増えると、モバイル・マルウェアを拡散した いという開発者の意欲が高まります。15

問題

サイバー犯罪者はオンライン・ショッピングやデジタル・マーケティング、ロイヤ ルティ・プログラムで送信される顧客の個人情報やクレジット・カード情報を狙っ ており、全体の3分の1以上の小売業者がサイバー攻撃を経験している事実も、 その理由を理解するのは難しいことではないでしょう。 盗まれたデータが闇市場で販売される際の単価は20ドルに上るケースもあり、住所 や電話番号、誕生日、購入履歴などを含めたクレジット・カード情報がサイバー 攻撃の主要なターゲットになっています。 昨年の初めに起きたGameStopのデータ漏洩などは、その具体的な事例です。 数千人分の顧客の名前、住所、クレジット・カード情報（セキュリティ・コードを 含む）を盗んだハッカーは、それらの情報をダークWebで売りさばいていました。 また、これまでChipotle、Kmart、Brooks Brothers、Target、T.J.Maxxなどの 小売業者がPoSへの攻撃を受けていますが、新たにForever 21も被害者リストに 加わりました。ハッカーは同社が2年前に導入したトークンや暗号化のソリュー ションを無効にして、顧客の支払い情報にアクセスしています。 ショッピング・サイトAliExpressに対するチェック・ポイントの調査で明らかに なったように、小売業者の顧客データへのアクセスにはフィッシング攻撃も 利用されています。AliExpressのケースではフィッシングとXSS攻撃の組み合 わせにより、被害者の不信払拭に効果があったようです。過去1年間を考えても、 Amazon、Best Buy、Walmart、Nikeといった大規模小売業者のすべてがオン ライン・ショッピング詐欺の「ワナ」として利用されています。 金銭的な損失だけでなく、評判の悪化という点でも被害は甚大に及びます。盗まれ たデータの単位あたりの損失は平均172ドルに上るという推計もあります。この 金額には問題箇所の修正やシステム停止により失われた売り上げ、行政処分による 罰金、訴訟費用なども含まれています。また、チェック・ポイントの調査では、小売 業者がサイバー攻撃を受けた場合に、その業者の利用を止めるという消費者は最大 で20%に達するという結果が出ています。対策次第で回避できる被害にしては、 これはかなり大きな代償と言えるでしょう。

20

%

サイバー攻撃を受けた小売

業者は利用したくないという

消費者の割合

₁₆

3

分の1

サイバー攻撃を受けた経験

がある小売業者の割合

₁₇

アドバイスと推奨事項

2018年5月から施行されるEUの一般データ保護規則（GDPR） は全世界に影響が広がると考えられており、特に小売業者に 大きな影響が及びそうです。データ侵害の影響を受けないよ うにするには、動的なセキュリティ・アーキテクチャを採用し、 リアルタイムの保護で随時セキュリティ機能を更新する必要 があります。 まずは包括的なセキュリティ戦略の一環として、通常業務が PCI DSS（カード情報セキュリティの国際統一基準）の要件 を満たすようにしください。そのためにはセキュリティ機能を 積極的に監視し、効果的で正常な動作が保たれるよう努めます。 また、セキュリティ・ポリシーの監査がリアルタイムで行われる こと、ファイアウォール、アンチウイルス、IPS（侵入防御シス テム）、DLP（データ損失防止）などのセキュリティ機能の設定 と動作が適切である点も重要です。 PoSデバイスを使用している小売業者は、顧客のデータ を保護するため、クレジット・カードを使ったすべての取引に エンドツーエンドの暗号化を適用します。さらに、ネット ワークの防 御は1つの境界ではなく、複 数のアクセス・ ポイントからなる範囲として捉えるようにしなければなりま せん。 実施、制御、管理からなる多層的なアプローチの導入も不可欠 です。コンピュータに侵入して顧客情報を収集し、外部に送信 するマルウェアを検出し、ブロックできるよう、ゲートウェイと エンドポイントでの防御計画を策定することをおすすめします。 また、セキュリティ・ポリシーと自動保護についても管理者の 意見を反映して策定し、アクセス制御とデータ・セキュリティ・ ポリシー（実施ポイントを含む）を明確に定義したルールを確立 する必要があります。 最後に、攻撃を受けた場合にビジネスの機能停止や評判の 悪化が生じないよう、対応計画を策定しておくことも重要です。 この計画はそれぞれの役割や相互の連携を徹底したうえで、 関係者全員でしっかり予行演習しておくようにしてください。

医療：セキュリティにも手当が

必要

概要

サイバー・セキュリティの観点から見て、最も脆弱な分野と 言えば医療業界でしょう。弱い立場の人々に対応する組織が、 自らの脆さを問われているのです。 多くの人命に責任を負う立場にある医療機関は、ゆすりや恐喝 の格好のターゲットになります。機密情報の漏洩や業務の停止 は絶対に避けなければなりません。

問題

医療業界はどのような場合でも医療機器の稼働時間を最大限 に確保しなければならず、メーカー側が求めるハードウェア のアップデートを実施できないケースも珍しくありません。 こうした事情から、2017年5月に発生したWannaCryの攻撃 では医療業界が最大の被害を受け、イギリスの国民保険サー ビス（NHS）などは大規模な業務停止に追い込まれました。 NHSのケースでは、MRI検査、検体検査、調剤などで使用 するコンピュータがオフラインになり、診察の予約や手術 が何千件もキャンセルになっています。

医療業界は個人情報の窃取、詐欺、あるいはダークWeb対策 によりでの販売を目的に、大量の機密情報を狙っているハッ カーのターゲットにもなります。ミシガン州デトロイトの医療 施設Henry Ford Health Systemで昨年発生した事件では、 患者のデータ18,000件以上が盗まれました。 また、昨年から注目度が高まっている攻撃経路の1つに、医療 機器自体の脆弱性があります。 実際、ランサムウェア「WannaCry」の攻撃はイギリスの20万台 以上のWindowsシステムに影響し、アメリカなどでは医療機器 メーカーBayer Medradの放射線機器にも被害が及んでい ます。そうしたデバイスが原因の被害は表面化しないケースが 多々ありますが、医療機器が停止すればいつもより多くの人手 が必要になり、治療が遅れ、医療ミスが誘発されることもあり ます。 想像するだけでも恐ろしい事態です。ハッカーが既存の脆弱性 を悪用し、リモートから患者の健康を左右できる状況は重大 な脅威であり、前もって対処しておかなければなりません。

アドバイスと推奨事項

患者が必要な救急サービスを確実に受けられるようにするには、 ネットワークに対する高度な脅威を検出できるだけでなく、 そうした脅威を侵入段階から遮断できるソリューションが 欠かせません。つまり、脅威のエミュレーションや除去の技術 だけでなく、ファイアウォール、IPS、アプリケーション制御、 アンチボット、アンチスパムの機能も備えた総合的なソリュー ションが必要となります。 医療機関の場合はCPUレベルにおいて脆弱性の悪用を検出する 機能も不可欠です。これにより、一般的なサンドボックス技術を 回避するマルウェアをブロックし、WannaCryのような高度な 脅威からネットワークを保護することができます。また、業務の 流れを妨げることなくバックグラウンドでファイルをチェックし、 埋め込みコンテンツを除去したうえで無害化された文書を配布 する機能も効果的です。 さらに、ネットワークをなるべくシンプルに保ち、バージョンが 異なるソフトウェアの使用を最小限に抑え、単一のユーザ・イン タフェースから監視することも重要です。この結果、システム を最新の状態に維持しやすくなり、必要なタイミングでセキュ リティ・パッチを適用できるほか、脅威の状況の監視も容易に なります。 そして最後に、IoTデバイスを保護するためには、現場で各種 デバイスの接続状況を詳細に調べて把握する必要があります。 この取り組みを徹底して初めて、デバイスのセグメント化や アクセス・ポリシーの設定を適切に行うことができます。深い レベルのパケット検査やURLフィルタリングで潜在的な攻撃 の発生を抑止し、デバイスで保持されるデータや実行され る処理の完全性を確保するためには、このような対策が有効 となります。

進化を続ける製造業界

概要

18世紀のイギリス、マンチェスターが発祥の産業革命以降、製造業は100年おきに革命を経験しています。しかし絶え間なく技術 が進歩する現代は、以前より速いペースで時代が移り変わっており、今は制御装置を使ったオートメーションの時代からスマート・ ファクトリー（インダストリー4.0）の時代へと徐々にシフトしている状況です。 インダストリー4.0では生産の効率が高まり、サプライ・チェーンのプロセス全体でデジタル化が推進されますが、新しいサイ バー・リスクや脅威のリスクも生まれます。

問題

2017年5月に突如として事件が発生するまで、多くの製造業者は自社工場だけはサイバー犯罪のターゲットにならないと信じてい ました。このとき発生したWannaCryの攻撃では、ヨーロッパにあるルノー・日産の自動車工場と日本国内のホンダの工場で生産が 停止し、企業の生産サイクルが世界規模の大混乱に陥りました。同じ年の夏にはランサムウェア「NotPetya」の攻撃も発生して いますが、被害を受けた企業の約半数が製造業者でした。 とはいえ、サイバー攻撃を受けるリスクがあるのは生産工場だけではありません。どの製造業者にも顧客の情報はもちろん、研究 開発のデータや設計プランも含めて喪失や盗難が許されない重要な情報があります。現在、製造業者のリスクは多岐にわたり、 その規模も急速に拡大しているのが実情です。 新たな産業革命を迎えるにあたり、製造業のバリュー・チェーンで運用技術 （OT）と情報技術（IT）を統合する際には、そうしたリスクに対抗する総合的な 戦略を策定することが不可欠となります。 サプライ・チェーンのほかビジネスや工場の管理用デバイスもカバーする広大な ネットワークでは、侵入口となるアクセス・ポイントも増えるため、組織としては 不正なアクセスを防止できるようアクセス・ポイントを保護する対策を検討しな ければなりません。

過去1年間にフィッシング

攻撃を受けている製造業者

の割合

₁₈

82

%

アドバイスと推奨事項

製造業でも他の業種と同様に、従業員がITセキュリティの 基礎知識を身に付けられるよう、サイバー・セキュリティの 教育プログラムを取り入れる必要があります。 また、生産現場のリスク評価で最も重要な資産を特定し、 その場所やアクセス権限、保護の方法を確認することも重要 です。その過程では、業務内容、DSN、産業用制御システムの ほか、オンライン上のすべてのデバイスまで含めて余すところ なく点検するようにしてください。OTとITのセグメント分け などセキュリティを確保できる有効な対策も欠かすことがで きません。 ICS/SCADA専用の技術を導入することも必要です。生産 環境の不正操作を防ぐためには、機械とその管理システムの 間で行われるMQTT/BACnet/Modbus通信など、SCADA プロトコルの深いレベルのパケット検査も怠ってはなりません。 さらに、ICS/SCADAトラフィックのきめ細かな制御を含めた 高度な可視化機能、ICSシグネチャを使った仮想パッチ機能や、 過酷な環境に耐えられる堅牢性の高いアプライアンスが って こそ、有効なソリューションと言えるのです。 セキュリティ・アプライアンスとクラウドの脅威エミュレーション・ サービスを併用してゼロデイと未知のマルウェアに対処す れば、CPUレベルの検査などきめ細かな手法でネットワーク をランサムウェアから保護できます。 さらに、社内の情報への不正アクセスを防止するには、プログ ラム制御、アンチフィッシング、アンチスパイウェア、データ・ セキュリティ、リモート・アクセス機能を組み合わせ、統合型の セキュリティ・アーキテクチャによる包括的なエンドポイント 保護対策を実施します。 インダストリー4.0の保護は対象範囲が広く複雑ですが、組織 が導入して効果的に利用できるベーシックかつ標準的な手法 が数多くあります。 こうしたアプローチと強力なアクセス制御機能を組み合わせ ることで、ミッション・クリティカルな運用技術のセキュリティ をアプリケーション・ポイントとエンドポイントで確保し、データ とプロセスの両方を保護することができます。

国の安全保障

概要

各国の政府は、国家と個人の重要な情報を保有しています。エネルギーや外交など政策に関する情報だけでなく、各国民の機密 情報が集約される政府機関をハッカーが狙わないはずがありません。 新しい技術の導入やオンライン・サービスの定着により、政府機関は攻撃経路の増加という問題に直面しています。そうした新しい 取り組みが必要なのは間違いありませんが、それに伴って発生するリスクを評価し、対策を講じることも非常に重要です。 js exe pdf vbs その他 doc 4% 8% 13% 28% 38% 9% 図6:ユーザのコンピュータへの感染 に使用されることが多い不正なファ イルのタイプ19

問題

政府機関を狙った攻撃には国家がらみの技術がよく使用さ れており、高度かつ巧妙で持続的な犯罪者集団（Advanced Persistent Threat（APT）グループ）が絡んでいるケースが 多々見られます。 APTグループは安易なターゲットを狙わず、慎重に対象を選んで、 侵入を果たすまで執拗に攻撃を繰り返します。防御が極めて 難しいネットワークのセキュリティ・ホールに狙いを付け、必要 に応じてカスタム・ツールまで作成します。 政府機関を狙った攻撃で最も一般的な手法の1つは「フィッ シング」です。2017年6月にはデンバーの公立学校（米国コロラ ド州）のシステムに侵入し職員名簿を入手した犯罪者が、 フィッシング詐欺を仕掛けて職員から4万ドルを盗み取りま した。この攻撃では、ネットワークのセキュリティの最も脆弱 な部分である「人的要素」が狙われました。こうしたケースの フィッシング・メールは、被害者と普段からやり取りがあるか、 被害者が信頼しているアドレスから送信されてきたように装っ ています。 クラウド・アプリケーションではアカウントの乗っ取りが頻繁 に発生します。昨年初めにイギリスの多くの政治家が受けた 電子メール・アカウントの侵害でも乗っ取りがあり、総当たり の攻撃（ブルートフォースアタック）では首相のアカウントも 被害に遭っていました。 また、2017年6月にウクライナ国営の銀行、電力網、空港で 発生した事件でも明らかなように、世界的に展開されたランサ ムウェア「NotPetya」の攻撃では政府のインフラもターゲット になっています。この攻撃は国のインフラの運営を妨げただけ でなく、民間工場が稼働停止に追い込まれて国の経済も大きな ダメージを受けました。 こうした脅威は軽視できません。結果として、攻撃者の要求を 呑まざるを得なくなる、経済が悪化する、国家主権が侵害さ れるなどの多大な影響があるからです。新しい技術の登場が、 政府職員にとっては悪夢になり得るのです。

アドバイスと推奨事項

次世代の多様なフィッシング攻撃を阻止するためには、多次元 の新しいアプローチが求められます。具体的には、電子メール のインフラを保護し、高精度のアンチスパム機能を備え、電子 メールに潜む各種のウイルスやマルウェアから政府機関を保護 できる必要があります。 イギリス議会で起きたようなアカウントの乗っ取りを政府機関 で防ぐには、ネットワークとデバイスの情報を組み合わせて利用 するセキュリティ・ソリューションが不可欠です。しかも、ネット ワークやエンドポイントのセキュリティ状況を深いレベルで検査 できる必要があります。 現行の技術は必ずしも十分なセキュリティを確保できず、導入が 困難な面もあるため、及第点を取れる対策は多くありません。 ユーザの操作に影響がなく、動作を意識せず簡単に使用できる 新しい技術が必要です。また、不正アクセスを阻止する決断を、 決定論的な判断からリアルタイムで行えることも重要です。 ゼロデイ攻撃には為す術がないという時期もかつてはありま したが、もはやそういう状況ではありません。近年は未知の 攻撃を検出してブロックできる技術も開発されています。そう した技術は、特定の政府機関に狙いを定め、ランサムウェアを 使った攻撃を開発するAPTグループへの対抗手段として使わ れています。 政府の重要インフラはサイバー攻撃への備えを考慮せずに構築 されているため、多くの脆弱性が見つかりますが、最近はそう したインフラを狙った攻撃が増加傾向にあります。 しかし、現在は専用のソリューションが提供されており、それを 利用すればセキュリティを確保しながらインフラをシームレス に運用できます。

過去1年間にデータ侵害

の被害に遭った官公庁

の割合

₂₀

32

%

概要

「今日は責任から逃れたとしても、明日の責任から逃れることはできない」とは、 エイブラハム・リンカーンの言葉です。これはサイバー・セキュリティの分野でも通用 する戒めでしょう。 このセクションではネットワークやデータに関して今後発生が見込まれる脅威を 確認し、次のセクションではどのように備えればよいのか説明をします。

クラウドとモバイルがセキュリティ

の主な対象に

モバイル・デバイスは、今やどの国でもITのエコシステムや事業活動に組み込まれて います。しかしほとんどの組織で言えることですが、モバイル・デバイスのセキュリティ 対策が、保存されている資産の価値に見合ったレベルに達していません。モバイルの オペレーティング・システムと技術には今後も脆弱性が避けられないと予想できるため、 組織ではモバイル・マルウェアや通信傍受に備えて高度な保護機能を導入する必要 があります。 モバイル・マルウェア（特にモバイル・バンキング・マルウェア）も同様で、最近注目の MaaS（Malware-as-a-Service）プラットフォームを利用すれば、技術的なスキルが 高くなくてもマルウェアを使用し、簡単に攻撃を仕掛けることができるため、MaaS の進化と成長に合わせて今後も増加を続けると考えられます。 また、近い将来、モバイル向けのマイニング・ツールが登場し、仮想通貨の不正な採掘に 利用される事態も予想されます。現時点でマイニング・ツールの影響を受けてい るのはWebサーバとPCですが、モバイルのセキュリティ対策が進んでいない現状 では、新たな攻撃チャネルとして利用される可能性が高いと考えられます。

77

%

自社のセキュリティ･チーム

が現在のサイバー･セキュリ

ティの課題に対応できてい

ないと感じているITエキス

パートの割合

21

クラウドへの移行

企業は競争の激しい世界でビジネスの収益性をこれまで以上に高めたいと考えてい るため、社内のデータがクラウドへ移行するペースは今後ますます速くなっていくで しょう。 即応性とコスト削減のメリットがあるクラウドは多くの企業で利用されていますが、 比較的新しい技術であり、未だ進化の途上といった状況です。このため、企業の システムの奥深くへアクセスを試みるハッカーにとっては、より多くのバックドアを 利用できる状態になっています。 このような状況下で、必要なセキュリティのレベルに広く誤解が生じており、セキュ リティの責任共有モデルについても理解があまり進んでいません。つまり、データ侵害 が発生しやすい状態になっているのです。 2017年にチェック･ポイントのインシデント対応チームが処理したセキュリティ･イン シデントの半数以上はクラウド関連で、さらにその半数以上がSaaSアプリケーション またはホスト型サーバのアカウントの乗っ取りでした。特にクラウドのファイル共有 サービスの利用が増加している結果、クラウドに移行する組織の懸念事項は今後も データの漏洩が多くを占めることでしょう。

IaaSだけでなく、利用が拡大しているOffice 365やGoogleのG SuiteなどSaaS ベースの電子メールもサイバー犯罪者の魅力的な対象であり、2018年はターゲット となるケースがますます増加すると見込まれます。 さらに、脅威への対策が不十分だと重いペナルティにつながる可能性があり、GDPR など地域ごとの新しい規制に準拠していない企業には罰則が課される場合も予想さ れます。

50

%

チェック･ポイントのイン

シデント対応チームが処理

したクラウド関連のセキュ

リティ･インシデントの

割合

₂₂

ネットワークのセキュリティ確保

ランサムウェアは犯罪者にとっては非常に効率的な恐喝ツールであり、さらに破壊的な目的にも利用できます。一般の消費者から 企業まで、あらゆるタイプのユーザに利用できるランサムウェアは今後も被害が拡大すると考えられ、WannaCry、NotPetya、Bad Rabbitよりさらに大規模で組織だった世界的な攻撃が発生する可能性もあります。 また、コンピュータのロックを解除する身代金を低額に抑える代わりに、マルウェアの拡散を被害者に要求する、「友達紹介」方式と も呼べる新たな戦略が出てくるケースも考えられます。 オペレーティング・システムのセキュリティが向上すれば、その脆弱性を狙った 攻撃は減少することになるでしょう。ただしその一方、人的エラーやソーシャル･ エンジニアリングを悪用してランサムウェアの拡散を図る、基本的なハッキング･ テクニックの利用が増える状況が予想されます。 さらに、金銭を奪うことができるランサムウェアの特性を活かし、ダークWeb ではRaaS（Ransomware-as-a-Service）などの小規模な闇ビジネスがすで に始まっています。このようなプラットフォームを提供するビジネスは、通常の コンピュータ･ネットワークに加えてモバイル･デバイスやIoTデバイスもターゲット として拡大を続けると考えられます。

GDPR

_の概要

EUの新しい一般データ保護規則（GDPR）は、世界各国の多くの組織に広範囲で影響を及ぼします。GDPRの核心部分では、 個人情報の取り扱いに関する「EU市民の多くの権利」が列挙されています。このリストの範囲は膨大に及び、準拠するために は適用、ポリシー、手続きに大幅な修正が必要となるでしょう。このため、GDPR は猶予期間や罰則も含めて、EU市民のデータを取り扱うあらゆる組織の大きな 負担となるはずです。 しかしながら新しい規制であるため、監査がどのように行われるのか参考にで きる前例がありません。しかも、まだ固まっていない部分が多く残っている状況 です。例えばGDPRでは、「EUのデータ保護法の施行で積極的な役割」を果たす 欧州データ保護会議（EDPB）の設置が定められています。しかし本書の発行 時点ではEDPBがまだ正式に承認されておらず、細目も決まっていません。 とはいえすでに発効の時期が迫っているため、影響を受ける組織はGDPR戦略の導入に向けた取り組みを開始せざるを得ない 状況です。具体的には、人員の配置、データの監査と分類、リスクの分析、アクティビティの記録とデータ侵害の特定、基本的な 管理手法など、各種の準備が挙げられます。 Lorem ipsum

75

%

セキュリティのスタッフや

リソースに問題がある組織

の割合

23

スマート化が進む

IoT

IoTデバイスの普及は今後も継続し、それに伴って攻撃の経路も拡大することになるでしょう。このため2018年以降は、IoTデバイス などオンラインのデバイスを狙ったMiraiやBlueBorneの亜種が増加すると考えられます。 企業のネットワークに組み込まれるスマート･デバイスが一般化し、ネットワークも拡大すれば、組織としてデバイスとネットワークの 両方でより効果的なセキュリティ対策を導入する必要に迫られます。この対策を怠ると大規模な攻撃を阻止できず、国際的な規制 に反することにもなりかねません。 2017年には大規模なDDoS攻撃が発生しましたが、それを上回る規模でIoTデバイスが悪用され、被害者のホーム･ネットワーク にアクセスされたり、家の中をのぞき見られたりするケースも予想されます。この事態は、LGのスマート･ホーム･デバイスに関する 昨年のレポートでも主要な論点となっています。一般のユーザは概してIoTデバイスのセキュリティに無頓着であり、各種の設定をデフォ ルトのまま使用する傾向があります。この状態では、ユーザのホーム･ネットワークに攻撃側から簡単にアクセスできてしまいます。 スマート･シティのIoTイニシアティブは今の勢いを持続し、都市のサービスの向上とコストの大幅な削減に引き続き貢献すると考 えられます。それと同時に、予期される攻撃を防ぐためには、第5世代のサイバー･セキュリティ･ソリューションの導入を折に触れ 真剣に検討する必要があるでしょう。 WannaCryの攻撃で大きな被害を受けた医療業界も、人命にかかわる攻撃を阻止できるよう、院内のオンライン・デバイスの保護 に積極的に取り組む方針を固めています。

デジタル通貨

最近猛威を振るっているランサムウェアの身代金の受け渡しや他の不正行為の資金調達で仮想通貨が利用されるケースが増え ていますが、今後はより厳しい規制が適用されることになるのでしょうか？ 仮想通貨の採掘には大量のリソースが必要になるため、そうした状況がマイニング・ツールの登場にもつながっています。この新しい 疑似マルウェア･ツールは、無防備なコンピュータのCPUパワーを密かにまたはユーザの同意なしに利用し、仮想通貨を採掘 します。すでに事例はいくつか確認されており、現在の仮想通貨の価格高騰が誘因となって、被害者のコンピュータの処理能力を 不正利用して金銭的な利益を得るまた別の方法が出現する事態も予想されます。 また、価格が高止まりしたBitcoinなど仮想通貨をターゲットとして、仮想通貨取引所などの周辺のシステムも、脆弱性を狙う 犯罪者のターゲットになる可能性があります。 一方、各国政府や法執行機関が仮想通貨の不正利用を取り締まりに乗り出すことも考えられ、その場合は通貨そのものの価値の 下落につながる恐れがあります。

国家の防衛

2018年以降は、政府機関で常時接続社会への対応と順応が進む結果、サイバー防御への関心が高まり、そのための動きも加速 するものと思われます。 また、国の支援を受けた関連組織は防御と攻撃の両面でサイバー攻撃の技術開発を継続し、資金援助を受けた犯罪者グループは 今後もサイバー攻撃を収益化する手段の開発を続けていくことでしょう。政治的な主張にサイバー攻撃を利用するハクティビス トも非国家のテロリスト･グループも、かつては国の軍事組織だけが使っていた武器が利用できるようになった結果、主戦場を サイバー空間に移すようになるかもしれません。 このため、電力、水道、医療サービス、地方自治体の庁舎とそのITインフラなど、重要インフラを対象とする保護機能の強化に 向けて、政府が動き出すようになると考えられます。

プラットフォームに関する

推奨事項