もう1月も終わりに近づいたが、今年最初の原稿なので、まずは挨拶をさせていただく。新年、明けましておめでとうございます。
さて、今回はセキュリティの分野で2014年に起こりうる攻撃を大胆に予測してみたい。そもそも攻撃という「よろしくないもの」をしかも「大胆」に予測するとは何事か、模倣犯が出たらどうするのか――といったお叱りを受けるかもしれない。
しかし、「模倣」する程度なら、大した話ではない。誰も知らないところで密かに高度な手口を繰り出される方が、守る側にとっては手ごわい存在だ。あらかじめ予測として世間に公開することで、逆に攻撃者側がその方法を避ける可能性もある。いずれにせよ、組織化が進んだ高度な攻撃者は、費用対効果の高い手口を採用するはずである。ここに書いた予測が当たらなければ本望である。
まずは、個人に向けた攻撃に焦点を当てたところから始めよう。
“稚拙な”攻撃が狙うのは「用心が不足している」ユーザー
2014年のオンラインバンキング不正送金被害は、11月末時点で約12億円に上ったという。報道によると、6月以降の下期で被害が一気に拡大しているという。
下期のペースが今も継続しているなら、現状は年間24億円程度のペースで被害が拡大していると考えられる。これに対して守る側は、ワンタイムパスワードなど認証を強化して、被害を押さえ込む取り組みを続けている。しかし被害の拡大を食い止めるのは至難の業だ。
こうした対策はIDやパスワードをだまし取られる手口には効果的だが、ネット上の偽サイトを経由したり、パソコンのブラウザ内の処理で正規の取引を書き換えたりする手口には効果が薄い。対策をとったことで、ユーザーが取引の安全性が高まったと考えて、安心してかえってだまされやすくもなる。
