マカフィーは12月17日、2019年の10大セキュリティ事件を発表した。
1年間に起こったセキュリティ事案をランク付けする同社の「10大セキュリティ事件」は、2019年で6回目。国内経営層や情報システム部門などのビジネスパーソンを対象にした意識調査の結果を基にしたもので、2019年の第1位は最終的にサービス廃止となった「7pay」一部アカウントへの不正アクセス問題がランクインした。
-
「2019年の10大セキュリティ事件」1位は7payの不正利用に
2019年の10大セキュリティ事件
| 順位 | セキュリティ事件(時期) | 認知度(%) |
|---|---|---|
| 1 | セブン&アイ・ホールディングス傘下のセブン・ペイが運営するバーコード決済サービス「7pay」の一部アカウントへの不正アクセスを確認。経緯とともに同サービスの廃止を発表(7月~10月) | 63.9% |
| 2 | ヤマト運輸が提供するクロネコメンバーズのWebサービスにて外部からパスワードリスト攻撃による不正ログインが判明(7月) | 36.4% |
| 3 | 通信機器でスパイ行為をしているとの指摘を受け、次世代通信規格5Gネットワーク建設で、中国の華為技術(ファーウェイ)の通信機器に対して、安保上の理由から締め出し強化(5月) | 34.0% |
| 4 | 会員制交流サイト(SNS)に投稿された顔写真の瞳に映った景色を手掛かりに、アイドル活動をしている女性の住所を特定し、わいせつな行為をしたとして男が逮捕、起訴(10月) | 33.4% |
| 5 | 5億4000万件以上のFacebookユーザーの情報を含むデータセットが、Amazon Simple Storage Serviceのバケットからダウンロード可能な状態で公開されていたことが発覚(4月) | 29.6% |
| 6 | ゆうちょ銀行をかたり、「『ゆうちょ認証アプリ』による本人認証サービス開始」などの件名で、本文に記載したフィッシングURLからのログインを促す内容のフィッシングメールに対して注意喚起(6月) | 28.4% |
| 7 | トレンドマイクロの元従業員が顧客情報を盗み出し、第三者に売却したことで米国など海外の最大12万人分の情報が外部に流出(11月) | 27.3% |
| 8 | スマートフォンのSMS(ショートメッセージサービス)を使って個人情報を盗み取ろうとする「スミッシング」と呼ばれるサイバー攻撃が激化(4月) | 25.6% |
| 9 | 「宅ふぁいる便」サーバへ不正アクセス、約480万件の個人情報が流出(1月~3月) | 25.5% |
| 9 | 北朝鮮 金正恩氏と米 ドナルド・トランプ大統領による首脳会談中にも、北朝鮮のハッカー集団がアメリカや同盟国の企業に対するサイバー攻撃の手を緩めず(2月~3月) | 25.5% |
2019年の10大セキュリティ事件は、2018年11月から2019年11月までに報道されたセキュリティ事件に対する、国内在住のビジネスパーソン1,552人の認知度(複数回答)をインターネット調査した結果を基にランク付けしたもの。
1位は、スマホ決済サービス「7pay」アプリの不正チャージ・利用問題。2019年7月1日にサービスを開始した「7pay」アプリだが、スタート直後から身に覚えのない不正チャージや利用が相次ぎ、7月31日17時時点で38,615,473円(808人)の不正利用被害が確認された。サービスは9月30日に終了した。
-
マカフィーのコンシューマ セキュリティ エヴァンジェリストを務める青木大知氏
-
「2019年の10大セキュリティ事件」1位は7payの不正利用。2要素認証など、よりセキュアなシステム導入に関する認知が広がった
マカフィーのコンシューマ セキュリティ エヴァンジェリストを務める青木大知氏は、7pay問題について「海外ではペイメントサービスが使われる理由として、『セキュアである』ことが挙げられる。偽造通貨など現金を使わない方が安全である、という認識がある。日本はペイメントサービスが遅れていたなかで、やっと流行するぞという雰囲気の中で起こった事件」と紹介。ただし、現行のペイメントサービスのセキュリティ的な見直しなどにつながったという意味ではポジティブな面もあったと補足した。
また、メディアが「多要素認証」をよく取り上げていたとした上で、「改めて多要素を使った認証設定が必要だと関係者に感じさせた」と話した。
-
2位はヤマト運輸のクロネコメンバーズWebサイトへの不正ログイン。パスワードリスト型攻撃が行われ、試行件数約3万件に対し、10%にあたる3,467件のアカウントが突破された。10%という数字について、マカフィー セールスエンジニアリング本部 本部長の櫻井秀光氏は「個人的には高いと思う」とコメント。ID・パスワードの使いまわしは、特にクレジットカードなど金銭が絡むサービスでは避けるよう促した
-
3位は中国と米国の貿易摩擦に絡みファーウェイの5Gネットワーク機器が安保上の理由から締め出されたもの。青木氏は、「セキュリティ会社はこれまで、データ通信やサイバー空間での攻撃を想定してきたが、国や企業が関わる現実世界の経済活動に影響があった問題」と話した
個人向けの脅威としては他に、SNS投稿した顔写真から、瞳に映った景色を手掛かりに、アイドル活動をしている女性の住所を特定した犯罪や、実在の企業をかたるフィッシングSMSなどがランクイン。前者について青木氏は、「これまでSNSへ個人情報を投稿することは避けるよう啓蒙してきたが、現在はスマホ写真の精度が高い。写真をSNSにアップロードする場合、写真の画素数を落とすことも広めなければいけないかもしれない」とした。
マカフィーは、2019年のセキュリティ傾向として、「クラウドが新たなバトルフィールドに」「スマートフォン、SNSの利用の一般化でリスク拡大」「キャッシュレスサービスが攻撃対象として注目され、セキュリティが見直され強固なサービスに」の3つを挙げた。
SMSを使ったフィッシングのほか、クロネコメンバーズWebサイトや宅ふぁいる便といった、個人向けサービスへの不正アクセスも多かった。青木氏は、「クラウドの普及で、データのやり取りが増えた。サービス提供者側、利用者側の両方が、クラウドを(攻撃者との)バトルフィールドと考えないといけない」と話した。
-
2019年のセキュリティ傾向
