特集 情シス事情を知る
2016年の情報セキュリティ事情を振り返る
~IoT、AIなど最新技術におけるセキュリティ動向とは~
2016年12月
2016年は、目立つような情報漏えい事件はあまりなかったが、セキュリティ関連サイトを検索すると相変わらず数多くの情報漏えいが報告されている。また、今年はIoT(モノのインターネット)に関連するセキュリティインシデントも表面化するなど、脅威の対象も広がってきた。その一方、AI(人工知能)の機械学習などを利用して脅威を分析するといったセキュリティの技術革新も進んでいる。今回は、2016年の情報セキュリティ事情を概観するとともに、IoTやAIを取り巻くセキュリティ動向を展望する。
周到に準備して狙う標的型メール攻撃
警察庁では2016年上半期のサイバー攻撃の情勢などを報告している(2016年9月)。それによると、警察が把握している標的型メール攻撃は1951件で、15年下期に比べ405件減少した。標的型メール攻撃の送信先メールアドレスは、インターネット上で公開されていないものが全体の81%を占め、攻撃者がターゲットとする組織について調査し、周到な準備を行った上で攻撃している姿がうかがえると警察庁では分析する。
標的型メール攻撃の主な手口としては、受信者がメールに添付されたファイルを開くとマルウェアが自動的にダウンロードされて感染してしまうというものが多い。メールの発信者や主題など正当なものを装った内容が表示されるため、攻撃に気付きにくく防御しづらいという問題がある。
2016年6月に公表された大手旅行会社の顧客情報が流出した可能性のある事案も、発端は取引先を装った標的型メールだった。事案の概要は、旅行商品をインターネット販売している子会社の端末で、取引先になりすました不正なメールの添付ファイルを開いてマルウェアに感染。その後、外部からの遠隔操作で感染が拡大し、顧客の個人情報を保管したサーバへ攻撃者が侵入した。その結果、約4300件のパスポート番号を含む、約678万件の個人情報が流失した可能性があるという。同社では、社長直轄のITセキュリティ対策室を設置するなど情報セキュリティ体制の整備とともにシステムのセキュリティ対策を強化し、再発防止に努めるとしている。
こうした事案は「対岸の火事」ではない。攻撃者の手口が巧妙化する中、いつ標的型攻撃のターゲットになるか分らない。大手企業に比べて対策が手薄な中堅中小企業が狙われることもある。個人情報や機密情報を保管するサーバへのアクセス制御とログ監査などのシステム面での対応とともに、送信元がはっきりしないメールの添付ファイルを不用意に開かないといった従業員のセキュリティ教育も欠かせない。
IoTの活用で求められる高い信頼性と安全性
2016年はIoTやAIといった新たなテクノロジーの適用範囲の広がりを感じさせる年だった。まず、IoTはセンシングや遠隔監視、クルマの自動運転などに欠かせない技術として注目され、身近なところでは住宅の電気やガスの検針やホームオートメーションなどにも活用され始めている。IoTの市場規模は大きく、2020年には全世界で数100億台のデバイスがインターネットにつながると予想されている。
IoTの要件をセキュリティの観点から見ると、高い信頼性と安全性が不可欠になる。例えば、IoTは自動車や医療機器など人命にかかわるデバイスがインターネットに接続されることや、製造業の製造ラインなど産業界でもIoTが活用されるようになり、デバイスやネットワークのトラブルは大きなリスクとなる可能性がある。そのため、サイバー攻撃によるシステム停止や誤作動を防ぐセキュリティの仕組みが必要になる。
また、IoT特有の脅威も考えられる。インターネットに接続されるIoTデバイスの増加とともに攻撃の対象が増え、万一、攻撃されたときの影響も大きくなるという問題がある。加えて、センサーなどのIoTデバイスは長期間使用されることや、屋外など人の目につきにくい場所に設置されるものもある。そのため、異変や攻撃に気が付きにくく、長時間にわたって攻撃される恐れもある。
考えられる脅威としては、IoTサービスの脆弱性に対する攻撃やなりすまし、IoTプラットフォームへのDDoS攻撃、データの改ざん、デバイスへのマルウェア感染による情報漏えい、デバイスの乗っ取りなどがある。
IoTデバイスを踏み台にしたDDoS攻撃も発生している。警察庁では2016年10月、「Mirai」ウィルスに感染したIoTデバイスが発信元と考えられるアクセスが増加していると、インターネット観測結果を発表している。IoTデバイスのファームウェアのアップデートなど適切な対策を講じる必要があると警察庁では指摘する。
今後、IoTの利用者が脅威を防ぐには、サービスの脆弱性対策やアクセス制御、通信データ暗号化、デバイスの認証、ログ管理と監視などの対策が必要になるだろう。
AIの機械学習を活用したセキュリティ対策が登場
AIは囲碁や将棋の対戦のみならず、医療や産業分野などで活用され、進化している。そして、AIの機械学習などを利用してセキュリティ対策に役立てる動きも広がっている。機械学習とは、AIのプログラム自身が学習する仕組みのこと。反復的に学習し、データの中にある一定のパターンやルールを抽出して未知のものを予測することが可能になる技術だ。
セキュリティ対策でAIが注目される背景として、標的型攻撃やWebサイトへの攻撃の手口が日々進化し、巧妙化していることがある。未知の攻撃を防御するセキュリティ対策も提供されているが、過去の攻撃手法をもとにしたパターンマッチングやブラックリスト方式による検知・遮断などの対応では十分に防御し切れないのが実情だ。
こうした状況の中、AIの機械学習の仕組みを利用して未知の脅威を検知しよういうセキュリティ対策も登場している。例えば、標的型攻撃の出口対策に機械学習を活用し、勤務時間など一定時間内のユーザーの振る舞い(どのようなWebサイトにどれくらいアクセスしているか、そのWebサイトの特徴はどんなものかなど)を学習することで、従来のウィルス対策やURLフィルタリングなどでは困難なマルウェア感染後の活動を検知できるようになるという。そして、検知結果はIPSやURLフィルタリングなどのセキュリティツールと連携し、悪意のあるWebサイトとの通信を即時遮断するといった対策が可能だという。
また、サイバー攻撃対策としてAIを活用したクラウド型データ解析プラットフォームを提供する事業者もある。企業・組織のエンドポイント全体の挙動を監視し、サイバー攻撃の兆候をクラウド上でリアルタイムに解析、脅威が発見された場合には管理者に通知する。従来のセキュリティ対策では、異常が検知されたときに通知するケースが一般的だが、このサービスでは、複数の要素を分析することで攻撃の疑いがある行動を監視、検知することができるという。
これらはAIを活用したセキュリティ対策の一例だ。AIの技術革新とともに新たなセキュリティ製品・サービスが提供されることは間違いなく、今後の動向を注目したい。