サイバー攻撃のトレンドは移り変わりの連続であり、ようやく対策が追い付いたと思えば、また新たな攻撃手法が出現したり、まるで雲を掴むような作業のようにも思えます。こうしたセキュリティ事情に辟易している企業も多いのではないでしょうか?
しかし、サイバー攻撃は待ったなし。こちらの事情など一切気にすることなく、重要情報を搾取するため悪質な攻撃を次々に仕掛けてきます。
企業としては情報漏えい事件などを起こし、信頼性を失うわけにはいかないので、いくら雲を掴むような作業でも対策を取らざるを得ないのです。こうした中、重要なことはサイバー攻撃など情報セキュリティに関するニュースを常にチェックし、業界の動向を探ることではないかと思います。
そこで今回は、サイバー攻撃や情報セキュリティに関する最新ニュースをお届けします。日本にはまだ上陸していない新たなサイバー攻撃情報も掲載しているので、ぜひチェックしてください。
1. スマートフォンを狙った「ジュースジャッキング攻撃」
今や一般ユーザーだけでなく、ビジネスシーンにおいても重要性が高まったスマートフォンやタブレットといったモバイル端末。2017年では、それらモバイル端末を狙ったサイバー攻撃が懸念されています。
モバイル端末を持ち歩く上での心配事は、やはりバッテリーの消費です。特にコミュニケーションの中心として活用している企業では、持ち運び用バッテリーなどでバッテリー切れを起こさないよう気にかけているビジネスマンも多いでしょう。
それでも、バッテリー切れが起こってしまう時はあります。このとき、カフェや公共スペースに備え付けられている充電ポートを使用した経験は誰にでもあるかと思います。
実は、この充電ポートが原因でサイバー攻撃の被害に遭ってしまう可能性が高まっているのです。
Fossbyteに掲載された「What Is Juice Jacking? Can Charging My Phone In A Public Port Lead To Data Hack?」という記事で紹介されているそのサイバー攻撃の名は、「ジュースジャッキング攻撃」と呼ばれています。
ジュースジャッキング攻撃とは一見サービスとして設置されている充電ポートが、実は攻撃社が秘密裏に設置したものであり、モバイル端末やPSを接続すると個人情報を抜き取られたり、マルウェアに感染させられてしまうというサイバー攻撃です。
国内での被害事例はまだありませんが、欧米を中心に徐々に被害が拡大しています。
恐らくですが、2017年中に国内でも同様の事例が発生し、一気に被害が拡大するのではないかと思います。ビジネスマンが使用しているモバイル端末には企業の重要情報が保管されていたり、企業システムとネットワークで接続されていることも多いので、今後確実に対策が求められるサイバー攻撃の一つだと言えます。
2. Googleが「SHA-1」の攻撃に成功
SHA-1とは、任意の原文をもとに160ビット(20バイト)の値を生成するハッシュ関数の一つであり、WebサイトにおけるSSL暗号化通信などに用いられている暗号化技術です。SHA-1はNSA(米国家安全保障局)によって考案され、1995円にはNIST(米国標準技術局)によって連邦情報処理標準の一つとして標準化されました。
同技術は2005年から攻撃手法が発見され、徐々に安全性への問題が生じ始めました。
Googleでは2014年にChromeブラウザでのSHA-1を使用したサーバ証明書のサポートを終了し、Microsoftでは2017年1月以降のSHA-1を使用したサーバ証明書の受け入れを不可としています。
このように、安全性の問題からセキュリテ性の高い代替技術への移行が推奨されているSHA-1ですが、最近SHA-1の安全性を崩す決定的な実験が成功しました。それは米Googleが行ったものであり、衝突耐性を突いたものです。
GoogleによるとSHA-1の衝突耐性を突けば、正規ファイルと悪質なファイルを入れ替えることが可能であり、そこから様々なサイバー攻撃へと繋げることができます。従って、現在SHA-1の暗号化技術を採用している企業では、よりセキュリティの高い暗号化技術を導入する必要性が出ているのです。
参考:「Announcing the first SHA1 collision」
3. IPAがセキュリティ人材育成プログラムを開始
経済産業省が発表した報告書によると、2016年時点でのセキュリティ人材不足数は13.2万人であり、2018年には16.1万人、東京オリンピックが開催される2020年には19.3万人にも上るとされています。
日本のセキュリティ人材は慢性的に不足している上に、今後も不足数が増加していくと言うのです。
こうした状況を受け、独立行政法人であり日本のIT国家戦略を支援するIPA(情報処理推進機構)では、2017年からセキュリティ人材育成プログラムを開始することを、同機関のプレスリリースで発表しています。
IPAによると東京オリンピックが開催される2020年には、日本の混乱やダメージを狙ったサイバー攻撃が増加すると予測し、「高度な専門知識・技能のみならず、セキュリティ対策を経営の課題として捉え、推進できるリーダーシップ、マネジメント力をも備えた人材を育成すること」を目的として同プログラムを開始します。
センター長には株式会社日立製作所の取締役会長兼代表執行役である中西宏明氏が就任し、既に複数業界から30社以上が参加表明をしています。
第一期生の受講料は300万円とされ、既に第一募集は終了していますが、募集状況によっては第二募集も開始されます。
年々悪質化するサイバー攻撃に対しては、適切なセキュリティソリューションを導入することはもちろん、それらを熟知し経営課題としてサイバー攻撃対策に取り組める人材の重要性が増していくでしょう。
サイバー攻撃対策において重要なことは?
いかがでしょうか?今回はサイバー攻撃や情報セキュリティに関する最新ニュースを紹介しましたが、ジュースジャッキング攻撃について初めて知ったという方も多かったと思います。
バッテリー切れを防ぎたいというビジネスマンの心理を突き、悪性の充電ポートを仕掛けるあたり、年々サイバー攻撃が巧妙化していることが見て取れますね。こうしたサイバー攻撃の勢いは、恐らく今後も止まりません。
そうした中、サイバー攻撃対策において重要なことは「攻撃された場合を想定して対策を取ること」ではないでしょうか?
どれほど堅牢なセキュリティ対策を講じても、情報セキュリティ世界でサイバー攻撃は「起こるときは起こる」のです。
ならば攻撃されることも視野に入れて、改ざん検知システムなど、内部ネットワークでサイバー攻撃を検出する仕組みが重要となるはずです。
サイバー攻撃のトレンドには常にアンテナを張り、常に適切な対策を心掛けていただきたいと思います。
