ランキング第1位はセブン・ペイへのバーコード決済サービス攻撃
マカフィーは、2014年以来毎年、「10大セキュリティ事件ランキング」を発表しているが、2019年12月17日に、第6回目のランキングを発表した。
前回の「2018年の10大セキュリティ事件ランキング」(2018年12月11日)注2では、史上最高額の被害をもたらした仮想通貨(ビットコイン)の流出事件や、フィッシング詐欺が上位にランクインするなど、巧妙化するサイバー脅威に注目が集まった1年であったため、「マイニングマルウェア元年」注3ともいわれた。
これに対して2019年は、第1位にセブン・ペイ(バーコード決済サービス攻撃)、第2位にヤマト運輸(パスワードリスト攻撃)がランクインし、さらに個人向け脅威にはSNSなど生活密着型交流サイトへのサイバー攻撃が増大していることが判明した。情報セキュリティの脅威は、国際化に加えて、日常化・高度化し始めており、その対策は新しいステージを迎えている。
意識調査の目的と概要
表1と図1に、今回発表された意識調査の目的と概要、回答者のプロフィールを示す。調査期間は、2018年12月〜2019年11月の1年間で、調査対象者のプロフィールは、図1に示す4つの企業規模をそれぞれ1/4ずつ、回答者数は計1,552名であった。
表1 2019年の10大セキュリティ事件に関する意識調査の目的と概要
※マクロミル:2000年に創業したインターネットリサーチ事業者。インターネットを通じたマーケティングリサーチ事業を行う、国内最大手の1つ。マクロミルモニターとは、マクロミルに参加しているモニターの声を反映した調査のこと。
出所 マカフィー株式会社、「2019年の10大セキュリティ事件と2020年の脅威予測」、2019年12月17日
図1 2019年のセキュリティ事件に関する意識調査と回答者のプロフィール
出所 マカフィー株式会社、「2019年の10大セキュリティ事件と2020年の脅威予測」、2019年12月17日
回答者の業種別内訳は、多い順にIT/通信業、製造業、卸・小売業などとなっている。
2019年のセキュリティ事件の特徴とトピックス
〔1〕2019年のサイバー攻撃の特徴
2019年のサイバー攻撃の特徴は、大きく次の3つがポイントであった。
第1は、企業に急速に普及し、大量のデータを扱うクラウドが、新たなサイバー攻撃の戦場になってきたことである。このため、今後、クラウドサービスを提供する側も、それを利用する側も、セキュリティ対策を強化する必要がある。
第2は、スマートフォンやSNSの利用が一般化して、リスクが拡大していることである。攻撃者は新しい攻撃を仕掛けてくるため、ユーザー側もそれに対応して防御に備える必要がある。
第3は、PayPayをはじめとする、新しいキャッシュレスサービスが続々と登場している中で、これらのサービスが攻撃対象として注目されるようになったことである。今後、サービスのセキュリティがより見直され、より安全なサービスとして提供されることが必要である。
〔2〕2019年のトピックス
表2に示す、「2019年の10大セキュリティ事件ランキング」を見ると、第3位の中国ファーウェイの事件、第9位の北朝鮮によるサイバー攻撃など、国際的に注目された事件もあるが、ここでは2つの注目された事件を紹介する。
表2 2019年の10大セキュリティ事件ランキング[認知度:%]
![表2 2019年の10大セキュリティ事件ランキング[認知度:%]](/sites/default/files/image/sgnl202001_28hyo2.png)
出所 マカフィー株式会社、「2019年の10大セキュリティ事件と2020年の脅威予測」、2019年12月17日
(1)セブンペイ(7pay)サービス廃止
第1位は、セブン&ホールディング傘下のセブン・ペイの7payサービスの一部のアカウントへの不正アクセス事件である。これにより、同サービスは、2019年8月1日に廃止された注4。
海外では「偽造通貨の問題もあり、現金を扱わないほうがセキュアである」という面からペイメントサービスが普及している。これに遅れていた日本では、これからペイメントサービスが本格化する時期だっただけに、そのインパクトは大きく、この事件の認知度は63.9%にも達した(表2参照)。
同事件の原因は、脆弱な認証システムが引き起こしたインシデントであり、その被害状況は808人、金額は約3,800万円であった注4。この事件によって、顔認証とパスワードや携帯電話番号など組み合わせた、2要素あるいは多要素の認証を設定する必要性が浮き彫りになった。同時に、これを契機に、現在提供されているサービスのセキュリティを見直すうえで、教訓ともなった事件であった。
(2)顔写真の瞳(ひとみ)に映った情報から住所を特定
第4位の会員制交流サイト(SNS)の「顔写真の瞳(ひとみ)に映った情報を手掛かりにアイドル女性の住所が特定されてしまった事件」は、これまで、一般的に住所を特定するのはテキストであったり、写真に含まれる背景情報などであったため、意外性のある事件であった。
同事件は、カメラの解像度が高いことが原因であるため、セキュリティ会社のマカフィーが解決できる課題ではなく、高解像度カメラの使い方に留意する課題であろう。
▼ 注1
「2019年10大セキュリティ事件と2020年の脅威予測」:登壇者は、マカフィー株式会社 コンシューマ マーケティング本部 執行役員兼コンシューマ セキュリティ エヴァンジェリスト 青木 大知(あおき だいち)氏(2019年10大セキュリティ事件)、同社セールスエンジニアリング本部 本部長 櫻井 秀光(さくらい ひでみつ)氏(2020年の脅威予測)。
▼ 注2
https://kyodonewsprwire.jp/release/201812101244
▼ 注3
マイニング(Mining):採掘(さいくつ)。鉱山などにおける金の採掘に例えられて使用される用語。例えば、仮想通過(ビットコイン)を取引所で購入するのではなく、侵入者が標的とするパソコンをマイニングマルウェア(多くは不正なWebサイトに仕組まれている)に感染させる。感染したパソコンは勝手に自分でマイニングし、侵入者に仮想通過が盗まれてしまう攻撃のこと。
▼ 注4
https://www.7andi.com/company/news/release/201908011500.html
