編集部からのお知らせ
(記事集)ニューノーマルで伸びる業界
「ニューノーマルとIT」新着記事一覧

ゼロデイ脆弱性、2015年は週1件ペースで前年の2倍以上:シマンテック調査

日川佳三

2016-04-21 15:53

 シマンテックは4月20日、サイバー攻撃の脅威について動向をまとめたレポート「インターネットセキュリティ脅威レポート第21号」(全81ページ)をウェブサイトで公開した。日本語版は翻訳中であり、6月をめどに公開する。ゼロデイ脆弱性が増えており、2015年は54件と前年比で2倍以上になった。

 前号(2014年版の第20号)から1年ぶりとなる最新のセキュリティ脅威レポートについて、マネージドセキュリティサービス日本統括の滝口博昭氏が、過去のデータと2015年のデータの違いにフォーカスをあてて解説した。「ゼロデイ脆弱性、ランサムウェア、消費者詐欺、ウェブサイトの脆弱性、1000万件を超える大規模な情報漏えいの5つがハイライトだ」(滝口氏)

 2015年に最も変化があったトピックがゼロデイ脆弱性だ(図1)。2015年の1年間だけで54件、平均して毎週1件のゼロデイ脆弱性が報告されている。2014年の24件から2倍以上に増えた。54件のうち、代表的なものとしてAdobe Flash Playerが10件、Microsoft製品が10件、Androidが4件、Javaが1件ある。

図1:2015年はゼロデイ脆弱性が54件と倍増した
図1:2015年はゼロデイ脆弱性が54件と倍増した
シマンテック マネージドセキュリティサービス日本統括 滝口博昭氏
シマンテック マネージドセキュリティサービス日本統括 滝口博昭氏

 ゼロデイ脆弱性が公開されてからエクスプロイトキット(脆弱性を攻撃するツール)に反映されるまでの日数が短いことも昨今の特徴。「脆弱性が公開されてから、早くて4日で攻撃ツールが出てくる。脆弱性パッチを適用するまでの間に攻撃を受けてしまうことがあるので、セキュリティソフトなどで担保することが求められる」(滝口氏)

ランサムウェアは暗号化タイプが過半数を超える

 2015年は、端末を人質にとって身代金を要求するランサムウェアも進化を遂げた(図2)。以前のランサムウェアは、実際には問題がないにも関わらず偽りのアプリや偽りのウイルス対策ソフトで脅してお金を騙し取るもの、端末を操作できないようにロックをかけてお金を請求するものが多かった。これに対して、ファイルを暗号化して人質に取るタイプが増えてきた。

図2:ファイルを暗号化するタイプのランサムウェアが増えてきた
図2:ファイルを暗号化するタイプのランサムウェアが増えてきた

 暗号型のランサムウェアの総数は、2014年の26万9000件から、2015年には36万2000件(1日平均992件)と35%増加している。2015年時点で最も多いランサムウェアは暗号型であり、過半数を超える。

 ランサムウェアの感染者に対するテクニカルサポート対応を充実させている点もポイントだ(図3)。身代金を振り込む手順などを丁寧に教えて支援するという。お金を支払った人の暗号化を解除しているかどうかは把握できていないが、「(簡単にお金を振り込むことができた、お金を支払ったら解除してもらえたという)高評価を得るためにサポートに力を入れているのではないか」(滝口氏)と同社では推測している。

図3:ランサムウェアの感染者に対するテクニカルサポートを充実させている
図3:ランサムウェアの感染者に対するテクニカルサポートを充実させている

 ウェブサイトの脆弱性については、重大な脆弱性を抱えたサイトの比率は下がったものの、軽微な脆弱性を抱えたサイトの比率は上がったという。2015年は、ウェブサイトの4分の3が脆弱性を抱えており、15%が重大な脆弱性を抱えている状態という。

 「脆弱性の診断によって一定の対策はできる。サイトの運用をアウトソースしている場合はアウトソース先がきっちり対策しているかどうかを精査する必要がある」(滝口氏)

 情報漏えいについては、1000万件以上の“メガデータ”を漏えいさせた事件が2014年の4件から2015年では9件へと倍増した。個人情報の漏えい件数全体では、2014年の3億4800万件から2015年の4億2900万件へと23%増えた。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    ファイルサーバ管理のコツはここにあり!「無法状態」から脱出するプロセスを徹底解説

  2. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  3. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  4. ビジネスアプリケーション

    デメリットも把握しなければテレワークは失敗に?─LIXIL等に学ぶ導入ステップや運用のコツ

  5. 運用管理

    ニューノーマルな働き方を支えるセキュリティ-曖昧になる境界に変わらなくてはならないデータセンター運用

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]