2014年の10大セキュリティ脅威を振り返る - (page 4)

2. 小売業界の壮絶な情報漏洩

　2014年は、Targetで発生した歴史的規模の情報漏洩を引きずる形で幕を開けた。その後も、Home Depot、Kmart、Michaels、Dairy Queen、Staples、Goodwill、Nieman Marcus、JPMorgan Chase、Verizon、EA Gamesなど、大規模情報漏洩を引き起こす企業は後を絶たず、POSマルウェアの台頭を強く印象付けた。事件の規模をイメージしやすいよう具体的な数字を挙げると、Home Depotから漏洩した情報は、メールアドレスが5300万件、クレジットカード情報が5600万件に及ぶ。

　Identity Theft Research Centerが公表した2014年の情報漏洩に関する調査結果は、恐ろしい事実を突き付けた。2014年10月の時点で、大規模な情報漏洩は知られているだけでも621件発生しており、盗み出された情報は7789万487件に及ぶのだ。

　分野別に見ると、銀行、クレジットカード、金融では2014年に24回のセキュリティ侵害が発生し、117万2320件の情報が漏洩した。一般企業で発生したセキュリティ侵害はなんと215回に及び、実に6440万7359件の情報が漏洩した。医薬、ヘルスケアのセキュリティ侵害も263回という恐るべき数字に達しており、746万4611件の情報が漏洩した。

　BitSightの調査によると、小売業界では2014年を通じて、同社が監視するすべての脅威への感染が増加傾向にあるという。最も多いのはマルウェアの拡散で、ボットネットへの感染がそれに続く。BitSightが検出したマルウェアの中で猛威を振るっていたのは、Maazben、ZeroAccess、Zeus、Viknok、Conficker、Cutwailである。

　RSAの委託を受けたPonemon Instituteが2014年末に実施した調査では、大規模な情報漏洩が続発する中、消費者が情報漏洩に対して「食傷気味」になりつつある実態が浮き彫りになった。

1. 2014年最大の脅威： TLS/SSLプロトコルに発見された驚愕のバグ： 「goto fail」「Heartbleed」「POODLE」「WinShock」

　OpenSSLに見つかった2014年最大のバグ「Heartbleed」は、専用のロゴを与えられるなど、数ある情報セキュリティ脅威の中でもハリウッドスター並みの別格扱いを受けた。しかしニュースの見出しを飾るほどのバグが、まだパッチが用意されていない時点で公表されたことに、多くの企業が激怒した。Google、AWS、RackspaceはHeartbleedの餌食となったが、Azureは被害を免れた。

　Heartbleedは暗号化のバグで、理論上は悪用されれば、セキュアだと信じられていたHTTPS経由の通信を解読される可能性がある。パスワード、暗号鍵、金融細目、個人を特定可能な情報など、ありとあらゆるデータがハッカーに盗み出される可能性があるのだ。しかも攻撃された痕跡は残らない。

　Heartbleedの原因となったコードを書いたプログラマは、バグが偶発的なものであると釈明した。

　しかしHeartbleedが浮上する前の2月、アップル製品のSSL暗号化に見逃されていた深刻な脆弱性「goto fail」が発見され、Appleが小出しにリリースするパッチが出揃うまで、iPhone、iPad、Macのユーザー達が中間者攻撃に対して無防備な状態で放置されるという事件があった。

　2014年の後半、Googleは「nogotofail」と名付けたツールをリリースした。Appleの「goto fail」にちなんだ名前を持つこのツールを使えば、インターネットに接続するデバイスやアプリケーションが、既知のバグや設定ミスが原因で、TLSやSSLの脆弱性の影響を受けるかどうかを確認できる。

　また、Googleのセキュリティチームは2014年の晩秋、時代遅れだが未だに広く利用されているSSL 3.0に、Heartbleedとは別の深刻なバグが存在することを発見した。このバグを悪用すれば、セキュアなHTTP Cookieや、HTTP承認ヘッダなどのベアラトークンを窃取できることが実証され、この実証例は「Padding Oracle On Downgraded Legacy Encryption（POODLE）」と名付けられた。セキュリティチームのBodo Moller氏は、「この脆弱性を悪用されると、攻撃者によってセキュアな接続を平文化される可能性がある」と述べている。その後、OpenSSL Initiativeはパッチを公開した。

　2014年の終盤、Microsoftも呪いのSSLパーティーに招待された。Microsoftは11月の月例セキュリティ情報でCVE-2014-6321の脆弱性を公表し、この脆弱性はコミュニティによって「Winshock」と名付けられた。19歳を迎えたWindowsに発見されたこの深刻なゼロデイ攻撃の脆弱性は、Windows 95以降のほぼ全バージョンのWindowsが影響を受けた。また、MicrosoftはWindowsのサーバ製品とクライアント製品のSchannelセキュリティパッケージに脆弱性があると公表した。Schannelは、TLS/SSL認証プロトコルを実装するセキュリティサポートプロバイダ（SSP）である。

2015年： 次の1年

　2014年を騒がせた重大なセキュリティ脅威のうち、年内に終息しそうな脅威と、2015年にも事件を起こしそうな脅威を見分けるのは簡単だ。セキュリティに無防備な一般大衆（特にBYODを利用する人々）、セキュリティに脆弱性のあるアプリケーション、責任転嫁、説明責任の意識を欠いた新興企業、そしてセキュリティ慣習に問題がある小売業界が原因の事件は、2015年も発生し続けるだろう。

　今回のトップ10入りは逃したが、2015年に増加が予想される脅威は他にもある。たとえば、Androidは2014年にセキュリティが破綻状態に陥ったが、2015年にはAndroidを標的にしたマルウェアが激増するだろう（ちなみにAndroidを標的にした攻撃は、2014年のモバイルデバイスに対する全攻撃の70％を占めている）。

　また2015年には、ヘルスケア業界が攻撃の格好の餌食となる可能性が極めて高い。BitSightが2014年に実施した調査によると、S&P 500企業を4種類の業界に大別した場合、ヘルスケア業界にはセキュリティ意識の最も低い企業が集まっていたのだ。

　さらに、2015年には「モノのインターネット（IoT）」に対する攻撃も間違いなく増加するだろう。IBMの最新のX-Force Threat Intelligence Quarterlyレポートによると、IoTのセキュリティが負担になっていると回答した企業は全体の95％に上った。

　2014年末、FTCはセキュリティに関する詐欺行為を行っていた企業に営業停止命令を出した。この企業は、ウイルスが検出されたとしてユーザーを欺し、偽のウイルス対策ソフトを買わせることで、2500万ドルを荒稼ぎしていた。サイバー攻撃、セキュリティ侵害、小売業界からの大規模情報漏洩などのニュースが半ば日常化しつつある中、2015年にはこうした事件のさらなる増加が予想される。