ランサムウェアとIoTの脆弱性に注意

　まずどのセキュリティベンダーも共通して注意喚起するテクノロジーはIoTとランサムウェアである。どちらも2016年に猛威をふるい、2017年も引き続き攻撃が続くと予想される。

　2017年は家電、テレビ、カメラ、エンターテインメント機器（VR、ゲーム機など）、ヘルスケア機器といった一般家庭用機器のネット対応がさらに進むと予想されている。これらのセキュリティ対策はまだ十分とはいえず、製品や応用例の広がりの分だけ脅威も拡大する。

　IoTの脅威に関連して、2016年10月に発生したDyn社への大規模DDoS攻撃に注目するベンダーも多い。この事件ではWebカメラの脆弱性が突かれてボット化したものが攻撃に利用された。2017年はIoT機器のボットネット問題が深刻化する可能性がある。

　ランサムウェアに関しては、伸び率が鈍化するものの逆に攻撃手法としては一般化するため、2017年も注意が必要だとしている。ランサムウェアの侵入手口は大きく変わらないが、攻撃手法は高度化すると予想するベンダーは多い。サンドボックス対策、ステルス化、証拠隠ぺい型など対策ソリューションを回避するようなランサムウェアが増えると予想される。

　以下、各社の予測レポートから特徴的なトピックを拾っていく。

脆弱性の数が多いのはマイクロソフトよりアドビ

　まずはトレンドマイクロだ。同社レポートには特徴的なポイントが2点ある。1点目は、BEC（Business E-mail Compromise）、BPC（Business Process Compromise）が深刻化するという予想だ。

　BECは、取引先やCEO、上司になりすましたメールで、うその送金をさせるような詐欺行為だ。同社のレポートでは、ビットコインなどで振り込ませるランサムウェアより、1回の攻撃で得られる金額が大きいため、今後も犯罪者側の動向に注意が必要だとする。BECは、添付ファイルや実行ファイル、スクリプトなどを利用しないため（メール文章だけでだますため）、ツールによる検知が困難だ。

　BPCは、企業の業務システムやプロセスを利用した詐欺だ。2016年にはバングラデシュの中央銀行のシステムがハッキングされ、約92億円の被害が発生している。他にも、注文システムなどに不正侵入し、偽の取引を発生させ代金を振り込ませたりする手法が考えられる。国内でも、過去に中古車業界のオンライン取引サイトを利用した取り込み詐欺が発生している。

　2つ目は、脆弱性ハンドリング件数に関してアドビ製品がマイクロソフト製品を上回り、アップル製品の脆弱性報告も増加するという予想だ。

　脆弱性の発見件数については、2016年にすでにアドビ製品の件数が上回っており、2017年もこの傾向で推移するという予想だ。関連してアップル製品の脆弱性報告も増えている点も指摘している。絶対数こそまだ低いものの、理由として、アップル製品がビジネスシーンでも利用される機会が増えていることと、マイクロソフトのソフトウェアライフサイクルデザインが功を奏し、セキュリティ対策が進んでいることを挙げている。

【次ページ】自動運転車、ドローンのハッキングは？