セキュリティベンダーのラックは2014年12月16日、今年のサイバー事件・事故を総括する報道陣向けの説明会を開催した。登壇したラック取締役専務執行役員の西本逸郎氏は、「2014年はサイバー犯罪のO2O(オンライン・ツー・オフライン)が鮮明になったり、内部犯行の社会インパクトが拡大したり、脆弱性の深刻な問題が発生したりなど、様々な動きが観測された1年であった」と語った(写真1)。
サイバー犯罪のO2Oについては、ソニー傘下の米国法人ソニー・ピクチャーズ エンタテインメント(SPE)が2014年11月にサイバー攻撃を受け、内部データを盗まれたとされる件(関連記事:ソニーピクチャーズにサイバー攻撃か、米メディアが報道)を例に、「攻撃をオンライン上で行い、実被害(盗んだデータを使った脅迫など)はオフラインで発生させるなど、サイバー犯罪のO2O化が進んでいる」(西本氏)とした。
内部犯行については、「今年はベネッセホールディングスや横浜銀行、国立国会図書館の事件など、印象的な内部犯行が多かった」(西本氏)とした一方、「これらの内部犯行は、企業が行っているセキュリティ対策(ログ取得など)によって、犯行者を特定できたのだろう」(同)と語った。内部犯行を防げなかった一方で、ログなどから証拠を集められる環境を整えていた点は、一定の評価ができるという。
脆弱性の問題については、「OpenSSLの『Heartbleed』、bashの『ShellShock』など、深刻な問題が露呈した1年だった」(西本氏)。また、最近のトレンドとして、海外のセキュリティベンダーが脆弱性にキャッチーな名前を付けており、「ユーザーに啓発する上で非常に良いアプローチになっている」とした。例えば、OpenSSLのHeartbeat(心臓鼓動)機能に見つかった脆弱性では、Heartbleed(心臓出血)という名前を付けるといった具合だ。
続けて西本氏は、2014年に露見したセキュリティに関する重大な課題を三つ説明した(写真2)。一つめの課題は、脆弱性対応のスキームが破たんしていること。脆弱性の対応はパッチを当てることが最適とされているが、「今年発覚した大きな脆弱性のうち、bash以外は新しいバージョンでないと対応できない。新しいバージョンにすれば余計な機能が加わり、その分1年後に発覚するような新しい脆弱性を抱えるリスクがある。パッチを当てれば当てるほど、脆弱性を抱えることになる」(西本氏)。
