シマンテック、脆弱性からスパイ活動まで、2014年のオンラインセキュリティにおける4大事件を発表

オンラインセキュリティのシマンテックは、2014年にオンラインセキュリティの世界で発生した4つの重要な事件を振り返り、12月1日発表した。大規模なデータ侵害からWebの根幹に関わる脆弱性まで、さまざまなセキュリティ事案が発生しており、オンラインセキュリティにおける大きなトレンドを示す事案もある。シマンテックでは、4つの重要な事件を振り返り、得るべき教訓と2015年に予想できるできごとを考察している。

シマンテックは、最初に「オープンソース暗号化ライブラリ『OpenSSL』のソフトウェア・バグ『Heartbleed脆弱性』と『ShellShock(Bash Bug)脆弱性』の発見」を挙げている。OpenSSLは、SSLプロトコルとTLSプロトコルでもっとも普及しており、脆弱性により、ログイン情報や個人データなどを盗み出し、セキュア通信を解読できる可能性がある。ShellShock(Bash Bug)脆弱性により、攻撃者は、侵入先のコンピュータからデータを盗み取るだけでなく、そのコンピュータを制御してネットワーク上の他のコンピュータにアクセスする可能性がある。続いて挙げているのは「組織化されたサイバースパイ活動とサイバー妨害工作の可能性」。2011年に活動を開始したDragonflyグループは、複数の経路で攻撃を仕掛ける能力を備えており、大掛かりな攻撃活動を実行して、産業用制御システム(ICS)機器メーカー数社のソフトウェアにリモートアクセス型のトロイの木馬を感染させた。

「店頭レジ端末(POS)システムを狙って消費者の決済カード情報を盗み取る攻撃」も多数発生した。今後普及が予想される近距離無線通信(NFC)は、磁気ストライプより安全性は高いものの、依然犯罪者が悪用する可能性があることには注意が必要といえる。シマンテックは最期に「法執行機関との協力体制の強化」を挙げた。2014年は国際的な法執行機関が、サイバー犯罪者の摘発に向けてオンラインセキュリティ業界との協力を深め、従来よりも積極的に活動した事例が多数あった。シマンテックもFBIと緊密に連携し、サイバー犯罪に関与した容疑者を追跡するための情報を提供している。

シマンテック
http://www.symantec.com/ja/jp/

シマンテック 日本版セキュリティレスポンスブログ
http://www.symantec.com/connect/security-response/japanese