米トラスティアのセキュリティ部門は、2013年における危険なマルウエアトレンド予測のワースト5をインフォグラフィックにまとめ、ブログで発表した。それぞれについて見てみよう。
1.米グーグルのWebブラウザー「Chrome」を狙ったマルウエアが台頭する
2012年に「Citadel」や「ZeuS 2.1」がChromeに対応したMITB(Man in the Browser)攻撃を開始しており、もはやChromeもMITBに対して安全とはいえない。
2.ネイティブ64ビットWindows環境に対応するマルウエアが出現する
64ビットのプロセスをサポートしたマルウエアは、64ビットWindowsの検知システムを回避できるようになるため、マルウエアを見つけるのがいっそう困難になる。
3.検出回避機能を持ったマルウエアが企業を狙う
様々なマルウエアの亜種が仮想化環境やサンドボックス環境、監視プロセスを認識する機能を備えつつあり、仮想マシンベースの検知および保護システムを導入している企業にとって深刻な脅威となる。
4.銀行関連の情報を盗むマルウエアの新ファミリーが増加する
2012年に、全く新しい銀行情報マルウエアファミリーは5種類見つかり、2011年の3種類から増加した。2013年は8種類登場すると見られる。なお1ファミリーにつき多数の亜種が存在することをトラスティアは強調している。
5.マルウエアのライフサイクルが短期化する
マルウエアのライフサイクルは潜伏、まん延、ボットネット、沈静化の4段階に分かれるが、2011年に1カ月余りだった潜伏およびまん延段階は、2012年には約2週間になった。ライフサイクルが短期化すれば、セキュリティ製品の対応が難しくなる。
オンラインアカウントのパスワード、16%が「全く変えない」
スロバキアのイーセットは、米国成人を対象に実施したパスワードに関するアンケート調査の結果をブログで一部紹介し、パスワード管理の現状を分析した。
アカウントを登録しているSNS(Social Networking Service)あるいはオンラインサービスの事業者がパスワードを変更するよう求めてきたらどうするか尋ねたところ、「必ずパスワードを変更する」が31%、「ときどき変更する」が19%、「無視する」が18%だった。32%は「正規の発信元による要求かオンラインサービス事業者に問い合わせる」と答えた。
言い換えれば、オンラインサービス事業者は、アカウントを登録している自社のユーザーにパスワード変更を要求しても、10人のうち3人しか変更してもらえないということになる。要求の半数以上は無視されるか、または要求の真偽を確かめようとするカスタマーサービスへの連絡を生み出す。
この結果から考えると、セキュリティ侵害が発生し、300万人のユーザーにパスワードをリセットしてもらう必要がある場合には、100万件ものカスタマーサービスへの問い合わせが発生することになる。問い合わせ1件当たりのコストを1ドルとして、100万ドルの経費が発生するわけだ。
アンケート回答者に、最もよく使用するオンラインアカウントのパスワードをどれくらいの頻度で変更しているか聞いてみると、「1年に1回程度」が45%、「半年に1回程度」が31%、「1カ月に1回以上」が8%で、「全く変えない」が16%だった。
現在のオンライン攻撃の度合いから考えると、もちろんこれらの頻度は十分とはいえないが、正直なところイーセットが予想したよりはマシだったという。
パスワードを考えるにあたって使う要素は「何か固有でランダムなもの」が39%、「人やペットなどなじみのある名前」が21%、「場所の名称」が6%、「スポーツチーム」が5%、「その他」が37%だった。これについてイーセットは、「なじみのある名前」を使うユーザーが多すぎる傾向があるものの、ランダムなものや固有のものを使用するユーザーは思っていたより多く、好ましいとしている。
またパスワードに関する3つの安全な行動「複雑なパスワードを使う」「異なるアカウントには異なるパスワードを使う」「別々のPINを使用する」は、若い年齢層(18~34歳)より、高い年齢層(55歳以上)のほうが浸透している。
パスワードを管理する方法は、「すべて記憶する」(41%)が最も多く、次いで「紙に書きとめておく」(29%)だった。そのほか「コンピュータのファイルに保存しておく」(9%)、「電子メールに保存しておく」(4%)などがある。また、パスワード管理アプリケーションやWebブラウザーを使ってパスワードを保存している人は10%に満たなかった。
調査は、米ハリスインタラクティブが、18歳以上の米国成人2129を対象に8月27~29日にオンラインで実施した。
