17年サイバー犯罪、人・プロセスの脆弱性による被害が拡大

  • このエントリーをはてなブックマークに追加

トレンドマイクロ(株)が10日発表した「2017年国内サイバー犯罪動向」によると、17年はシステムの脆弱性に加えて、リスク認識や業務・システムの運用プロセスの隙間となる“人”や“プロセス”の脆弱性を要因とした被害が多かったことが確認された。

 

 同調査は、同社が17年に日本国内を中心に観測されたサイバー攻撃の傾向を独自の統計データを元に分析したもの。

 

ランサムウェア「WannaCry」の検出台数推移(17年5~11月、トレンドマイクロ調査)

 

公開サーバからの情報漏えいは350万件に

 同調査によると、17年5月に登場したランサムウェア「WannaCry」の国内検出台数は、11月末までに1万6100台に上り、攻撃に晒されるコンピュータが国内に多く存在することが明らかになっている。「WannaCry」が感染拡大に利用する「SMB1.0(SMB V1)」は、16年9月にマイクロソフトから使用停止が推奨されており、更新プログラムも公開されているが、多くの企業で問題の把握や更新プログラム適用が実施されていないのが現状となっている。

 

 公開サーバからの情報漏えいについては、17年1月~11月に国内法人組織が公開するサーバからの漏えい事例が52件公表され、のべ350万件以上の情報が漏えいしたことが分かった。同社の分析によると、Webアプリケーションに代表されるシステムの脆弱性を被害原因とする事例が、全体の約6割を占めている。一部の事例では、情報漏えい被害が発覚する前に脆弱性の存在に気づいていたものの、組織内の責任の所在が不明確、システム改修のための予算が確保できないなどの理由で、更新プログラムが適用されなかった事例もあった。

 

サイバー犯罪対策は、システム対策+人・プロセスの課題解消が重要

 「ビジネスメール詐欺」の被害については、全世界で53億米ドルもの被害が発生している一方、国内では17年12月に大手航空会社が約3億8000万円を騙し取られる被害に遭ったことが公表されるなど、複数の被害事例が明らかになっている。「ビジネスメール詐欺」のうち「CEO詐欺」(企業の最高経営責任者CEOや代表取締役社長などになりすました偽装メール)で使用されるメールについて同社で調査したところ、17年1月~11月に8600件以上の「CEO詐欺」メールが全世界で確認され、このうち日本法人への詐欺メールは11件だった。「ビジネスメール詐欺」は、組織内の経理担当者や業務担当者などの一般従業員が狙われることが多く、セキュリティ製品でのメール盗み見の防止や、組織内における従業員教育や注意喚起が重要となっている。

 

 こうした状況を踏まえて同社では、17年の国内サイバー犯罪動向を「3つのセキュリティ上の欠陥が企業に深刻な影響を与えた1年」と総括。企業が対策を進める際には「システム」による対策だけにとどまらず、従業員教育や組織体制、業務プロセスの見直しなど“人”や“プロセス”に関する課題を併せて解消することが重要だとしている。

関連記事