分業化でハードル下がる--小売店や金融機関、モバイル端末を狙った攻撃に懸念

三浦優子 2015年06月30日 14時14分

  • このエントリーをはてなブックマークに追加
  • 印刷

 EMCジャパンは6月29日、「2015年下半期のサイバー脅威予測」を発表した。2015年下半期のサイバー犯罪として(1)Cybercrime as a Service、(2)モバイル端末、(3)小売店や金融機関への攻撃、(4)標的型で高度な脅威――という4つのトピックを挙げた。

 こうした攻撃に対する対応としては、「100%リスクをなくすことは現実的には難しい。境界を設け、内側だけを守るのではなく、脅威の侵入があったとしても状況を可視化するための要素集め、異常発見にもつながる分析の自動化、効率的に対処するためのインテリジェント駆動型セキュリティで対策していくことが望ましい」(RSA事業本部 事業推進部 シニアビジネスデベロップメントマネージャー 花村実氏)と提言している。

花村実氏
EMCジャパン RSA事業本部 事業推進部 シニアビジネスデベロップメントマネージャー 花村実氏

技術知識がなくてもサイバー犯罪者に

 (1)のCybercrime as a Serviceでは、闇サイトで実際に提供されているツールやサービスを紹介。「Cybercrime as a Serviceは、SaaSをまねた造語だが、闇サイトでは、この2年で劇的に進化し、競争でサービスが拡充するといったこともあり、手軽にサイバー犯罪を始められるツールやサービスが販売されている」(花村氏)ことを紹介した。

 例えば不正取得したカード情報が「この情報の中には、使われていないものが1件もない」「特定期間中であれば使われていないクレジットカード情報は使用中のものに交換」といったうたい文句とともに販売されている。

 さらに、「クレジットカード情報だけを取得してもどのように犯罪を行えばいいのかわからないといった利用者に対し、どう犯罪を行うのかを教育するサービスも登場している」と指摘した。

 こうしたツール類を販売する業者の拡充で「従来はある程度技術に詳しい人間がサイバー犯罪を行う図式だったが、現在では技術知識のない犯罪者も登場している。サイバー犯罪における分業がスタートしている」と新しいサイバー犯罪の構図が生まれているという。

 (2)では、モバイル端末向けに金融機関がサービスを拡充していることに伴い、「利用者にとっては便利な状況が生まれているが、利用者にとって便利ということは犯罪者にとっても便利な状況が生まれていることになる。モバイル端末を絡めた犯罪は増加傾向にある」という状況を解説した。

 これまで闇サイトで提供されてきたZitMOやPerkele、mTokenに加え、利用者の端末に保存されている情報を根こそぎ吸い上げるiBankingが登場。このツールは利用者が自分の好みの色に画面を変えられるなど使い勝手が良いものとなっているという。

 こうした環境が整ったことからモバイル向けの不正アプリやマルウェアなどが増加し、犯罪者は常時接続というモバイルの特性を活かした攻撃をしかけてくると予測。モバイルペイメントシステムへの攻撃、モバイル端末へのスタンドアロン攻撃が増加するとしている。

 (3)の小売店や金融機関への攻撃については、以前から増加していることもあって、米国ではVISAが新施策として「VISA EMV Liability shift」を2015年10月から実施する。この施策は、クレジットカードのEuropayやMasterCard、Visaが定めた、接触型ICカード(チップ)の規格である「EMV」に対応する決済端末を設置していない店鋪でEMVカードが使用された場合に、犯罪が起こった場合でも被害の補填をしないという措置。

 小売店などのクレジットカード情報のセキュリティ被害には十分な対策となるが、「コストがかかることもあって、10月のスタートには間に合わないところも多いと言われている。そんな間隙をついた攻撃が起こるのではないか」と簡単には小売り、金融業への攻撃は収まらないと見ている。

 (4)の標的型で高度な脅威については、2007年に最初のマルウェアといわれるZeuSが誕生し、その後SpyEyeも登場。さらにその後にZeuSを開発したチームの内部抗争が原因といわれる、ZeuSのソースコードがリークされた。2013年にはFILLING THE VOIDが登場したが、コンバージョン、派生、そしてリークも行われた。2014年にはDyre Staitsが登場している。

 こうした事態に対処するために、EMCではインテリジェンス駆動型セキュリティが適切だと提言している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]