トレンドマイクロでは 2018 年上半期(1~6 月)における国内外の脅威動向について分析を行いました。過去数年にわたりサイバー犯罪の中心となっていた「ランサムウェア」の攻撃は 2018 年に入り急減。それと入れ替わるように「不正マイニング」を筆頭とする仮想通貨狙いの脅威が、日本を含め世界的に拡大しました。同時に日本では「フィッシング詐欺」の攻撃が急増し、過去最大の規模となりました。この半年間に起こったサイバー犯罪動向からは、2017年に起こった様々なサイバー犯罪の転換が更に明確になると共に、新たな傾向が明らかになってきたものと言えます。
トレンドマイクロでは、2017 年の 1 年間に確認した、日本国内における「標的型サイバー攻撃」に関しての分析を行いました。2017 年を振り返ると、標的型サイバー攻撃の重大な被害に関する公表や報道はほとんどありませんでした。この事実だけを見ると、国内での標的型サイバー攻撃の脅威は完全に沈静化しているように思えます。しかし、トレンドマイクロが 2017 年に行ったネットワーク監視の中では、全体の 71%で 標的型サイバー攻撃の疑いが警告されており、攻撃自体は水面下で継続している状況と言えます。
トレンドマイクロでは 2018 年第 1 四半期(1~3 月)における国内外の脅威動向について分析を行いました。ここ数年サイバー犯罪の中心であった「ランサムウェア」の脅威は急減し、代わって「不正マイニング」など仮想通貨を狙う攻撃が台頭するなど、昨年から続く様々なサイバー犯罪の転換がより鮮明に表れていたことがわかりました。
いよいよ今日施行される EU 一般データ保護規則(GDPR)に関して、企業における認知や対策が進んでいない現状からいくつかのリスクが考えられる一方で、サイバー犯罪の観点で考えたときに外せないのが、「GDPR に関連したサイバー犯罪は起きるのか?」という疑問です。GDPR 施行に合わせて、遅れる認知や対応に起因したリスクと、施行に関連してどのようなサイバー犯罪が起きる可能性があるのかを考察してみます。
EEA 参加国の個人情報を取り扱っている企業においても、GDPR への対策はおろか認知・理解が進んでいない実態については先日解説した通りです。近年、国内でも個人情報保護法や割賦販売法の改正といった個人情報の取り扱いに関連した法規制の整備が進んでいますが、海外発の法規制で国内法人組織に影響を及ぼすものがあるということ自体想定していなかたったという方たちも少なくないかもしれません。結果的に、GDPR 自体の認知度の低さにも影響していると推測されます。
続きを読む情報漏洩事故が発生し過失があった際には、最大で約26億円の制裁金や個人情報の利用停止措置が発生することになる EU 一般データ保護規則(GDPR、General Data Protection Regulation)が、一週間後の 2018 年 5 月 25 日に施行となります。国内の企業や官公庁自治体といった多くの法人組織にも大いに影響があるこの規則ですが、施行まであと一週間を控え、この内容はおろか規則の存在自体の認知が進んでいない現状が明らかになりました。
GDPR の認知・理解度と法人組織の対応状況について、官公庁自治体や民間企業において情報システム、リスク管理、法務、経営企画の各領域における主任以上の意思決定者・関与者998名を対象に、トレンドマイクロでは 2018 年 3 月から 4 月にかけて調査を実施しました。その結果、全体の半数以上の 66.5% が GDPR の存在自体知らない、あるいは名前しか知らないという実態が明らかになりました。近年では、改正個人情報保護法が 2017 年 5 月 30 日に施行し、また改正割賦販売法が GDPR 施行直後の 2018 年 6 月 1 日から施行となり、国内でも個人情報保護に関連した法整備が進んでいます。個人情報やプライバシーの保護に関連して海外でも法規制の整備が行われている一方で、国内の法人組織にも影響のある海外の法規制に対する認知や理解が進んでいない実情がうかがい知れます。
2017 年の脅威動向を振り返ると、特に企業や法人において「セキュリティ上の欠陥」が深刻な影響を及ぼした事例が多く確認されたものと言えます。PC やインターネットの利用は、個人利用者においても法人利用者においてもなくてはならないものとなっていくと同時に、様々な「サイバー脅威」の被害に遭う可能性も高まっています。不特定多数に対するばらまき型の攻撃であったとしても、無作為に被害を受けるものではありません。「セキュリティ上の欠陥」が存在する企業ほど、被害を受けやすい状態であると言えます。
トレンドマイクロでは、2017 年 1 月~11 月に発生したサイバー脅威の事例を分析し、個人利用者では1)金銭を狙う「不正プログラム」の拡散、2)「ネット詐欺」、3)「仮想通貨を狙う攻撃」 を、法人利用者では1)「ランサムウェア」と「WannaCry」、2)「公開サーバへの攻撃」による情報漏えい、3)「ビジネスメール詐欺(BEC)」 を「三大脅威」として選定いたしました。そして、「セキュリティ上の欠陥」が特に企業に深刻な影響を与えた年であったものと総括しています。本ブログではこの 2017 年の脅威動向速報を連載形式でお伝えします。第 1 回の今回は、2017 年の脅威動向の総括として、特に企業に深刻な影響をもたらす「セキュリティ上の欠陥」について法人利用者での三大脅威から「WannaCry」と「公開サーバからの情報漏えい」の 2 点を例に解説します。
