クラウド利用での不備
2017年もAmazon S3やRsync、MongoDBなどで設定の不備が原因となって、個人情報などの大量の機密データが誤って公開されてしまう事態が相次いだ。こうしたデータは、攻撃者にとってスピアフィッシングのターゲット選びに使えるなど、価値が高いものになる。
2017年に報告されたデータ漏えいの約70%は、サーバの設定不備など人的ミスに起因している。クラウドを導入する企業は、適切なリスク評価を行うべきであり、システムへの侵入テストなど定期的な検査の実施を検討すべきである。
価値あるデータの侵害
2017年4月に下旬に、動画配信サービス企業から未公開の映像データが流出し、攻撃者がデータと引き替えに多額の身代金を要求する事件が発生した。同様の事件が続く中、英国などでは医療機関から盗まれた著名人の診療データと引き替えに身代金を要求する事件も起きている。
こうした金銭的価値の高いデータが取引先などから漏えいすることもあり、企業にはインシデントに対応する法的な体制や関係者とのコミュニケーション方法、CSIRTなどの整備が不可欠といえ、インシデント対応計画を作成すると同時に、定期的な監査などを通じて体制が適切に機能するかを確認する必要がある。
フィッシング攻撃
攻撃者が組織の経営幹部や取引先などを装い、メールでのやり取りを通じて従業員に送金を依頼する「ビジネスメール詐欺(BEC)」の脅威が広がり、2013~2016年に50億ドル以上の被害が発生したとされる。
BECでは、被害者が相手を信用して警戒心をあまり抱かず、送信内容を確認するといった行為もしないため、攻撃者にとっては非常に効果的な犯罪手法になる。特に規模の小さな組織では従業員と経営幹部の距離が近く、従業員が経営幹部からメールを受け取る機会は多いことから、特に狙われやすい。対策は難しく、もはや文章の表記ミスや不自然な表現をチェックするだけでは不十分であり、セキュリティ担当者は常に最新の動向を把握しながら、組織に注意を呼び掛けなければならない。
仮想通貨
仮想通貨の価値の急激な高まりを受けて、攻撃者も仮想通貨を標的にしつつある。仮想通貨の取引所から大量の仮想通貨が盗まれる事件が起きているだけでなく、偽のICO(仮想通貨を使った投資)を持ちかけて短時間のうちに巨額の仮想通貨を窃取する詐欺や、仮想通貨所有者のウォレットに対する攻撃も増えている。
デジタルな貨幣経済の世界では、コンピュータセキュリティのベストプラクティスを徹底することが必要であり、多要素認証の採用や取引前後における送信者と受信者のアドレスの二重のチェックを徹底するほか、仮想通貨の所有者はハードウェアのウォレットを利用してPINで保護された外部デバイスに秘密鍵を保存するといった対策を講じるべきである。
