「WannaCryに対するIT部門の関心は薄い」--マカフィー調べ

　マカフィーは12月11日、社会人の関心が高い2017年の10大セキュリティ事件を発表した。1位にマルウェア「WannaCry」がランクインしたが、認知度は半分にも満たなかった。

　調査は、2016年11月～2017年10月に報道され、同社がピックアップしたセキュリティ事件の認知度を調べた。企業の経営者やIT部門、一般従業員を対象に行い、1552人が回答している。

WannaCryは認知度トップながら、割合では4割弱にとどまった

マカフィー セールスエンジニア本部長の櫻井秀光氏

　ランキングのトップは、WannaCryやWannaCrypt（別名：NotPetyaなど）で認知度は36.7％だった。調査結果を解説したセールスエンジニア本部長の櫻井秀光氏は、「IT部門も認知度は4割強ほどで意外な結果」と話す。WannCryやWannaCryptは、ともにWindowsの脆弱性を突いて感染を狙う。ネットワーク越しにポートスキャンを行い、脆弱性があるWindowsマシンにバックドアを使って感染を広げるワーム型の拡散手法に特徴があった。

　櫻井氏は、近年にワーム型で感染を広げる大規模なマルウェア攻撃が見られなかったとし、WannaCryやWannaCryptの脅威がランサムウェア攻撃の変化を示すものと指摘する。特にWannaCryptは、感染先のシステムをダウンさせる被害も発生させ、今後は端末のユーザーに身代金を要求するだけでなく、より大規模な障害を発生させることで企業や組織から多額の金銭を要求する脅威に変化していくだろうとみている。

　ランキング2位は、実在企業になりすますメールやウェブサイトを使ったフィッシング攻撃で、認知度は36.2％。メールの内容に商品配送や宅急便の通知を詐称する手口が目立ち、櫻井氏は電子消費取引の拡大がこうした手口が増える背景にあると解説する。偽のウェブサイトにSSL証明書やHTTPSの暗号化通信を使い、だます相手に“安全”と思わせる攻撃手法も確認されるなど、同氏は2018年以降も脅威になると予想する。

　3位は、10月に発覚したWi-Fi認証の「Wi-Fi Protected Access II」（WPA2）の脆弱性（通称：KRACK/KRACKs）で、認知度は32.8％だった。現在実用されている規格の中では、最も安全と見られていたWPA2での問題発覚に、多くのユーザーがショックを受けたという。ただし脆弱性を悪用するには、現状では攻撃者が脆弱性のある機器の無線LANアクセスポイントの物理的なエリア内で行動する必要があると、櫻井氏は解説する。機器のユーザーはメーカーによる修正パッチの有無を確認して、早期に適用することが現実的な対策だとアドバイスしている。

　10大セキュリティ事件の4～10位は以下の通り。

• 4位：米Yahoo!で、不正アクセスにより最終的に30億人分以上のユーザー個人情報が漏えいしていたことが判明--32.3％
• 5位：ランサムウェアや遠隔操作ウイルスの作成、フリーマーケットアプリへのマルウェア関連情報の出品など、中高生によるサイバー犯罪で逮捕者が続出--27.2％
• 6位：Appleを装い、アカウント情報を詐取するフィッシング攻撃が確認される--26.0％
• 7位：女優や女性アイドルなどの芸能人が画像を保存するなどしていたインターネットサーバーに不正にログインしたとして、無職の男を書類送検--23.0％
• 8位：防衛省と自衛隊の情報基盤がサイバー攻撃を受けたとの報道--20.4％
• 9位：女性タレントや女性アイドルらの電子メールサービスなどに不正接続したとして、大手新聞社の社員を逮捕--19.3％
• 10位：日本マクドナルドのシステムがマルウェアに感染し、外部に向けて大量のパケットを発信して通信を圧迫、商品購入時のポイントサービスが利用不能に--18.8％