大晦日の「笑ってはいけない」を観終わったと同時に始まった新年も、早や1ヶ月半が過ぎた。
1月は営業日が少ないうえに年始でバタバタしているためあっという間に過ぎてしまう。当社のように会計期の開始と重なっているとなおさらである。
思えば今年1月の話題には昨年のように某アイドルグループ解散や不倫騒動のような特大の芸能ゴシップは見当たらなかった。アメリカ大統領選で当選したトランプ氏の任期開始が大きな話題だっただろうか。
世間では、トランプ氏の挙動が注目を集めているが、システム屋として注目したのは、大統領選でトランプ氏の当選を後押しする目的でロシアからアメリカに対するサイバー攻撃が発生していたと結論づけられたことだ。
ハッキングによるヒラリー氏のメール情報窃取とリーク、偽ニュースの拡散などが行われたということであるが、結果が僅差だったことを考えると大統領選の結果を変えた可能性もあり、目的を持って統率されたサイバー攻撃は、超大国の民主主義にまで大きな影響を与える力があるということになる。
このようにサイバー攻撃の脅威は増大の一途をたどっており、国内においてもサイバー攻撃による個人情報の漏えいやWebサイトの改ざんなどは現在も頻繁に発生している。
さらに昨年はランサムウェアという、PCや共有フォルダ上のファイルを強制的に暗号化して人質に取り、復号化してやる代わりに金払えという、卑劣極まりない「身代金要求型ウィルス」が流行して話題となった。
さて、2017年はどうなるだろうか。
先日、IPA(情報処理推進機構)より「情報セキュリティ10大脅威2017 」が発表されたが、上位3つを見ると、
1位 標的型攻撃による情報流出 (昨年1位)
2位 ランサムウェアによる被害 (昨年7位)
3位 Webサービスからの個人情報の窃取 (昨年3位)
1位の「標的型攻撃」は、数年前の某N機構の事件で一気に一般にも知れ渡った。昨年1位から引き続きの1位、現時点でサイバー攻撃界の大横綱であり今年も要注意である。
標的型攻撃の特徴として、受信者の知り合いや業務を調べ上げ、取引先や業務内容をメールやSNSの本文に記載することで一見関係ありそうなメッセージのように見せ、マルウェアをファイル添付して送り付け、実行させようとしてくる。
当社の場合は対策として、フィルタリングなどの入口対策は当然のことながら、もし受信してしまった場合、少しでも覚えのないメールの添付ファイルは絶対に開かないよう、社内に向けて再三アナウンスしている。
2位のランサムウェアは昨年7位からのジャンプアップ。昨年大ブレイクを果たしたニューカマーであり、今年も要注意である。
ランサムウェアは前述の通り、受信者にとって必要なファイルを人質に取り身代金を要求するマルウェアだが、もし感染して支払を要求されても、絶対に言いなりになって支払うべきではない、とされている。
理由はたくさんある。
・お金を払っても元に戻してもらえる保証がない
・元に戻すとされた処理の中で、新たなマルウェアが埋め込まれる可能性がある
・払ってしまうと「優良顧客」とみなされ、次からも攻撃対象となりやすい
・そもそも暗号化されているとは限らない
・攻撃者が味をしめ、さらに被害者が増える
幸いおれはまだ被害に遭遇していないが、もし被害を受けてしまったら、セキュリティベンダーがファイルを復旧させるツールを提供している場合があるため、そちらに相談する。
3位の「Webサービスからの個人情報の窃取」だが、Webサービス攻撃に関する脅威は、3位の個人情報の窃取、4位の妨害攻撃、6位の改ざん、7位の不正ログイン、と脅威別に分けられており、おそらく合算すると1位になるだろう。
企業のホームページに代表される「公開Webサービス」が攻撃対象となるため、ほとんど全ての企業にとって警戒が必要だ。
なお当社のホームページは
・WAF※ の導入
・ログイン情報の複雑化
・不要なサービスの遮断
・入力フォームのセキュリティ対策
などによってディフェンスを固めているので、安心してアクセスしていただきたいと思う。
※WAF(Web Application Firewall) : Webサイト上のアプリケーションに特化したファイアウォール
ところで、昨年2位だった内部不正による情報漏えいが、今年は5位に下がっている。
内部不正は某教育関連B社で発生した、従業員が個人情報を持ち出して業者に売りさばいた事件が記憶に新しい。
それ以降は大きなニュースとしては上がっておらず、リスクとしては低下したと捉えられているのかもしれないが、大きな脅威であることに変わりなく、引き続き注意は必要かと思う。
このように今年は昨年からの傾向が継続しているように思われる。
標的型攻撃による情報漏えいにしても、ランサムウェアによるファイル破壊にしても、被害が出てから対策したのでは遅い。被害の内容や規模によってはB社のように数百億円の損失となることもある。
そうなると「笑ってはいけない」どころか、もはや誰も笑えないだろう。