[クローズアップ]

マカフィーがキャッシュレス・SNS・クラウド時代の「2019年の10大セキュリティ事件」を発表!

― 2020年の5大脅威予測も同時に発表 ―
2020/01/06
(月)
威能 契 インプレスSmartGridニューズレター編集部

デバイスからクラウドまでを保護するサイバーセキュリティ企業、マカフィー株式会社(以下、マカフィー)は、日本国内の企業の経営層や情報システム部門のビジネス関係者を対象に、「2019年のセキュリティ事件に関する意識調査」を実施し、この結果をもとに「2019年の10大セキュリティ事件ランキング」を発表した。
キャッシュレス・SNS・クラウド時代を迎え、サイバー攻撃は様変わりしている。2019年は、日本では、セブン・ペイへの攻撃(バーコード決済サービス攻撃)が第1位となった。一方、国際的には北朝鮮から米国企業へのサイバー攻撃が激化し、個人向けにはSNSなど生活密着型交流サイトへのサイバー攻撃が増大していることも判明した。
2019年12月17日の同社記者会見(注1)では、同時に「2020年の脅威予測」として5つの脅威も発表された。

ランキング第1位はセブン・ペイへのバーコード決済サービス攻撃

 マカフィーは、2014年以来毎年、「10大セキュリティ事件ランキング」を発表しているが、2019年12月17日に、第6回目のランキングを発表した。

 前回の「2018年の10大セキュリティ事件ランキング」(2018年12月11日)注2では、史上最高額の被害をもたらした仮想通貨(ビットコイン)の流出事件や、フィッシング詐欺が上位にランクインするなど、巧妙化するサイバー脅威に注目が集まった1年であったため、「マイニングマルウェア元年」注3ともいわれた。

 これに対して2019年は、第1位にセブン・ペイ(バーコード決済サービス攻撃)、第2位にヤマト運輸(パスワードリスト攻撃)がランクインし、さらに個人向け脅威にはSNSなど生活密着型交流サイトへのサイバー攻撃が増大していることが判明した。情報セキュリティの脅威は、国際化に加えて、日常化・高度化し始めており、その対策は新しいステージを迎えている。

意識調査の目的と概要

 表1と図1に、今回発表された意識調査の目的と概要、回答者のプロフィールを示す。調査期間は、2018年12月〜2019年11月の1年間で、調査対象者のプロフィールは、図1に示す4つの企業規模をそれぞれ1/4ずつ、回答者数は計1,552名であった。

表1 2019年の10大セキュリティ事件に関する意識調査の目的と概要

表1 2019年の10大セキュリティ事件に関する意識調査の目的と概要

※マクロミル:2000年に創業したインターネットリサーチ事業者。インターネットを通じたマーケティングリサーチ事業を行う、国内最大手の1つ。マクロミルモニターとは、マクロミルに参加しているモニターの声を反映した調査のこと。
出所 マカフィー株式会社、「2019年の10大セキュリティ事件と2020年の脅威予測」、2019年12月17日

図1 2019年のセキュリティ事件に関する意識調査と回答者のプロフィール

図1 2019年のセキュリティ事件に関する意識調査と回答者のプロフィール

出所 マカフィー株式会社、「2019年の10大セキュリティ事件と2020年の脅威予測」、2019年12月17日

 回答者の業種別内訳は、多い順にIT/通信業、製造業、卸・小売業などとなっている。

2019年のセキュリティ事件の特徴とトピックス

〔1〕2019年のサイバー攻撃の特徴

 2019年のサイバー攻撃の特徴は、大きく次の3つがポイントであった。

 第1は、企業に急速に普及し、大量のデータを扱うクラウドが、新たなサイバー攻撃の戦場になってきたことである。このため、今後、クラウドサービスを提供する側も、それを利用する側も、セキュリティ対策を強化する必要がある。

 第2は、スマートフォンやSNSの利用が一般化して、リスクが拡大していることである。攻撃者は新しい攻撃を仕掛けてくるため、ユーザー側もそれに対応して防御に備える必要がある。

 第3は、PayPayをはじめとする、新しいキャッシュレスサービスが続々と登場している中で、これらのサービスが攻撃対象として注目されるようになったことである。今後、サービスのセキュリティがより見直され、より安全なサービスとして提供されることが必要である。

〔2〕2019年のトピックス

 表2に示す、「2019年の10大セキュリティ事件ランキング」を見ると、第3位の中国ファーウェイの事件、第9位の北朝鮮によるサイバー攻撃など、国際的に注目された事件もあるが、ここでは2つの注目された事件を紹介する。

表2 2019年の10大セキュリティ事件ランキング[認知度:%]

表2 2019年の10大セキュリティ事件ランキング[認知度:%]

出所 マカフィー株式会社、「2019年の10大セキュリティ事件と2020年の脅威予測」、2019年12月17日

(1)セブンペイ(7pay)サービス廃止

 第1位は、セブン&ホールディング傘下のセブン・ペイの7payサービスの一部のアカウントへの不正アクセス事件である。これにより、同サービスは、2019年8月1日に廃止された注4

 海外では「偽造通貨の問題もあり、現金を扱わないほうがセキュアである」という面からペイメントサービスが普及している。これに遅れていた日本では、これからペイメントサービスが本格化する時期だっただけに、そのインパクトは大きく、この事件の認知度は63.9%にも達した(表2参照)。

 同事件の原因は、脆弱な認証システムが引き起こしたインシデントであり、その被害状況は808人、金額は約3,800万円であった注4。この事件によって、顔認証とパスワードや携帯電話番号など組み合わせた、2要素あるいは多要素の認証を設定する必要性が浮き彫りになった。同時に、これを契機に、現在提供されているサービスのセキュリティを見直すうえで、教訓ともなった事件であった。

(2)顔写真の瞳(ひとみ)に映った情報から住所を特定

 第4位の会員制交流サイト(SNS)の「顔写真の瞳(ひとみ)に映った情報を手掛かりにアイドル女性の住所が特定されてしまった事件」は、これまで、一般的に住所を特定するのはテキストであったり、写真に含まれる背景情報などであったため、意外性のある事件であった。

 同事件は、カメラの解像度が高いことが原因であるため、セキュリティ会社のマカフィーが解決できる課題ではなく、高解像度カメラの使い方に留意する課題であろう。


▼ 注1
「2019年10大セキュリティ事件と2020年の脅威予測」:登壇者は、マカフィー株式会社 コンシューマ マーケティング本部 執行役員兼コンシューマ セキュリティ エヴァンジェリスト 青木 大知(あおき だいち)氏(2019年10大セキュリティ事件)、同社セールスエンジニアリング本部 本部長 櫻井 秀光(さくらい ひでみつ)氏(2020年の脅威予測)。

▼ 注2
https://kyodonewsprwire.jp/release/201812101244

▼ 注3
マイニング(Mining):採掘(さいくつ)。鉱山などにおける金の採掘に例えられて使用される用語。例えば、仮想通過(ビットコイン)を取引所で購入するのではなく、侵入者が標的とするパソコンをマイニングマルウェア(多くは不正なWebサイトに仕組まれている)に感染させる。感染したパソコンは勝手に自分でマイニングし、侵入者に仮想通過が盗まれてしまう攻撃のこと。

▼ 注4
https://www.7andi.com/company/news/release/201908011500.html

ページ

関連記事
新刊情報
5G NR(新無線方式)と5Gコアを徹底解説! 本書は2018年9月に出版された『5G教科書』の続編です。5G NR(新無線方式)や5GC(コア・ネットワーク)などの5G技術とネットワークの進化、5...
攻撃者視点によるハッキング体験! 本書は、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説したものです。実際のサンプル機器に...
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...