企業よりも弱者を狙う

　9月9日から10日にかけて行われたRSA CONFERENCE JAPAN 2010のクラストラックのひとつで、ラック 取締役常務執行役員、サイバーリスク総合研究所 特別研究員の西本逸郎氏は「大胆予測・クラウド普及期の情報セキュリティ」と題したセッションを行った。このセッションでは、西本氏独自の視点と考察により、クラウドコンピューティングの情報セキュリティについての考え方、従来から転換すべきポイントなどを明らかにした。

　西本氏は、現状の情報セキュリティの動向を紹介することから始めた。2010年は今のところ2009年の傾向とそれほど変わらないが、2009年と2008年では情報インシデントの傾向の面で違いがあるという。たとえば、ID情報などの窃取は2008年に25％だったのに対して2009年は32％と増えている。一方で情報漏えいは21％から4％に大幅ダウンしている。また、サイトへの侵入などは6％から22％へと大幅アップとなっている。

　西本氏はさらに、このような数字の傾向以外の点を、注意深く見る必要があるという。たとえばガンブラーの被害のときに、サイトが改ざんされたことが大きく取り上げられたが、問題はサイト改ざんそのものではなく、それによって個人情報などどんなデータが盗まれているのか、攻撃者の意図やその他の被害との因果関係が明確になっていないことにあるという。

　その上で攻撃者の変化についても言及。攻撃者は企業などを直接狙うのではなく、弱者を狙う方針に変えてきているのだという。現在、銀行を直接襲う銀行強盗よりも、個人、それも老人などの社会的弱者をねらう振り込め詐欺が増えているのと同じであるということだ。

　その際、Web上の弱者ともいうべき、ガードの甘いサイトを見つけるのに検索エンジンを使っている可能性があることを指摘した。具体的には「カード会社名 支払い inurl:php」といったキーワードで検索して標的を探すなど、セキュリティ対策に（逆）SEO的な対策をするという考え方もあることを紹介した。

【次ページ】自社のセキュリティポリシーに、どのようにスマートフォンを取り入れるか