IPA「2013年版 10大脅威　身近に忍び寄る脅威」を公開

IPAが「2013年版 10大脅威　身近に忍び寄る脅威」を公開した。

　小熊も、この「10大脅威執筆者会構成メンバー」に名を連ねているので、簡単にコメントさせていただく。

1 位 クライアントソフトの脆弱性を突いた攻撃

　前年4位から1位にランクアップ。2位の「標的型諜報攻撃」、4位の「ウイルスを使った遠隔操作」、5位の「金銭窃取を目的としたウイルスの横行」などに共通する項目として1位になったと思われる。AdobeやJavaの脆弱性問題はなかなか根深い。

2 位 標的型諜報攻撃

　前年1位から2位へランクダウン。2011年は大きな事件があったため1位になったが、若干ほとぼりがさめたか。

3 位 スマートデバイスを狙った悪意あるアプリの横行

　6位から3位にランクアップ。スマートフォンの利用の広がりを受けてと思われる。

4 位 ウイルスを使った遠隔操作

　初登場4位。逮捕者まで出した事件なので、もっと上位まで行くかと思ったが、1位と票を分けた形になったか。

5 位 金銭窃取を目的としたウイルスの横行

　昨年、一昨年とランク外だったが、今回再びランクイン。オンラインバンキングを狙ったMITB(Man In The Browser)攻撃が注目を浴びた。

6 位 予期せぬ業務停止

　2012年、ファーストデータのデータ消失事件があり、業界によっては大きな衝撃があったようだが、前年2位から大きくランクダウン。これは意外。

7 位 ウェブサイトを狙った攻撃

　2008年～2011年までは1位か2位、前年は5位に落ち、今回は7位。脅威は依然として継続していると思うが、他の脅威が注目されたためのランクダウンか。

8 位 パスワード流出の脅威

　前年9位から8位へ。昨年LinkedInの大規模パスワード漏洩などがあり、小熊としてはだいぶ気になっているところであるが、LinkedInは日本ではそれほど利用者が多くないせいか、あまり順位は上がらなかった。実際に使われているパスワードが大量に(650万件)漏洩したという事実は、攻撃者の辞書攻撃の精度を格段に高めるという意味で、長期的な観点から非常に大きな問題である。

9 位 内部犯行

　2012年に大きな事件が無かったせいか、低調なランキング。但し、内部の脅威を決して軽視してはいけない。

10 位 フィッシング詐欺

　5位の「金銭窃取を目的としたウイルスの横行」と票を分けたか。

　また、今後注目すべき脅威として、以下の3つを示している。これらはまさに、RSA CONFERENCEにて感じてきたことと合致している。

1.クラウド利用における課題

　クラウドの利用が急速に拡大しており、オンプレミスシステムとの差を埋めるためにセキュリティが求められている。

2.重要インフラを狙った攻撃

　ビッグデータをビジネス活用する事例が増え始め、重要インフラがネットワークと密接に関係するようになっていく。一方で、それに対する脅威も増加していく。

3.既存対策をすり抜ける攻撃の広がり

　標的型攻撃は、シグネチャベースでの検出システムでは検出できない。それを、ビッグデータを用いて、振る舞いで検出しようとする試みが始まっている。

　クラウドやビッグデータの利用は、やはり米国が一歩先を行っているように思える。孫正義氏の「タイムマシン経営」に倣えば(もう通用しない、とも言われているが...)、日本で本格的に利用が始まるのは、1～2年後になるだろう。となると、これらの脅威が本格的に日本で認識されるのもその頃、ということか。

小熊