2014年を騒がせた重大なセキュリティ脅威には、昔ながらのミス、新たな敵、無垢な大衆、人間の悪意という、お馴染みの要素が揃っていた。
2013年には、Edward Snowden氏がセキュリティに対する人々の認識を一変させた(そして表社会から裏社会に至るまでのさまざまな領域で活動する信奉者達に仕事の種を与えた)。エクスプロイトキットのBlackhole Exploit Kitや、ランサムウェアCryptolockerがもたらした悪夢を、一部の者は無傷で切り抜けた。闇ウェブサイトのSilk Roadが舞台から退場し、Targetで発生した史上最大規模の情報漏洩が大衆の関心を集めた。
対する2014年は、情報セキュリティを巡る脅威と危機が一気に極大化し、それらに巻き込まれた人間達のエゴが爆発した1年となった。
2014年には、小売業界で衝撃的な規模の情報漏洩が頻発し、サイバー攻撃の最前線に中国が参戦し、Facebookで詐欺が横行し、ShellshockとHeartbleedがペットのPOODLEを連れて現れた。そして脆弱性を抱えるアプリケーションと、相も変わらぬ責任転嫁が、情報セキュリティを脅かす最大の要因として浮上した。
それでは、2014年の10大セキュリティ脅威を振り返ってみよう。
10. 普通の人々
それほど危険性が高いと思われなかったマルウェアに感染した1通のメールにより、小売業界大手のTargetから、4000万件のクレジットカード情報と7000万件のユーザーアカウント情報という史上最大規模の情報が流出した。その影響が広がった2014年を特徴付けるのは、店員、同僚、友人、家族といった普通の人々が、情報セキュリティに対する最大の脅威の一つとなった点である。
2013年12月に発生したこの大惨事の原因となったのは、Targetに出入りしていた空調業者の従業員から発信されたフィッシング攻撃だった。フィッシング攻撃は驚くほど多用されている。その理由は、成功率が高いからだ。2014年、企業情報の窃取を狙う悪質なハッカーや、盗難データの闇取引を行う組織が、標的型攻撃の最大のターゲットにしたのは、セキュリティに詳しくない普通の人々だった。
F-Secureが発表したレポート「Mobile Threat Report Q1 2014」は、一般的なユーザーを狙った攻撃が蔓延している現状と、攻撃がアプリケーションを通じて社内システムに侵入する手口を明らかにし、各方面に衝撃を与えた。
一方、RAND CorporationとJuniper Networksが3月に発表したレポート「Markets for Cybercrime Tools and Stolen Data」は、パッチが適用されていない脆弱性に加えて、人間的な要素が攻撃に対する弱点になると正確に予見していた。
2014年末の時点でIT管理者の9割近くが、対処すべき最大の脅威は不注意な従業員が手にしているモバイルデバイスだと回答している。
9. クラウドの惨劇
大企業は我先にクラウドへ殺到しているが、その内心ではクラウドのセキュリティに戦々恐々としている。人々のクラウドに対する信頼感は2014年に最低値を更新したが、これは驚くに当たらない。
2014年は、クラウドのセキュリティに対する信頼を揺るがすビッグニュースが相次いだ。まずXenのバグが原因で、AmazonがEC2インスタンスの再起動を強いられるという事件があった。Rackspaceも同じバグの餌食になり、サービスの再起動を強いられた。
その後、iCloudから大物セレブ達のヌード写真が流出したとき、消費者の不安はあおられ、投資家はパニックを起こし、Appleの株価は急落した。セレブ達の写真流出時に悪用されたiCloudの脆弱性は、以前からその危険性が指摘されていたものだった。その後、中国のiCloudユーザー達も攻撃の被害に遭った。消費者保護に向けたAppleの対応は後手に回り、2段階認証の導入も遅きに失した。Appleはこの事件で自身のイメージを貶めただけでなく、クラウドという技術の安全性に対する信頼自体を傷付けた。
BTが2014年9月に11カ国で実施した調査によると、IT関連の意思決定に携わる人間の75%以上が、クラウドサービスのセキュリティに対して「非常に不安だ」と回答している。にもかかわらず、全世界で70%、米国では79%もの企業が、クラウドストレージやウェブアプリケーションを採用している。
