- 会員限定
- 2011/05/09 掲載
ガートナー ジョン・ペスカトーレ氏:将来の脅威を予測する3つの手法と今後のセキュリティ対策のポイント
レッド オウル
編集&ライティング
1964年兵庫県生まれ。1989年早稲田大学理工学部卒業。89年4月、リクルートに入社。『月刊パッケージソフト』誌の広告制作ディレクター、FAX一斉同報サービス『FNX』の制作ディレクターを経て、94年7月、株式会社タスク・システムプロモーションに入社。広告制作ディレクター、Webコンテンツの企画・編集および原稿執筆などを担当。02年9月、株式会社ナッツコミュニケーションに入社、04年6月に取締役となり、主にWebコンテンツの企画・編集および原稿執筆を担当、企業広報誌や事例パンフレット等の制作ディレクションにも携わる。08年9月、個人事業主として独立(屋号:レッドオウル)、経営&IT分野を中心としたコンテンツの企画・編集・原稿執筆活動を開始し、現在に至る。
ブログ:http://ameblo.jp/westcrown/
Twitter:http://twitter.com/redowlnishiyama
最大の脅威は、金銭的動機付けのあるサイバー犯罪
「これらの要素が重なった時、攻撃を受ける側に被害が発生することになる」(ペスカトーレ氏)。
こうした脅威は、テクノロジーやビジネス・プロセスなどに何か変化が起こった時、生まれる可能性がある。また世の中が新たな転換点を迎えた時にも、やはり脅威が生まれる危険性は高まる。
「脅威はインターネットを介して、あっという間に広がって行く。企業側のITセキュリティのアーキテクチャもまた、迅速に対応できるようにしなければならない」(ペスカトーレ氏)。
たとえば、3つの要素の1つである攻撃者を見た時、その性質は時間の経過とともに大きく変わってきているという。最初は「実験」レベル、たとえば大学生が外部に攻撃を仕掛けることができるかどうかを試している段階だ。これが次に、あるサイトに損害を与えようとする「破壊行為」のレベルへと移行する。ただし攻撃者にとっては単なる楽しみで、金銭的なメリットにつながるものではない。その後、政治的な動機で攻撃を起こすという「ハクティビズム」が起こった。動物の権利を擁護する団体が漁業関係者のサイトを攻撃するようなケースも含まれる。
しかし攻撃の受け手に大きな損害を与え、さらに件数が増えているのは、金銭的な動機付けがある「サイバー犯罪」だ。攻撃者は、セキュリティパッチが提供される前に脆弱性を持つソフトウェアに攻撃を仕掛けるゼロデイ攻撃などを行い、データや情報を盗んで販売する。
さらには今後、国対国という図式で、インターネットやサイバースペースを通じての「情報戦争」も起こり得ると指摘する。
「企業に最も大きな損害をもたらす脅威は、いうまでもなくサイバー犯罪だ。これは日本や米国、欧州に限らず、グローバルレベルで当てはまる」(ペスカトーレ氏)。
マルウェア(悪意あるソフトウェア)に感染しているPCは世界中に数多く散らばっている。たとえば日本企業を攻撃したいという場合、感染したPCのある他の国から簡単に行うことができる。これは他国の企業にとっても同様だ。
「攻撃者がそこまでするのは、やはり“大金を稼ぐことができる”からだ」(ペスカトーレ氏)。
シマンテックの調査結果によれば、2008年~2009年の2年間で、攻撃者にとって一番魅力的な情報はクレジットカード情報だった。1情報あたり0.85~30ドルでやり取りされ、与信枠の高いものほど高値が付く。また電子メールのアドレスはMB単位の値付けで、1MBあたり1.70ドル~15ドル。
そして現在、どんどん“人気”が上昇しているのが、Webサイトの管理者権限情報だという。たとえばボットネットによる攻撃は、まずWebサイトが対象となり、サイトにアクセスする人を待って感染する。そこでもし管理者権限が得られれば、より多くのマシンを感染させることができる。
「そのためWebサイト管理者のログインパスワードのような情報ともなれば、1つだけでもかなりの高額になることも珍しくないようだ」(ペスカトーレ氏)。
【次ページ】将来の脅威を予測したセキュリティ対策とは?
関連タグ
PR
PR
PR