前回の投稿した総まとめの続きとして、今日は当ブログにいつも寄稿してくださる皆様の「2018年の記憶に残る出来事」の残りのご意見を紹介します。
IT SECURITY DIRECTOR | BOB COVELLO氏 @BOBCOVELLO
「2018年で最も私の記憶に残ったのは、あるポジティブな出来事です。多要素認証の正当性についての認識はかなり広まったように思います。しかしその認識は、最近のAzureの二段階認証システムのダウンにより砕け散りました。あまりに多くの人が二段階認証で保護されていない「安全なアカウント」の使用を推奨しました。Azureのダウンで企業が金銭的な損失を被ったことはもちろん理解しています。しかし、政府用の暗号化のバックドアに対し、私たちはどのように反論できるでしょうか。自分たちのアカウントへのバックドアを許せるでしょうか。
2019年におそらく私は、この問題に折り合いをつけ、二段階認証の利点を人々に訴えるだろうと思います。二段階認証のエンジニアたちがこの失敗を遠い記憶にできることを願っています。」
プロフェッショナル・サービス・コンサルタント | CHRIS HUDSON氏 @ASKJARV
「あなたが余程のオタクでない限り、ほとんどのファームウェアリリースに気づかずにいるでしょう。Spectreは、ハードウェア関連のエクスプロイトが紛れもなく存在し、誰でもその影響を受ける可能性があることを世界に知らしめましたまた、ハードウェアにパッチを適用することの難しさとその影響を浮き彫りにしました。(Hotfixの実行の遅れで生じる世界的なコストの計算はどなたかアナリストにおまかせします。)
この出来事でCPUエクスプロイトの存在が明らかになりました。現在、それがもたらす新たなリスクについて研究者たちが調査しています。あなたのセキュリティソリューションが定期的なパッチ適用に対応していなかったのであれば、あなたのデバイスが常に最新の状態であることを自分で確認しなければなりません。」
サイバーセキュリティライター | KIM CRAWLEY氏@KIM_CRAWLEY
「2018年に見て来たサイバー攻撃のなかで、最も私の記憶に残ったのはSamSamランサムウェアでした。SamSamが最初に姿を現したのは2016年のことです。しかし、2018年には、それまで以上に破壊的なものになりました。アトランタ市や世界各地の数多くの病院が、この攻撃の被害を受けました。SamSamに暗号化されたファイルの復号ツールは今のところ開発されていません。このランサムウェアの取っ掛かりのなさは有名です。最近では、SamSamがダークウェブで$750ほどで売られているのが見つかっています。SamSam1つを使った攻撃で、$50,000を巻き上げることができるなら、それは安い買い物と言えるでしょう。」
シニアセキュリティスペシャリスト | JIM NITTERAUER氏 @JNITTERAUER
「私の心に最も残った業界の出来事は、Facebookに絡んだ複数のセキュリティ上の問題が明らかになったことです。ケンブリッジ・アナリティカにデータを売った件や、既知の詐欺アカウント経由でデマを拡散した件、最近では2018年10月のハッキング事件がありました。今やFacebookは、個人情報の無責任な扱いや、ユーザー行動の勝手な操作のイメージキャラクターです。
これらの出来事は、人気の企業がいかに無害そうな顔を見せていても、情報の安全性確保とコントロールが必要であるということを警告しています。無秩序で危険性をはらんだパワーと影響力は、我々皆を不安に陥れます。」
サイバーセキュリティ責任者 | ANGUS MACRAE氏 @AMACSIA
「年が明けてわずか数週間で、SpectreとMeltdownの脆弱性が正式に確認された2018年は、セキュリティ関連の話題に事欠かない年でした。そのため、1つの出来事だけを挙げるのは不可能でしょう。2018年は、侵害が「Not if, but when」(発生するかしないかではなく、いつ発生するか)レベルの問題になったことが証明され、もはやありふれたものになった年として記憶されるでしょう。Facebook、Aadhaar、英国航空、そして今月にはマリオットやQuoraへのサイバー攻撃が発覚しました。大規模な侵害インシデントの報告は、新たな常態となっています。
今年があまりに過酷な年だったので、そのような話題を耳にしても、我々はほとんど何も感じなくなっています。しかも、その結果として、何人の人がそれらのサービスの利用をやめたのでしょうか?英国のデータ保護を管轄する情報コミッショナー事務局(ICO)が、(1998年の以前のデータ保護法の下で)過去最高額の制裁金を科しました。しかし実際には、問題を起こした一部の企業にとって、そのような罰金はほんの小銭でした。また、「年間売上高の4%、もしくは2千万ユーロ(約26億円)の高い方の罰金を科す」というGDPRの脅し文句は、今のところ実行されていません。
英国の情報セキュリティ業界に関しては、Infosec Europe 2018の会場にいた赤いロングドレスを着たコンパニオンの女性に関するJane Frankland氏の呼びかけがありました。それがもたらした激しくも価値ある議論は確かに注目に値するものでした。この議論により、数千人ものプロフェッショナルの女性が参加するカンファレンスの場で、このような人目を引くためのばかげた行為は行われなくなるでしょう。
ソフトウェア開発マネージャー | TYLER REGULY氏 @TREGULY
「"セキュリティニュースの中心といえば米国"という世の中で、カナダ人である私は、母国の情報漏えい通知義務法の施行を喜んでいます。身体的危害や汚辱、評判や関係の喪失、失業、ビジネスや職業機会の喪失、経済的損失、個人情報の盗難、信用履歴への悪影響、財産の損失/損害など、情報の漏洩には重大な損害を及ぼすリスクが伴います。このカナダの新しい規則は通知を義務化するだけのものなので、完璧とは言えません。関連するリスクに関係なく、あらゆる違反の通知義務が好ましいと私は思います。サイバーセキュリティに関して、カナダがやらなければならないことはまだたくさんあります。しかし、これが始めの一歩となるでしょう。」
R&Dマネージャー | ANTHONY ISRAEL-DAVIS SR.氏@ANTHONY_ID
「GDPRが5月に正式に施行され、ヨーロッパのビジネスに何らかの関係を持つすべての企業が影響を受けました。しかも、この影響はまだ続きます。カリフォルニア州も同様の個人情報保護規則を検討しており、個人情報保護の義務化への動きは強まるばかりです。企業は、どのような情報を、どこにどのように保存しているか、そしてどのような方法で適切なデータ管理を行っているかを把握する必要があります。データの保持および破棄に関するポリシーは、コンプライアンスにとって非常に重要になります。また、"忘れられる権利"は、手元にあるデータを保護するのと同様に重要です。」
THE NET EFFECT社 プレジデント兼リードコンサルタント | GLENDA SNODGRASS氏 @GLENDA_TNE
「鑑定人としての宣誓の準備のために、私がサイバースクワットに関する調査を行っていた時、GDPR施行の影響により、ICANNがWHOISによって得られる情報の公開をブロックしていたために調査に行き詰ったことがありました。ICANNは、免除を受けたり、代替案を打ち出したりといったことを怠ったため、WHOIS情報の正当な利用者(法執行機関やセキュリティリサーチャーなど)は苦境に立たされました。個人情報保護の必要性は誰もが認めています。しかし、サイバー犯罪がこれほどの大問題になると、それと戦う者たちには、オンライン上の悪質な活動を特定しブロックするためにあらゆるツールが必要となります。この状況がもたらす長期的な影響はまだ不明です。そして今のところ、はっきりした解決策は一切打ち出されていません。このことはこの年に業界で最も注目された話題ではないかもしれませんが、非常に重要な出来事の1つであることは間違いありません。」
