イベント・新商品・キャンペーン情報の検索・投稿サイト「ことさが」

2017年のサイバー犯罪を読み解く三つの観点(トレンドマイクロ)

トレンドマイクロ株式会社は1月10日、「2017年国内サイバー犯罪動向解説セミナー」を開催した。登壇した同社のセキュリティエバンジェリストである岡本勝之氏は、2017年の国内サイバー犯罪の全体傾向として、「セキュリティ上の欠陥(脆弱性)」が企業に深刻な影響を与えたとした。その脆弱性を「システム」「人」「プロセス」の3つの観点から分析した。岡本氏は、2017年のトピックとして「WannaCry」「公開サーバからの情報漏えい」「BEC(ビジネスメール詐欺)」の3つを挙げている。

WannaCryはSMBの脆弱性を悪用し、ネットワークワームとして感染を拡大したが、マイクロソフトは修正プログラムを提供する半年前にSMB v1の使用停止を推奨する発表を行っている。そこには人とシステムの脆弱性があり、リスクが解消されなかったとした。なお、WannaCryの検出数は現在でも千件規模で確認されており、またSMB v1が使用するポート445がインターネットに露出している端末は増加しており、日本でも5万件以上あるとした。

公開サーバからの情報漏えいでは、2017年には国内法人からのべ350万件以上の情報が漏えいしており、このうち55.8%が脆弱性が原因となっている。また、「不明・未公表」が42.3%あるため、実際にはもっと多い割合を占めると指摘した。これは、パッチを適用していなかったり、アップデートしようとして調査をしたら、すでに攻撃されていたりなど、人とプロセスに脆弱性があったとした。

BECは、最近航空業界での被害が明らかになっているが、日本でもすでに数億円の被害が発生している。サイバー犯罪者は、フィッシングメールやマルウェアによって標的とする人物のメールへのログイン情報を入手し、メールのやり取りから商談の状況などを観察する。そしてタイミングを見計らって送金指示のメールを送りつける。その手口も、経営層になりすますケースと、取引先になりすますケースが確認されている。また、個人を狙いバンキングマルウェアに感染させようとするマルウェアスパムの増加も指摘した。

岡本氏は3つの観点での脆弱性として、システムでは「広く利用されているアプリケーションやサービスの脆弱性」「レガシーシステムの利用の欠如」「攻撃を防ぐ、早期に気づく対策の欠如」を、人では「リスクの過小評価や認識不足」「思い込みや誤解」を、プロセスでは「脆弱性の更新、危険緩和などの対策が迅速にできない課題」「アセスメントや更新時の確認プロセスの欠如」「『利便性』を優先したプロセスの課題」「責任の所在が不明瞭」を、それぞれ挙げた。

そして、これらの対策として、システムでは「代替防護策を含む計画的なパッチマネジメント」「侵入を前提とした監視体制の構築」、人では「攻撃手口を理解し被害に遭わないための従業員教育」「セキュリティポリシーやガイドラインの遵守」、プロセスでは「自社使用システムの把握と脆弱性情報の収集」「システム新設や更新時のセキュリティチェックの徹底」「『利便性重視に基づいた業務・運用プロセス』の見直し」「リスクや侵入の確認時に適切な対応を迅速に行える体制」を挙げた。
提供元:ScanNetSecurity

関連するイベントニュース

サイバーセキュリティ月間詳細発表、省庁対抗サイバーEKIDEN(攻撃対処訓練)も(NISC)

サイバーセキュリティ月間詳細発表、省庁対抗サイバーEKIDEN(攻撃対処訓練)も(NISC)

NISCは、2018年「サイバーセキュリティ月間」の実施について詳細を発表した。

サイバーセキュリティ月間初日イベント、ニコファーレで開催・中継(NISC)

NISCは、サイバーセキュリティ月間の初日のイベントとして、2月1日に「キックオフサミット」を開催すると発表した。

SECCON 2017決勝会場で自作ツールデモ展示(JNSA)

JNSAは、日本における最大規模のセキュリティ大会「SECCON 2017」の国際決勝大会のうち2日間(17日、18日)に、「SECCON YOROZU(よろず屋)」を開催すると発表した。

第2回目となるセキュリティ動画コンテストを開催、今回はポスターも募集(トレンドマイクロ)

トレンドマイクロは日、セキュリティ動画・ポスターコンテスト「What's Your Story?」第2回を開催すると発表した。

Scan勉強会「サイバー空間における日本企業及団体の情報漏えい実態」開催(イード)

イード ScanNetSecurityは、Scan勉強会#03「サイバー空間における日本企業及団体の情報漏えい実態」を12月18日に開催すると発表した。
2017年のサイバー犯罪を読み解く三つの観点(トレンドマイクロ)
2017年のサイバー犯罪を読み解く三つの観点(トレンドマイクロ)
2017年のサイバー犯罪を読み解く三つの観点(トレンドマイクロ)
2017年のサイバー犯罪を読み解く三つの観点(トレンドマイクロ)
2017年のサイバー犯罪を読み解く三つの観点(トレンドマイクロ)
2017年のサイバー犯罪を読み解く三つの観点(トレンドマイクロ)
2017年のサイバー犯罪を読み解く三つの観点(トレンドマイクロ)

イベント投稿

PR

Facebookもチェック

PR