マカフィー(日本法人)は、日本国内の経営層や情報システム部門に対して実施した「2017年のセキュリティ事件に関する意識調査」をもとに「2017年の10大セキュリティ事件」を発表した(ニュースリリース1)。このランキングは、2016年11月から2017年10月に報道されたセキュリティー事件の中から、マカフィーがピックアップしたものについて「認知度」をまとめたものである。前回の調査には「振り込み詐欺」などの脅威カテゴリーも含まれたが、今回はセキュリティー事件に特化した調査内容となっている。

マカフィー発表の「2017年の10大セキュリティ事件」。日本国内に在住する企業経営者、企業に勤務する情報システム担当者、一般従業員など22歳以上の男女1552人を対象に「認知度」をまとめた(表:マカフィー)
マカフィー発表の「2017年の10大セキュリティ事件」。日本国内に在住する企業経営者、企業に勤務する情報システム担当者、一般従業員など22歳以上の男女1552人を対象に「認知度」をまとめた(表:マカフィー)
[画像のクリックで拡大表示]

 第1位は、ランサムウエア「WannaCry(ワナクライ)」。システムを暗号化するなどして、使用不能にした後、被害者に対して身代金(ランサム)を要求するマルウエアである。WannaCryは、ハッカー集団が公開したWindowsの脆弱性を悪用した攻撃で、メールなどを経由しなくても感染させられることから、欧州を中心に約150カ国の企業に感染が広がったとされる。

第1位はランサムウエア「WannaCry」の大流行(マカフィーのスライド)
第1位はランサムウエア「WannaCry」の大流行(マカフィーのスライド)
[画像のクリックで拡大表示]

日本の製造業や運輸業などでも被害が報告された。しかし、広くテレビや新聞等で報道されたにもかかわらず、企業の情報システム担当者でさえ認知度は45%強しかない。半数に満たない状況は「セキュリティー人材が不足していると言われる中で、心配になる数字。日本はもっと啓蒙活動が必要」(マカフィー セールスエンジニアリング本部 本部長の櫻井秀光氏)とした。

 なお、米McAfee社のラボチームは、WannaCryの解析を続けているものの「真の意図」が未だわかっていないという。WannaCryは、これまでのランサムウエアと感染手法が異なるほか、感染数の割に被害額が少なく、マルウエアとしての「完成度」も決して高くない。現時点でランサムウエアとしては「失敗作」にも関わらず、亜種も含めて今も活動を続けており、今後進化していくのか、変化していくのか、その動向を注視していくという。

 第2位は、「Amazon.com」の利用者を狙ったフィッシングメールや、宅配業者を装った偽メールの増加である。第6位にも米Apple社を装ったフィッシングメールもランクインするなど、「使えなくなると困る」「荷物が届かないと困る」といったユーザー心理につけこむ内容が増えている。不自然な日本語のメールも減り、接続先のフィッシングサイトもSSL証明書やHTTPSを利用するなど「信頼できるサイト」を装ったものが増えており、一層の注意が必要だ。第3位は、無線LANの暗号化規格であるWPA2の脆弱性が発見されたニュース。実際に攻撃するには条件が整う必要があるため、まだ悪用されたという報告はないが、無線LANは日常的に使われるインフラとなっており利用者は多い。デバイスメーカー、ユーザーともに必要な対策を施す必要がある。

第2位はAmazon.comや宅配業者を騙るフィッシングメール(マカフィーのスライド)
第2位はAmazon.comや宅配業者を騙るフィッシングメール(マカフィーのスライド)
[画像のクリックで拡大表示]