2016年のセキュリティ動向はすべて把握できたと思っていましたが、最近起きた事件は私たちに再考を迫っており、年末にかけてまだまだ驚くような事態が待ち受けているかもしれません。ただし、「どんなに変化があっても、本質は変わらない」というのも事実です。攻撃の経路やエクスプロイトは常に進化していますが、その根底にある攻撃の動機はそれほど変わっていません。このような点を念頭に置いて、現在実施している対策の方向性が間違っていないか再検討してみましょう。

2016年は、年間を通してランサムウェアに注目が集まりました。2月に攻撃を受けたハリウッドの医療センターが身代金の支払いを余儀なくされてから後、ランサムウェアは世界レベルで最大のセキュリティ脅威として受け止められています。多くの場合、この攻撃はC&Cサーバと鍵の受け渡しを行う必要がなく、マシンが侵害を受けた時点でファイルが暗号化されるため、検出より防御の取り組みがより重要とされています。しかも、攻撃側のテクニックは進化を続けており、被害の防止を可能にする最新のソリューションが常に求められているのが実情です。「定期的にバックアップを取る」などの対策はもちろん当然なのですが、マルウェア自体もバックアップしてしまう恐れがあり、せっかくの注意喚起が裏目に出てしまうケースも考えられます。

ランサムウェアが2016年の年間を通して注目を集めたのは確かですが、最近はDDoSがらみの事件も再び注目されています。まず、ジャーナリストのブライアン・クレブスのWebサイトが620 Gbpsという記録的な規模のDDoS攻撃を受けました。その直後には、フランスのホスティング・サービスが1Tbpsという攻撃を受けて機能停止に追い込まれています。DDoS攻撃はいまだ衰える兆候がなく、数日前に攻撃されたDynDNSサービスの影響で、Amazon、Twitter、Spotifyなどの主要サイトが被害に遭いました。しかし、攻撃の規模以上に問題視されたのはその手法がシンプルだったという点です。ボットネット化されたWebカメラなどのIoTデバイスを利用して展開された攻撃はシンプルなもので、いかなる増幅もかけられていませんでした。世界中に数十億台ものIoTデバイスが存在することを考えれば、今後さらに大規模な攻撃が可能なだけでなく、避けることもできないという恐ろしい事実を示しています。

ビジネスの領域ではセキュリティが大きな注目を集めていますが、消費者向けデバイスのセキュリティ強化も喫緊の課題となっています。最も脆弱なリンクをターゲットにするのが攻撃の常道ですが、まるで悪用されるのを待っているかのような家庭用ルータなど、脆弱性の高い家庭用IoTデバイスは山ほど存在します。消費者向けデバイスの世界は、セキュリティを徹底的に見直す時期にきていると言ってよいでしょう。デフォルトのユーザ名とパスワードは簡単に検索できるにもかかわらず、変更されることはほとんどありません。ファームウェアのアップグレードは滅多に行われず、ソフトウェアを適切にアップデートできるユーザもほとんどいません。例えばTelnetでは多くのデバイスがいまだにデフォルトのアクセス方法を利用しており、多くのトラフィックがプレーン・テキストでやり取りされています。セキュリティ対策が簡略化されている家庭用デバイスは、専門知識を備えたセキュリティ・チームの支援も期待できませんが、このまま放置してよいわけはありません。まずは、メーカー側にある程度の責任を負ってもらいたいところですが、実現は遠い道のりです。

2016年は、サイバー攻撃の目的が依然として金銭である点を再確認できた年でもあります。バンキング型トロイの木馬でもランサムウェアであっても、最終的な目標は金銭的利益なのです。これ自体、深刻な問題ではありますが、もっと広い視野で考えてみることも重要でしょう。例えばネットバンキングのアカウント情報はいつでも変更できます。クレジットカードも無効化が可能で、不正な取引は返金され、ログイン情報の変更も容易です。深刻度から言えば、このような被害より医療情報の漏洩の方がはるかに重大で、長期にわたる脅威になり得ます。

こちらの記事によると、医療情報はクレジットカードの情報より最大60倍も価値があるそうです。悪いことに、過去1年間に医療記録をハッキングされたアメリカ人は、全体の47%に上るというデータも示されています。医療情報は個人の記録であり、血液型や病歴は漏洩があったからといって変更はできません。

潜在的な影響はいつまでも続きます。例えば攻撃者が医療記録を削除または改ざんした結果、以後の医療行為に影響が及び、誤診断から致命的な事態を招きかねません。

5億件のアカウント情報が流出したとYahooが発表したのもつい先日です(実際には10億件との見方もある)。有名企業でYahooだけがこのような発表をしているわけではありませんが、セキュリティ侵害の事例がメディアで大々的に取り上げられることはほとんどありません。今日、データが狙われそうなほとんどの企業では既に漏洩事件が発生していますが、これは一般の市民にとってどのような意味があるのでしょうか。

誰もが必ず認識しておかなければならないのは、ユーザとして新たに登録したどのサイトも、もれなく攻撃のターゲットになり得るという事実です。どれか1つのサイトでアカウント情報が流出すれば、同じユーザ情報を使っている他のすべてのサービスもアクセスが可能になります。サービスごとに異なるパスワードの使用が推奨されるのは、パスワードの使い回しが絶えないからです。もちろん、アカウントを登録したサイトでセキュリティ侵害が起きた場合は、ログイン情報を直ちに変更する必要があることは言うまでもありません。

2016年も残り少なくなりましたが、私たちは既に多くのことを学んでいます。その教訓に耳を傾け、適切な方法で安全を確保しましょう。


(LinkedIn: Tony Jarvis, "Forget the headlines, remember the lessons" URL: https://www.linkedin.com/pulse/forget-headlines-remember-lessons-tony-jarvis?trk=pulse_spock-articles)