ニュース

2014年には全世界で10億件以上の情報漏えいが発生、IBM X-Forceレポート

 日本アイ・ビー・エム株式会社(日本IBM)は23日、2014年に全世界で発生したセキュリティ脅威の動向に関する調査レポート「IBM X-Force脅威に対するインテリジェンス・レポート:2015年第1四半期(日本語版)」を発表した。

 IBM X-Forceはセキュリティ研究開発チームとして、1日あたり200億件以上のデータをリアルタイムで相関分析し、脅威や脆弱性の研究と監視に取り組んでいる。

 発表されたレポートによると、2014年には全世界で合計10億件以上の情報漏えいが発生。2013年の約8億件から25%増加しており、大規模な情報漏えいが世界各地で多数発生する状況が続いている。

2014年には10億件以上の情報漏えいが発生

 2014年に攻撃を受けた業種は、「コンピューターサービス」が28.7%で最も高く、「小売」の13.0%、「政府機関」の10.7%などがこれに続く。国別では米国が70.5%で圧倒的に多く、その他の国は英国が3.4%、カナダが3.1%など。

「コンピューターサービス」業種が最も多く攻撃を受けた
国別では米国が70.5%と圧倒的

 攻撃のタイプ別の分類では、「未公開」が40.2%と最も多くなるが、公開されているものでは「マルウェア」と「DDoS」がともに17.2%と最も多かった。特にここ数年ではマルウェアの割合が増えているという。

攻撃のタイプ別では「マルウェア」「DDoS」が多い

 脆弱性の公開件数は、2014年は3万件超となり、2013年の8400件超から大幅に増えた。ただしこれは、SSL証明書の不適切な検証に関する脆弱性の問題について、影響を受けるAndroidアプリがそれぞれ別個の脆弱性としてカウントされたことが主な要因となっている。

脆弱性の公開件数はAndroidアプリの脆弱性の影響で大幅増

 2014年のセキュリティ問題全体の重要なテーマとしては、「デジタル世界におけるプライバシー」「システム基盤の欠陥」「セキュリティの基礎の欠如」の3点を挙げている。

 「デジタル世界におけるプライバシー」は、クラウドサービスに保管してあった機密写真が脆弱なパスワードが原因で漏えいした事件や、メールやクレジットカード番号などの漏えいによるプライバシー侵害などの問題を指している。

 「システム基盤の欠陥」は、OSやライブラリ、CMSソフトウェアなどの脆弱性が、膨大な数のウェブサイトに影響を及ぼしたことを指している。2014年には、OpenSSLの「Heartbleed」、bashの「Shellshock」、SSL 3.0の「POODLE」といった、名前を持つ危険度の高い脆弱性“designer vuln”が多数登場した点が特徴だったとしている。

2014年にはHeartbleedやShellshockといった、名前やロゴを通して認知された脆弱性“designer vuln”が多数登場した

 「セキュリティの基礎の欠如」は、攻撃が巧妙化・複雑化する一方で、基本的なセキュリティ対策が守られていないことを原因とする問題が、依然として多数発生していることを指している。エンドユーザーによるパスワードの再利用が背景となってパスワードリスト型攻撃が多発していることや、管理システムのデフォルトパスワードを安易に利用していることで多数のシステム侵害が発生したことなどを挙げ、基本的なセキュリティ対策が適切に実行されていないことが、依然として大きな問題だとしている。

 このほか、2014年の主なポイントとしては、アプリ開発フレームワーク「Apache Cordova」に発見された脆弱性を挙げている。IBM X-Forceの調査によると、Cordovaは全Androidアプリの約6%で使用されており、特にビジネスや医療、金融といったカテゴリーでは12%以上がCordovaを利用している。

 IBM X-Forceでは、2014年7月にAndroid版のCordovaで一連の脆弱性を発見。GoogleからもCordovaを利用しているアプリ開発者に対して警告が行われたが、アプリが修正されるペースは遅く、依然として59%のバンキングアプリが脆弱性な状態にあるという。こうした事例のように、脆弱なアプリによりユーザーが脅威にさらされる可能性が高まっていると警告している。

Cordovaの脆弱性は多くのAndroidアプリに影響があり、現時点でも修正があまり進んでいないという

 もう1つの主なポイントとしては、インターネットバンキングを狙ったマルウェア「Citadel」の動向を紹介。Citadelは、同じくインターネットバンキングを狙ったマルウェア「Zeus」からさらに進化したもので、銀行ごとにカスタマイズされたマルウェアがアンダーグラウンドで販売されており、現在では金融機関以外も標的として、企業の知的財産を狙う攻撃へと進化を続けているという。

 日本IBMソフトウェア事業セキュリティーシステムズ事業部技術部長の矢崎誠二氏は、「従来のセキュリティ対策ではこうしたマルウェアを発見することは難しい」という現状があると説明。従業員のエンドポイント保護、クラウドベースでのマルウェア検知、最新のインテリジェンスを含めた検出方法などの対策を行うとともに、「問題が起きないようにする」という考え方はもうできないとして、問題が起きることを前提とした対応の計画と実践が必要だとした。

日本IBMの矢崎誠二氏

三柳 英樹