シマンテックは12月1日、同社のブログに「2014年のオンラインセキュリティにおける4大事件」という記事を公開した。同記事では、2014年にオンラインセキュリティの世界で発生した4つの重要な事件を振り返るとともに、そこから得られた(または得るべき)教訓と来年予想される出来事を考察している。
同社は、「Heartbleed 脆弱性および ShellShock(Bash Bug)脆弱性の発見」「組織化されたサイバースパイ活動とサイバー妨害工作の可能性:DragonflyおよびTurla」「狙われたクレジットカード」「法執行機関との協力体制の強化」を2014年のオンラインセキュリティにおける4大事件としている。
Heartbleedは今週に見つかったOpenSSLの脆弱性であり、また、ShellShock(Bash Bug)は今秋に見つかったBashの脆弱性で、いずれも広く利用されているソフトウェアの脆弱性ということで、影響力の大きさから話題になった。
同社は最大のリスク要因は適切なパッチが適用されていない既知の脆弱性であるとし、2015年も、攻撃者はHeartbleedやShellShockを悪用すると共に、パッチが適用されていない多数の脆弱性を悪用し続けると指摘している。
同社によると、Dragonflyの攻撃とTurlaの攻撃のいずれも、国家が支援している活動に見られる特徴があり、高度な技術力と豊富なリソースが認められるとしている。これらのグループは、複数の経路で攻撃を仕掛けたり、多数のサードパーティの Web サイトを侵害したりできる能力を備え、サイバースパイ活動を目的としているようだという。
今年は、店頭レジ端末(POS)システムを狙って消費者の決済カード情報を盗み取る大規模な攻撃が何件も発生したが、米国が主な標的となった原因として、磁気ストライプのカードよりも高度なセキュリティを提供する、EMV(Europay, MasterCard, and VISA)と呼ばれる「チップアンドピン」方式のシステムが採用されていないことが挙げられている。
また今年は、近距離無線通信(NFC)技術を利用してiPhone を「仮想財布」として利用す Apple Payも開始され、NFCシステムは磁気ストライプよりも安全性が高いとはいえ、犯罪者に悪用される可能性があることには注意が必要だとしている。
最後は"よいニュース"として、今年、国際的な法執行機関が、サイバー犯罪者の摘発に向けてオンラインセキュリティ業界との協力を深め、従来よりも活発かつ積極的に活動した事例が多く見られたことが挙げられている。
