マカフィーが2019年十大セキュリティ事件と来年の脅威予測
ディープフェイクに注意、ランサムウエアは2段階攻撃に
2019.12.25−マカフィーは、2019年の十大セキュリティ事件ランキングと、2020年の脅威動向予測について発表した。とくに、クラウドが普及したことで主要な攻撃対象として注目されたほか、スマートフォンやSNS利用が一般化したことにより新たな脅威が拡大した1年だったという。また、キャッシュレスサービスが攻撃を受けたことを教訓にセキュリティを見直し、より強固なサービスに生まれ変わるという逆転現象もみられた。来年については、偽画像や映像を作成するディープフェイクを利用した事件が増加するとともに、クラウド関係を狙った脅威がさらに高まると予測している。
十大事件ランキング(下表)は、昨年11月から今年11月までに報道されたセキュリティ事件に対するビジネスパーソンの認知度をもとに調査したもの。第1位には、バーコード決済サービス「7pay」の一部アカウントへの不正アクセスによりユーザーに金銭的被害が発生し、結果的に同サービスが廃止されるに至った事件がランクインした。システム上に脆弱な認証システムが存在し、「リスト型アカウントハッキング攻撃」への防御力が弱体化していたことが原因だった。ただ、この事件の影響で二要素認証といったよりセキュアなシステムの導入が標準的になったことは、プラスの効果に転じたと認めることができるという。また、消費者も利便性にともなうリスクを理解した上で、キャッシュレス決済サービスを選択し利用しなければならないことを、あらためて考えさせる事件になったとしている。
さらに、第2位、第5位、第9位など、利便性から導入が進むクラウドサービスが抱えるリスクが浮き彫りにされた。クラウドサービスが数多く存在し利用者も増えるなか、企業はオンプレミスとは異なるクラウド向けのリスク管理が必要になると指摘している。
◇ ◇ ◇
マカフィーは、2020年の脅威動向として、(1)未熟なスキルの攻撃者でも利用しやすいディープフェイク作成ツールが普及、(2)顔認識機能を回避するためのディープフェイク技術が拡大、(3)ランサムウエア攻撃が2段階での脅迫攻撃へと発展、(4)アプリケーションプログラミングインターフェース(API)がクラウドネイティブアプリケーションにつながる脆弱性として利用される、(5)コンテナ化されたワークロードの増加にともない、セキュリティ対策がシフトレフトして、DevSecOpsが注目される−の5点を挙げている。
とくに、人工知能(AI)と機械学習(ML)の発展にともない、攻撃者もまたAIとMLの悪用を活発化すると予測されるという。精巧なディープフェイクビデオを簡単に作成するツールがすでに出回っており、もとになるビデオをアップロードして機械学習にかけるだけでディープフェイクビデオを入手できるウェブサイトも開設されている。こうしたサービスを利用すれば、ある企業のCEOが深刻な事態を発表するようなビデオを流し、株価を操作したり、その他の金融犯罪を引き起こすなどして大規模なカオス状態を創出することも可能だ。また、AIの進歩により指紋に代わって急速に普及してきた顔認証だが、ディープフェイクによってこれを突破する技術が開発されており、今後数年間で十分に実行可能な脅威になり得ると考えられる。今のうちから、その前提で次世代の生体認証方法を検討していく必要があるとしていう。
一方、ランサムウエアは、コンピューターを感染させてロックし、ファイルの復元などを条件に金銭などを脅迫する攻撃だが、同社ではそれが2段階に発展すると予測している。つまり、最初に感染させた段階で情報を盗み出しておき、それをブラックマーケットで売り払って利益を得た上で、ファイルなどのロック解除を口実にさらに金銭を要求するというものだ。企業は、最初に情報が漏洩したことに気づかないケースも考えられる。攻撃者が分業することで、こうした多段階の脅迫が増えていく可能性がある。
5番目の予測についてだが、コンテナ化されたアプリケーションは開発が速く、運用機関が短いものもある。このため、オンプレミスのように稼働後にセキュリティチェックをすることでは間に合わない場合も多い。そこで、脆弱性や不適切な構成、その他の問題を運用前に検出し、開発しながらセキュリティ面の課題に対処する“DevSecOps”が注目されるとしている。コンテナ環境専用に開発されたクラウドネイティブのセキュリティツールが、これまで以上に関心を集めそうだ。
順位 | セキュリティ事件(時期) | 認知度 |
1 | セブン&アイ・ホールディングス傘下のセブン・ペイが運営するバーコード決済サービス「7pay」の一部アカウントへの不正アクセスを確認。経緯とともに同サービスの廃止を発表(7月〜10月) | 63.9 |
2 | ヤマト運輸が提供するクロネコメンバーズのWebサービスにて外部からパスワードリスト攻撃による不正ログインが判明(7月) | 36.4 |
3 | 通信機器でスパイ行為をしているとの指摘を受け、次世代通信規格5Gネットワーク建設で、中国の華為技術(ファーウェイ)の通信機器に対して、安保上の理由から締め出し強化(5月) | 34.0 |
4 | 会員制交流サイト(SNS)に投稿された顔写真の瞳に映った景色を手掛かりに、アイドル活動をしている女性の住所を特定し、わいせつな行為をしたとして男が逮捕、起訴(10月) | 33.4 |
5 | 5億4000万件以上のFacebookユーザーの情報を含むデータセットが、Amazon Simple Storage Serviceのバケットからダウンロード可能な状態で公開されていたことが発覚(4月) | 29.6 |
6 | ゆうちょ銀行をかたり、「『ゆうちょ認証アプリ』による本人認証サービス開始」などの件名で、本文に記載したフィッシングURLからのログインを促す内容のフィッシングメールに対して注意喚起(6月) | 28.4 |
7 | トレンドマイクロの元従業員が顧客情報を盗み出し、第三者に売却したことで米国など海外の最大12万人分の情報が外部に流出(11月) | 27.3 |
8 | スマートフォンのSMS(ショートメッセージサービス)を使って個人情報を盗み取ろうとする「スミッシング」と呼ばれるサイバー攻撃が激化(4月) | 25.6 |
9 | 「宅ふぁいる便」サーバへ不正アクセス、約480万件の個人情報が流出(1月〜3月) | 23.5 |
9 | 北朝鮮 金正恩氏と米 ドナルド・トランプ大統領による首脳会談中にも、北朝鮮のハッカー集団がアメリカや同盟国の企業に対するサイバー攻撃の手を緩めず(2月〜3月) | 23.5 |
******
<関連リンク>:
マカフィー(トップページ)
https://www.mcafee.com/ja-jp/