125万件の個人情報が流出した、日本年金機構へのサイバー攻撃は序章に過ぎない――。セキュリティソフト大手、米シマンテックのマイク・ブラウンCEOは日本企業の経営者に警鐘を鳴らす。マイナンバーの導入や東京五輪などで、日本を標的にした攻撃はますます増えると予測する。攻撃者の動機や最新の手口などを聞いた。
(聞き手は小笠原 啓)
日本年金機構の情報流出など、国内でのサイバー攻撃被害が目立ちます。
ブラウン:攻撃の数は間違いなく増えています。サイバー攻撃については日本語の壁はありません。今では日本と海外の区別なく、コンピュータウイルスは蔓延しています。全世界では年間8000万~9000万件のサイバー攻撃があります。かつては米国に集中していましたが、日本もかなり狙われるようになってきました。
日本年金機構への攻撃以降もサイバー攻撃は減っていません。むしろさらに増えるでしょう。来年、マイナンバー制度が導入されると、それをターゲットにした攻撃が登場すると予想しています。
「ゼロデイ」攻撃が記録的な数に
攻撃の手口は変わってきたのでしょうか。
ブラウン:非常に洗練され高度になってきました。
(人間の心の隙やミスにつけ込む)ソーシャルエンジニアリングを駆使してメールを偽装。同僚や友人から届いたように見せて開封させ、マルウエア(悪意のあるソフトウエア)に感染させる「標的型攻撃」は、全世界的に流行しています。
標的型攻撃により社内ネットワークに侵入した後で、複数のファイルを送り込み、攻撃対象の内部でマルウエアを組み立てるケースもあります。
ウェブサイトにユーザーを引き寄せて、マルウエアを仕込んだファイルをダウンロードさせる「水飲み場攻撃」の手口も高度化しています。
未知のソフトウエア脆弱性を狙った「ゼロデイ」攻撃も記録的な数になっています。攻撃した事実を検知する前に、情報を盗み取られることすらあります。
