マカフィーは12月15日、2019年11月から2020年11月までの1年間に起こったセキュリティ事案をランク付けする「2020年の10大セキュリティ事件」を発表しました。

コロナ禍で企業・個人ともにインターネットの利用が広がるなか、「ドコモ口座」を発端とした、電子決済サービスと紐付いた銀行口座の不正出金問題が1位となりました。

  • 「ドコモ口座」不正利用問題では、ドコモが2020年9月10日に記者会見を開催。被害者や関係者らに謝罪した

2020年の10大セキュリティ事件

順位 セキュリティ事件(時期) 認知度(%)
1. 携帯電話会社の電子決済サービスを通じて、利用者の預金が何者かに不正に引き出されたことが判明(9月) 59.2
2. ゲームメーカーが11月16日、サイバー犯罪集団からの不正アクセスを受け、顧客や取引先に関する情報が最大で35万件流出した可能性があると発表(11月) 37.7
3. AIを使ってポルノ動画に写った人物の顔を芸能人の顔にすり替えた“ディープフェイクポルノ動画”を公開したとして、男性2人を名誉毀損と著作権法違反の疑いで逮捕(10月) 36.5
4. 新型コロナウイルス感染症対策として10万円の特別定額給付金の給付が各自治体で始まるなか、自治体などのホームページを模倣したフィッシングサイトが相次いで確認(5月) 35.4
5. 米海軍はサイバーセキュリティ上の懸念を理由に、政府支給のモバイルデバイスで中国製アプリ「TikTok」を使用することを禁止した(2019年12月) 35.1
6. 総合電機メーカーがサイバー攻撃を受け、個人情報や機密情報が流出したおそれがあると発表(1月) 33.5
7. 総合電機メーカーへのサイバー攻撃で、防衛関係の機密情報が同社から漏えいした疑いがあることが判明(5月) 32.9
8. 納税などに関する大量の個人情報や秘密情報を含む地方自治体の行政文書が蓄積されたハードディスク(HDD)が、ネットオークションを通じて転売され、流出していた(2019年12月) 31.4
9. 「Zoom」の「Windows」版クライアントについて、攻撃者がグループチャットのリンク共有機能を悪用した場合、リンクをクリックした人の Windows のネットワーク認証情報が漏えいする可能性があることが明らかに(4月) 30.9
10. 電気通信事業者等を傘下に置く持株会社の機密情報を不正に取得したとして、同社元社員を逮捕。容疑者が取得した機密情報は在日ロシア通商代表部の職員らに譲渡されたとみられる(1月) 30.2
※2020年の10大セキュリティ事件は、2019年11月から2020年11月までに報道されたセキュリティ事件に対する、国内在住の企業経営者、企業に勤務する情報システム担当者、一般従業員などビジネスパーソン1,552人の認知度(複数回答)からマカフィーがランク付けしたもの。調査はインターネットで行われ、調査期間は2019年11月26日~2020年11月27日

被害総額2,800万円以上となった「ドコモ口座」不正利用

1位となったのは、2020年9月に問題が表面化した「ドコモ口座」の不正利用問題。銀行口座の情報を不正に入手したとみられる犯人が、被害者になりすましてドコモ口座を開設し、犯人が開いたドコモ口座と、被害者の銀行口座が連携され、銀行からドコモ口座にチャージ(出金)される、という手口です。

発端となったのは「ドコモ口座」でしたが、その後PayPayやKyash、LINE Payといった複数の電子決済サービスで、同じような手口の銀行口座不正出金が過去に遡って確認されました。

  • マカフィーが発表した「2020年の10大セキュリティ事件」1位。認知度は59.2%で、2位の37.7%を大きく上回っている

昨年・2019年の10大セキュリティ事件では、「7pay」の不正利用が1位でした。マカフィー 戦略営業本部 エンタープライズ・セールス・エバンジェリストの寺尾敏康氏は、「今年も(広がりつつある)個人向けのキャッシュレスサービスが攻撃対象になった」と話します。

この1位の事案については、「怖いポイントが3つある」といいます。1つ目は誰でも被害者になる可能性があること、2つ目は異業種間連携の難しさ、3つ目はサービスとセキュリティのバランス面です。

今回は流出した口座情報を悪用された形となりましたが、寺尾氏は「(電子決済サービス提供側の)自社サービス利用者以外のユーザーにおける本人認証が極めて甘かった。簡単に口座と紐付けさせてしまった」と解説。一方、サービスを提供するなかで、セキュリティを突き詰めるほど利便性や迅速さが損なわれる面もあるとして、「どうバランスをとるか、経営判断として問われるようになる」と今後の見通しを話しました。

カプコンが受けた「二重搾取型」のランサムウェア被害

  • 「2020年の10大セキュリティ事件」2位。11月に発生した事件で、規模が大きいことや、実際に情報の流出が確認されたこともあり、記憶に新しい

2位にランクインしたゲームメーカーの事案は、11月にカプコンが受けたサイバー攻撃により、最大35万件の顧客情報が流出した可能性があるもの。「Ragnar Locker」と呼ばれるランサムウェアが攻撃に使われました。寺尾氏は、「日本企業としてゲームメーカーが狙われたこと」、そして「二重搾取型だったこと」の2つが事件のポイントだといいます。コロナ禍でネットサービスの需要が高まるなか、オンラインサービスも手掛けるゲームメーカーは信頼性が求められており、そのぶん攻撃を受けた際の影響が大きいと判断され狙われた可能性があるとのこと。

また、ランサムウェア自体は、暗号化したデータを人質に身代金を要求するもので、個人ユーザーにばらまかれる際には、データの復旧と引き換えに金銭が要求されるケースが多いです。しかしカプコンのケースでは、システムを暗号化しただけでなく、内部情報を盗み出してオンラインで暴露すると脅迫した「二重搾取型」であり、このタイプが増えていることが明らかになった点も注目だとしました。

寺尾氏は、「Ragnar Locker」を使う攻撃者で代表的なものはロシア政府系のハッカー集団といい、「日本の企業を本格的に狙う前に、ゲームメーカーが格好のターゲットになる。国家権力を背景にしたハッカー集団から日本企業が狙われていることが顕在化した1年だった」と解説しました。

「ディープフェイクポルノ動画」で初の逮捕者

  • 「2020年の10大セキュリティ事件」3位。「ディープフェイクポルノ動画」に関する逮捕者はこのときが初。なお、翌月となる11月にも、ディープフェイクポルノ動画へのリンクを掲載したとして逮捕者が出ている

3位にランクインしたのは、「ディープフェイク」を使い、芸能人の顔にすげ替えたポルノ動画公開者が逮捕された事件です。ディープフェイクとは、ディープラーニング技術を利用して人物の顔や声などを合成する技術。精度が高ければ、まるで本人が動いたり話したりしているようなニセ動画(フェイク)が作成できます。

寺尾氏はディープフェイクの問題点を「なりすましや本人認証の突破など、犯罪ツールになる可能性がある」と指摘します。今後に必要となる課題は、偽物を見破る技術の発展。海外では2019年に英国のエネルギー関連会社CEOが、ドイツの親会社幹部を装った音声フェイクで入金を電話越しに指示され、犯罪者に送金してしまった事例もあるといいます。寺尾氏は「今後精度が高まるのは間違いない。AI技術で顔だけでなく声も装える。AIによる防御の進化が必要」としました。

新型コロナの影響が大きかった2020年

2020年のランキングを踏まえ、寺尾氏はセキュリティの現在と未来を次のようにまとめました。

●昨年に続き、一般化してきたキャッシュレスサービスが攻撃対象に

●進化する技術(AI)を悪用した攻撃リスクが高まる

●コロナ禍で需要が高まったサービスの潜在的なリスクや、人々の混乱に乗じた脅威に注目が集まる一年に

2020年は特に、「コロナ禍における社会の変化があった。テレワークやキャッシュレスサービスの拡大など、デジタルトランスフォーメーションの推進にともなう脆弱性が狙われた」とコメント。また、「防衛関連企業は数年にわたり高度なサイバー攻撃にさらされてきたが、それが広く認知されたと同時に、二重搾取型や環境寄生型(正規ツールを悪用して痕跡を残さないサイバー攻撃)といった、国内企業を狙う高度な攻撃に注目が集まった1年だった」と総括しました。

  • 参考:2019年の10大セキュリティ事件