2013年も終わりに近づき、今年発生した最大のセキュリティイベントやインシデントを振り返る時期が来ました。そこから得られる教訓が、2014年以降のより強固な保護と、より安全なオンラインおよびモバイルの世界の基盤となることを願っています。
テクノロジーの世界は年々進化と改善を続けており、サイバーセキュリティの脅威に対するより強固な防御の構築もその一つです。しかし残念なことに、サイバー犯罪者も常に新しい技術を習得・適応させ、セキュリティの飛躍的進歩という絶え間ないゲームの中で、新興技術を巧みに悪用しています。
2013 年のセキュリティのハイライト、いや、ローライトをまとめた動画です。
ランサムウェア
ランサムウェアの概念はシンプルです。攻撃者はマルウェアの脆弱性を利用してデータを暗号化したり、PC やデバイスへのアクセスをロックしたりして、アクセスを回復するのと引き換えに支払いを要求します。
2013年最大のランサムウェアの脅威はCryptoLockerでした。Dellのセキュリティ研究者による最近のレポートによると、CryptoLockerの攻撃者はわずか100日間で3,000万ドルを稼いだとされています。これは、ユーザーがデータへのアクセスを取り戻すために身代金を支払ったことで、平均して1日あたり30万ドルを稼いでいる計算になります。
「2013年は、サイバー攻撃者がTorやビットコインを利用して匿名で人々を脅迫し、自分のデータにアクセスするために金銭を支払わせることができたため、ランサムウェアへの大きなトレンドが見られた」と、トリップワイヤーのセキュリティ研究者ケン・ウェスティン氏は語る。
CryptoLockerの身代金は通常300ドルです。データの最新のバックアップがない場合、選択肢は限られています。身代金を支払うか、すべてのデータを失って最初からやり直すかのどちらかです。幸いなことに、身代金を支払えば犯罪者はPCやデータを返却するという約束を実際に守ってくれます。
「この傾向は2014年に加速し、モバイルデバイスへと移行するでしょう」とウェスティン氏は語る。「モバイルデバイスのデータやサービスに依存している消費者は膨大で、ターゲットとすべきです。モバイルデバイスユーザーの半数以上が、最も基本的なセキュリティ対策さえ講じていないため、サイバー攻撃者の格好の餌食となっています。」
QualysのCTO、ヴォルフガング・カンデック氏は、従来の防御策ではCryptoLockerに対して十分な防御力が得られない可能性があると警告しています。この攻撃は特別なアクセスや権限を必要としないため、標準的なコンピュータセキュリティ対策では防ぐのが非常に困難です。「XKCDが2013年4月に公開した漫画で、まさにその通りのことを言っていました」とカンデック氏は言います。「もし重要なデータがすべてユーザーデータであれば、マルウェアが管理者にエスカレーションして大混乱を引き起こす必要はありません。」
XKCD 従来のセキュリティ対策は、データにアクセスするために特別な権限を必要としない CryptoLocker には対応できません。
ランサムウェアの脅威から身を守る方法は、本当に一つしかありません。それは、定期的にデータをバックアップすることです。システムがランサムウェアに侵入された場合、恐喝者に金銭を支払うのではなく、バックアップからデータを復元するだけで済みます。
モバイルマルウェア
ランサムウェアとモバイルセキュリティの重なりは、2013年の新たなセキュリティトレンドであるモバイルマルウェアへと繋がります。サイバー犯罪者がこの新たな脅威の領域を狙う中、モバイルマルウェアの数は飛躍的に増加し続けています。
FortiGuard Labsは、2013年1月に5万件の悪意のあるAndroidサンプルを記録したと報告しました。これは1日あたり約500件に相当します。11月時点では、この数は1日あたり1,500件の新規マルウェアサンプルに急増しています。
この傾向は憂慮すべきものですが、こうした報告は、現時点では少々「空が落ちてくる」ような気もします。セキュリティベンダーは、モバイルマルウェアの量が深刻なペースで増加していると繰り返し報告していますが、現実世界ではモバイルデバイスに対する重大なマルウェア攻撃はまだ確認されていません。
しかし、犯罪者がテストと概念実証の段階を終え、実際に悪意のあるペイロードを埋め込むのは時間の問題です。攻撃者は、レーダーをすり抜けて検出を回避する方が有利な戦略であることを学んでいるため、この攻撃は従来のPCマルウェアほど広範囲に及んだり、目立たなくなったりする可能性があります。
FortiGuardは、「AndroRAT」と呼ばれる脅威の証拠を確認していると発表した。これは、攻撃者が通常のアプリにトロイの木馬として仕込むことで拡散する可能性がある。このRAT(リモートアプリケーションツール)は、感染したスマートフォンからSMSメッセージを送信したり、通話やSMSのテキストメッセージを監視したり、デバイスのブラウザを特定のURLに誘導したり、個人情報を盗み出したり、被害者から金銭を詐取したりするための様々な操作を実行したりする。
私たちはまだ「大事件」を待っているところですが、モバイル マルウェアは最終的には期待どおりの結果を生むでしょう。おそらくユーザーが最も予想しないときに起こるでしょう。
データ侵害
数ヶ月ごとにパスワードを変更するという慣習に従っていなかった人にとって、2013年はデータ侵害を受けてサイトやサービスがユーザーに新しいパスワードの設定を強制したため、選択の余地がほとんどなかったでしょう。Living Social、Evernote、Adobeはいずれも、数千万件のユーザーアカウントが侵害され、パスワードが漏洩する大規模なデータ侵害を経験しました。
「2013年は『認証情報盗難の年』だったと言えるでしょう」と、TripwireのCTO、ドウェイン・メランコン氏は述べています。「DataLossDBによると、2013年の最も大規模な5件の侵害では、約4億5000万件のレコードが影響を受けました。これは、『12345』、『password』、『monkey』といったパスワードが大量に使用されたことを意味します。最も憂慮すべき点は、強力な暗号化技術の使用に関する多くの警告にもかかわらず、盗まれたパスワードの多くが安全でない方法で保管されていたことが判明したことです。」
最後に、ターゲットがサイバー犯罪者の被害に遭っていたことが判明しました。ブラックフライデーから12月15日までの間に、ハッカーたちはこの人気小売チェーンで直接買い物をした約4,000万人のクレジットカード情報を収集しました。
サイバースパイ活動
今年は、APT1に関するMandiantの報告書で幕を開けました。この報告書は、米国の政府機関や企業が中国を拠点とするグループに侵入されているという紛れもない証拠を示しました。しかし、年前半は誰もが中国、イラン、シリアからの外国(おそらく国家の支援によるもの)攻撃を懸念していましたが、エドワード・スノーデンが、議論を劇的に変える爆弾を投下しました。
国家安全保障局(NSA)の契約職員だったスノーデン氏は、アメリカから逃亡し(最終的にロシアに一時的な亡命先を見つけ)、NSAが世界中のあらゆるもの、あらゆる人々をスパイしていたという詳細を世界に公開しました。スノーデン氏の暴露による波紋は今もなお続いており、アメリカ国民、アメリカ政府、そして同盟国は、積極的な情報収集とプライバシーおよび市民的自由の露骨な侵害との間でバランスを取ろうと苦慮しています。
「彼が公開した情報は、米国政府が自らの企業に侵入し、既に何年も何百万人もの人々のプライバシーを侵害してきたことを、まさに十倍も証明するものでした」と、CloudPassageのセキュリティ研究者、アンドリュー・ストームズ氏は語る。「この場にいた100ポンドのゴリラは中国でもイランでもなく、NSAという米国の機関そのものだったのです。」
「スノーデン氏の漏洩で唯一良かった点は、多くの企業が自社にとってどのデータが重要で、それがどのように保護されているかを真剣に考えるようになったことだろう」とメランコン氏は言う。
2014年を見据えても、迫り来る脅威は基本的に変わりません。モバイルマルウェアの脅威は増大し続け、私たちはサイバー犯罪者や政府から個人データを守るために、引き続き努力していく必要があります。
