トレンドマイクロ 上級セキュリティエバンジェリストの染谷征良氏が、2014年の情報セキュリティ脅威動向を総括するキーワードとして選んだのは、「個人情報」と「ボーダーレス化」だ。

「2014年に行われたサイバー攻撃を振り返ると、法人を狙った攻撃であれ、個人を狙った攻撃であれ、常に何らかの個人情報が狙われており、かつ攻撃対象が従来と比べて拡大、あるいはボーダーレス化した1年だと締め括ることができる」

ネットバンキングを狙ったサイバー攻撃の動向。ワンタイムパスワードや電子証明書による対策も突破する手法が登場するなど、攻撃の悪質化も進んでいる

個人情報が狙われるのは、いまやサイバー攻撃の大半が金銭目的であり、個人情報は金銭化が容易だからだ。例えばトレンドマイクロの調査によると、「ロシヤの闇市場では、クレジットカード情報が1件当たり数百円で取引されている」という。

サイバー犯罪者が個人情報を狙う理由

ボーダーレス化を象徴する動きは、例えばネットバンキングを狙ったサイバー攻撃にも見られる。個人だけではなく、法人でも被害が増加。さらに大手金融機関にとどまらず、地方銀行やクレジットカード会社のネットバンキングも狙われるなど、これまでの常識を覆して攻撃対象が広がっているという。

また、ソフトウェアの脆弱性を悪用した攻撃においても、ボーダーレス化は起こっている。従来、脆弱性というと、WindowsやInternet Explorer、Flashなどのベンダーソフトウェアの脆弱性が中心だった。

しかし、2014年はOpenSSLに脆弱性「Heartbleed」が見つかるなど、オープンソースソフトウェアの脆弱性が大きくクローズアップされた年となった。「オープンソースソフトウェアは、公開サーバーはもちろんのこと、様々な組込み機器で使われており、重大な脆弱性が見つかった場合の影響範囲は非常に大きい」

さらに、2014年の脅威動向を語るうえで欠かせないのが、米国で猛威を振るったPOSシステムを狙った攻撃である。米国では2014年、POSシステムからのクレジットカード情報漏えい事件が「ほぼ毎週のように」発覚した。

トレンドマイクロの調査では、POSシステムを狙った不正プログラム「POSマルウェア」が検出されたPOSシステムの台数は、全世界で対前年比約21倍に増加している。「日本国内でも6件を確認しており、“対岸の火事”とは言えない」という。