マカフィーは12月11日、都内で記者会見を開き、日本国内の経営層や情報システム部門などのビジネスパーソンを対象に「2017年のセキュリティ事件に関する意識調査」を実施し、その結果を基に2017年の10大セキュリティ事件を発表した。また、説明会では米マカフィーが11月29日に発表した2018年の脅威予測についても触れた。
調査対象者は、日本国内に在住する企業経営者、企業に勤務する情報システム担当者、一般従業員など22歳以上の男女1552人、調査方法はインターネットによるアンケート調査、調査項目は第3回調査後の2016年10月から今回の調査を開始した2017年10月までに報道されたセキュリティ事件に対する認知度(複数回答)、調査期間は2017年11月24日~同28日。
マカフィー セールスエンジニアリング本部 本部長の櫻井秀光氏は「昨年はランサムウェアの脅威が開始した年となった。2017年はランサムウェアが多くの被害を起こし、認知度が高くなった。それ以外は、ビジネスメール詐欺の被害やフィッシング攻撃が増加していることが挙げられる」と述べた。
10位は日本マクドナルドのシステムがマルウェアに感染、9位は女性タレント・アイドルらの電子メールサービスに不正接続、8位は防衛省と自衛隊の情報基盤がサイバー攻撃を受けるとの報道、7位は女優や女性アイドルなどの芸能人が画像保存していたインターネットサーバへの不正ログインとなる。
6位はAppleを装いアカウント情報を搾取するフィッシング攻撃、5位はランサムウェアや遠隔操作ウイルスの作成やフリーマーケットアプリへのマルウェア関連情報の出品など中高生によるサイバー犯罪で逮捕者が続出、4位は米ヤフーで不正アクセスにより最終的に30億人分以上のユーザー個人情報の漏えいと続いた。
3位は無線LANの暗号化規格であるWPA2の脆弱性発見、2位はAmazonをかたるフィッシングメール/Amzon利用者を狙ったフィッシング攻撃/大手宅配業者の商品発送・宅配便のお知らせを装った偽メールの増加、1位はランサムウェア「WannaCry」の大規模規模攻撃となった。
同氏は「Wannacryにより、ランサムウェアが次の段階へと変化した。また、電子メールやクラウドサービスなどオンラインサービスのセキュリティ対策を気に掛けることが重要だ。さらに、サイバーセキュリティは若年層の手軽な遊び道具の1つとなっている」と警鐘を鳴らしていた。
2018年の脅威予測は?
一方、2018年の脅威予測として櫻井氏は「『防御者と攻撃者の間で機械学習を活用したサイバーセキュリティツールの開発競争激化』『従来の脅迫型ランサムウェアの標的、テクノロジー、目的の変化』『サーバレスアプリで企業は時間とコストを節約できる一方、攻撃の対象が拡大』『コネクテッドホームのプライバシー』『子どもが作成するコンテンツのプライバシー』の5点となる」と説明した。
防御者と攻撃者間における機械学習を活用したサイバーセキュリティツールの開発競争激化では、機械学習で大容量データの処理、既知の脆弱性、不審なふるまい、ゼロデイ攻撃の大規模検知・修正することを可能としている。
しかし、攻撃者も機械学習を取り入れることで、攻撃の強化、防御側の対応からの学習、防御側の検知モデルの妨害方法の検討、そして防御側が新たに発見された脆弱性にパッチを適用する前に悪用することもできるという。
従来の脅迫型ランサムウェアの標的、テクノロジー、目的の変化については、攻撃者は徐々に富裕層、コネクテッドデバイス、企業など、従来とは異なる収益性の高い標的を狙うようになると考えており、ランサムウェアがPCをロックして身代金を要求するような従来型から進化するほか、目的が個人に対する脅迫から企業に対するサイバー上の破壊行為や妨害へと変化すれば、その技術も変化していくと指摘。
このような、破壊、妨害、そして金銭的影響がより大きい脅威へと進化するに伴い、新たなサイバー犯罪のビジネスモデルが生まれるだけでなく、サイバー保険市場も大きく発展し始めると想定している。
サーバレスアプリによる攻撃対象の拡大に関しては、サーバレスアプリで速やかなサービス料金の支払いなど、細やかな対応が可能になるものの、権限昇格やアプリの相互依存性を利用した攻撃に対しては脆弱だという。
また、ネットワーク内を移動するデータを狙った攻撃にも弱く、ブルートフォース攻撃/DoS攻撃の被害が発生すると推測しており、この場合はサーバレスアーキテクチャは十分に拡張性を発揮できず、サービスの中断による損害を被ることになるとしている。
コネクテッドホームのプライバシーは、企業にはユーザーの挙動を観察してデバイス所有者の購入ニーズや、嗜好を把握したいという強い動機があり、多くのユーザーはプライバシーポリシーを読まないため、企業側は製品やサービスの追加の販売機会を獲得する目的で、デバイスやサービスが導入された後に頻繁にポリシーを変更し、より多くの情報を収集しようとする可能性があるという。
子どもが作成するコンテンツのプライバシーについては、ユーザーにアプリを使い続けてもらうために企業は積極的に若年層のユーザーにコンテンツを作成させるように仕向け、そのデータを収集するようになる。結果として、保護者は子どもが作成したデジタルコンテンツが企業に乱用されていることに気付き、自分の子どもがそうした行為を行うことに潜む長期的なリスクを検討するとしている。
最後に「2017年の現時点で、これらの脅威予測の発端が見え始めているものもあるが、来年以降に拡大していくだろう」と、同氏は分析していた。