いますぐできる！ まだ間に合うセキュリティ強化策（1）

　こんにちは。アルプスシステムインテグレーション株式会社で、情報漏えい対策ソリューション「InterSafe ILP」の開発を担当している和田と申します。今年も残すところあとわずかとなりました。企業を狙ったサイバー攻撃は、年々、巧妙化・悪質化していますが、今年もさまざまな情報セキュリティ事件が発生しました。なかには、社会的に大きな問題となった情報漏えい事件もあり、現状のセキュリティ対策に不安を感じているシステム担当者や経営層の方も多いのではないでしょうか。

　そこで、今回から全5回にわたって、2014年の情報セキュリティ事件の傾向を振り返りながら、いまからでも間に合うセキュリティ強化・情報漏えい対策をご紹介していきたいと思います。

　では、2014年にどのような情報セキュリティ事件が発生したのか、主なトピックを時系列を追って見てみましょう。まず、2月に発生したのが、大手航空会社のマイレージWebサイトへの不正アクセス、および大手地方銀行のカード偽造事件。4月には、OpenSSLの脆弱性が見つかりました。そして7月、大手通信教育会社から顧客情報が大量流出したことが発覚し、世間を震撼させました。さらに9月には、bashの脆弱性が見つかったほか、iCloud上からの海外セレブの個人情報流出、複数の大手宅配業者の会員サービスへの
不正ログインなど、セキュリティ事件が相次ぎました。

　こうした事件に加えて、2014年の情報セキュリティトピックとして見逃せないのが、大手金融機関やクレジットカード会社を騙ったフィッシング詐欺です。これは、銀行やクレジットカード会社からの正規の通知に見せかけたメールを送り、メールに記載されたリンクから偽装サイトに誘導し、個人情報や口座のパスワードを盗み取ろうというもの。差出人も偽装されているので、詐欺メールとは疑わずについクリックしてしまう人も多いようです。これに対しては、金融機関側も対策に力を注いでいて、私の所にも「フィッシング詐欺に気を付けて下さい」と、注意を促すメールが届いています。また、金融機関のWebサイトでも、フィッシング詐欺への注意勧告が積極的に行われています。

　このほかには、LINEやTwitterなどソーシャルサービスのアカウント乗っ取り被害も話題になりました。知らないうちに、自分のアカウントのID・パスワードが他人に使われていて、乗っ取られたアカウントから友人などにプリペイドカードの購入を促すといった手口が横行しているようです。

　また、法令関連では、11月6日に成立した「サイバーセキュリティ基本法」が耳に新しいところです。同法では、サイバーセキュリティに関する施策を総合的かつ効果的に推進していくことを目的に、サイバーセキュリティ対策の基本理念を定めるとともに、国や地方公共団体の責務などを明確化しています。特に2020年の東京五輪・パラリンピック開催に向けて、政府機関や重要インフラをサイバー攻撃から守るため、国も本格的にサイバーセキュリティ対策の強化に取り組んでいく姿勢を示しました。

　ここまで、2014年の情報セキュリティに関する主なトピックを駆け足で振り返ってきましたが、この中でも、やはり大手通信教育会社の顧客情報流出事件が与えたインパクトは非常に大きいものでした。全体的な傾向を見ても、企業の情報システムへの大規模な不正アクセスや、内部からの情報漏えいなど、企業の事業活動に多大な影響を及ぼすセキュリティの重大事件が多く発生した年といえるのではないでしょうか。

　第2回では、2014年最大のトピックである大手通信教育会社の顧客情報流出事件にフォーカスを当て、スマートデバイスからの情報漏えいを防ぐために、今すぐできるセキュリティ強化策をご紹介したいと思います。