2011 年度版『インターネットセキュリティ脅威レポート』、中小企業に対するリスクの増加を指摘 Symantec Security Technology and Response ディレクター Kevin Haley
中小規模企業には、インターネットベースの今日の市場で高い競争力を発揮できる柔軟性があります。そして、ビジネスのオンライン化が進むなかでは、機密情報を保護することが、今まで以上に重要になっています。
ハッカーは、企業の規模など考慮しません。彼らが考えるのは、いかにして防御をすり抜け、貴重な情報や金銭を奪い取るかということだけです。ハッカーにとって中小規模企業が狙い目であるのは、エンドユーザーよりお金があり、大企業よりサイバー防御力が弱いという傾向があるからです。しかも今や、そうしたハッカーは技術力の高いコンピュータギークだけではなくなりました。攻撃ツールキットが簡単に手に入るので、初心者でもそれを使えば、コンピュータに侵入し、銀行口座のログイン名とパスワード、あるいは顧客のクレジットカード番号の一覧などを盗み出すために必要な情報をすべて抜き取ることができるのです。『インターネットセキュリティ脅威レポート』 (英語) では、このようなツールキットによって Java の悪用が増えていると報告されています。Java は、ほぼすべてのオペレーティングシステムで、またどの Web ブラウザ上でも実行可能なコンピュータ言語です。
企業の従業員の誰もがソーシャルネットワークを使っています。サイバー犯罪者も使っていますが、もちろんサイバー犯罪者の友だちどうしで連絡を取り合っているわけではなく、目的は人々が使っているコンピュータにマルウェアを感染させることです。ソーシャルネットワークサービスは伝染的な性質を持っているため、コストをほとんど使わずに目的のメッセージを拡散することができます。また、エンドユーザーはソーシャルネットワークが安全であると思い込みやすいので、ソーシャルエンジニアリングの手口に対して無防備です。用心深いユーザーでさえ、短縮 URL を使ったソーシャルエンジニアリングには騙されてしまいます。短縮 URL は、ソーシャルネットワークで投稿の字数制限に対処するうえでは便利ですが、攻撃者が悪質な Web サイトの URL を隠蔽することも可能にします。この手口は効果が高いので、攻撃者は次々と短縮 URL を利用しています。ソーシャルネットワークに投稿される悪質な URL の 65% は、短縮 URL でした。
そればかりではなく、サイバー犯罪者はスマートフォンやタブレットでも攻撃の機会を狙っています。今では多くの企業の従業員が、企業データへのアクセスにスマートフォンやタブレットを使うようになっていますが、そうしたデバイスに対するセキュリティポリシーはまだ導入されていません。現在最も懸念されるリスクは、ユーザーが悪質なコードを含むアプリケーションをダウンロードし、ユーザー情報へのアクセスや、さらにはデバイスの制御までハッカーに許してしまうことです。ビジネスにおけるモバイルデバイスの重要性は今後も高まり続けることから、モバイルデバイス専用に開発された破壊的なソフトウェアが急増すると予想されます。ハッカーはすでに、この新しい市場を悪用する機会に目をつけており、モバイルデバイスに関する脆弱性の報告数は、2010 年に 42% も上昇しています。
『インターネットセキュリティ脅威レポート』では、昨年の 1 年間でシマンテックが新たに 2 億 8,600 万件もの脅威を検出したと指摘しています。この数は毎年増えており、2011 年にはこれらの攻撃のいくつかが皆さんに向けられるかもしれません。といっても、それは暗い予測とは限りません。『インターネットセキュリティ脅威レポート』では、中小規模企業が現在のセキュリティポリシーを評価すべきであると強調しています。セキュリティの重点をどこに置くべきか、もう一度考え直す絶好の機会です。また、このレポートには、オンラインでのビジネスを保護するためのベストプラクティスも盛り込まれています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。