2017年は、様々な“セキュリティの常識”が覆された年だった。
まず、ランサムウエアの常識を見直すきっかけになったのが、5月に世界中で猛威を振るったランサムウエア、WannaCryの登場だ。国内でも、「国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染」で報じたように、多くの企業が被害に遭った。
ランサムウエアは、パソコンのデータを暗号化などによってユーザーが使用できないようにして、元に戻すための金銭を要求するウイルス。WannaCryが登場するまでのランサムウエアは、自身に感染させる能力がないため、メールなどに添付された別のプログラムやスクリプトを使うのが“ランサムウエアの常識”だった。
このため、世界中でWannaCryの感染報告が上がった当初は、国内のセキュリティ関係機関が「メールを開かないで」といった注意喚起を出した。ところが、WannaCryにはネットワーク上の脆弱なパソコンを見つけて感染を広げる能力が備わっており、メールによる感染は確認されなかった。しかもこの感染能力によって、ネットワークの混雑を招き、業務が止まってしまった企業もあった。こうした最新型ランサムウエアの仕組みを解説した「これまでとは異なる恐怖、最新型ランサムウエアの常識」はよく読まれた。
パスワードの常識も大きく変わった。これまで安全だとされていたパスワードは、「多くの文字種を使う」「英単語などを使わず、ランダムの長い文字列にする」を満たすものだった。しかし、これらを満たすためにユーザーが同じパスワードを複数のWebサービスで使用する「使い回し」が増加。そのせいで、別のサービスで漏洩したパスワードを使って不正ログインを試行するリスト型攻撃による被害が急増した。「複雑なパスワードを強制、でも破られやすいという現実」や「破られにくくて忘れにくいパスワード、賢く使い分ける方法」では、こうした背景やパスワードの複雑性を要求するサービスが減っている状況を解説した。
比較的安心だといわれていた生体認証の信頼性も揺らいだ。多くのスマートフォンで採用される指紋認証は、「書類の母印から指紋認証を突破できるか?」で解説したように、母印や指紋の写真を使って破られることが分かった。
iPhoneでは、iPhone 7まで採用されていた指紋センサーがなくなり、iPhone Xでは顔認証が採用された。こうした顔認証のUIを評価した「iPhone Xの顔認証で感じる、やっぱりホームボタンは偉大だった」は、セキュリティジャンルで最も読まれた記事になった。
