ゼロデイ脆弱性、2015年は週1件ペースで前年の2倍以上:シマンテック調査

日川佳三 2016年04月21日 15時53分

  • このエントリーをはてなブックマークに追加

 シマンテックは4月20日、サイバー攻撃の脅威について動向をまとめたレポート「インターネットセキュリティ脅威レポート第21号」(全81ページ)をウェブサイトで公開した。日本語版は翻訳中であり、6月をめどに公開する。ゼロデイ脆弱性が増えており、2015年は54件と前年比で2倍以上になった。

 前号(2014年版の第20号)から1年ぶりとなる最新のセキュリティ脅威レポートについて、マネージドセキュリティサービス日本統括の滝口博昭氏が、過去のデータと2015年のデータの違いにフォーカスをあてて解説した。「ゼロデイ脆弱性、ランサムウェア、消費者詐欺、ウェブサイトの脆弱性、1000万件を超える大規模な情報漏えいの5つがハイライトだ」(滝口氏)

 2015年に最も変化があったトピックがゼロデイ脆弱性だ(図1)。2015年の1年間だけで54件、平均して毎週1件のゼロデイ脆弱性が報告されている。2014年の24件から2倍以上に増えた。54件のうち、代表的なものとしてAdobe Flash Playerが10件、Microsoft製品が10件、Androidが4件、Javaが1件ある。

図1:2015年はゼロデイ脆弱性が54件と倍増した
図1:2015年はゼロデイ脆弱性が54件と倍増した
シマンテック マネージドセキュリティサービス日本統括 滝口博昭氏
シマンテック マネージドセキュリティサービス日本統括 滝口博昭氏

 ゼロデイ脆弱性が公開されてからエクスプロイトキット(脆弱性を攻撃するツール)に反映されるまでの日数が短いことも昨今の特徴。「脆弱性が公開されてから、早くて4日で攻撃ツールが出てくる。脆弱性パッチを適用するまでの間に攻撃を受けてしまうことがあるので、セキュリティソフトなどで担保することが求められる」(滝口氏)

ランサムウェアは暗号化タイプが過半数を超える

 2015年は、端末を人質にとって身代金を要求するランサムウェアも進化を遂げた(図2)。以前のランサムウェアは、実際には問題がないにも関わらず偽りのアプリや偽りのウイルス対策ソフトで脅してお金を騙し取るもの、端末を操作できないようにロックをかけてお金を請求するものが多かった。これに対して、ファイルを暗号化して人質に取るタイプが増えてきた。

図2:ファイルを暗号化するタイプのランサムウェアが増えてきた
図2:ファイルを暗号化するタイプのランサムウェアが増えてきた

 暗号型のランサムウェアの総数は、2014年の26万9000件から、2015年には36万2000件(1日平均992件)と35%増加している。2015年時点で最も多いランサムウェアは暗号型であり、過半数を超える。

 ランサムウェアの感染者に対するテクニカルサポート対応を充実させている点もポイントだ(図3)。身代金を振り込む手順などを丁寧に教えて支援するという。お金を支払った人の暗号化を解除しているかどうかは把握できていないが、「(簡単にお金を振り込むことができた、お金を支払ったら解除してもらえたという)高評価を得るためにサポートに力を入れているのではないか」(滝口氏)と同社では推測している。

図3:ランサムウェアの感染者に対するテクニカルサポートを充実させている
図3:ランサムウェアの感染者に対するテクニカルサポートを充実させている

 ウェブサイトの脆弱性については、重大な脆弱性を抱えたサイトの比率は下がったものの、軽微な脆弱性を抱えたサイトの比率は上がったという。2015年は、ウェブサイトの4分の3が脆弱性を抱えており、15%が重大な脆弱性を抱えている状態という。

 「脆弱性の診断によって一定の対策はできる。サイトの運用をアウトソースしている場合はアウトソース先がきっちり対策しているかどうかを精査する必要がある」(滝口氏)

 情報漏えいについては、1000万件以上の“メガデータ”を漏えいさせた事件が2014年の4件から2015年では9件へと倍増した。個人情報の漏えい件数全体では、2014年の3億4800万件から2015年の4億2900万件へと23%増えた。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]