チェック・ポイント・ソフトウェア・テクノロジーズは2016年11月30日、2017年のITセキュリティの脅威予測を発表した。登壇した同社シニア・セキュリティ・エバンジェリストの卯城 大士氏(写真1)は、「スマートフォンは、セキュリティパッチが提供されてもすぐに適用できない。私のスマホは、8月に見つかったQuadRooterという脆弱性が二つも残っている」とスマホの危険性を訴えた。

写真1●チェック・ポイント・ソフトウェア・テクノロジーズ シニア・セキュリティ・エバンジェリストの卯城 大士氏
写真1●チェック・ポイント・ソフトウェア・テクノロジーズ シニア・セキュリティ・エバンジェリストの卯城 大士氏
[画像のクリックで拡大表示]

 チェック・ポイントは、2017年の脅威予測として、(1)モバイルデバイスの危険性、(2)狙われるインダストリアルIoT、(3)社会インフラへの攻撃、(4)組織に対するDDoS攻撃やランサムウエア、(5)クラウドへの攻撃――を挙げた。この(1)で最初に危険だと指摘したのが、スマホだった。

 スマホの利用者増加に伴い、攻撃者はスマホを格好の標的として、侵入するための脆弱性を探している。ユーザーは、セキュリティパッチが公開されたら即座に適用する方法で対抗するしかない。しかしセキュリティパッチが提供されても、スマホメーカーがソフトウエアを独自にカスタマイズしているため、パッチをそのまま適用できないケースがあるという。卯城氏は、「スマホメーカーが提供するまで待たなければならず、その間は脆弱性を抱えたまま使わざる得ない」と指摘する。

 例えば2016年8月に見つかった、米クアルコムのチップセットを採用したAndroidスマホの脆弱性は「QuadRooter」と呼ばれ、攻撃者が管理者であるルート権限を取得できる危険なものだ。しかし、いまだにセキュリティパッチが提供されていないスマホがある。

 (2)のインダストリアルIoTは、本来クローズドな環境で運用していた産業機器のネットワークが外部のネットワークと接続されるようになり、セキュリティ対策が不十分である点を指摘(写真2)。(3)では、外部のネットワークから管理機能にアクセスできる社会インフラが乗っ取られてしまった、海外の事例を紹介した。

写真2●狙われるインダストリアルIoTや社会インフラへの攻撃(発表会資料より)
写真2●狙われるインダストリアルIoTや社会インフラへの攻撃(発表会資料より)
[画像のクリックで拡大表示]

 (4)では、2016年に急増したランサムウエアの多様化を指摘。身代金以外に政治的な要求を行うケースが見つかっているという。

 最後の(5)では、企業ネットワークでクラウド利用が増えたことによって、攻撃者がクラウドシステムの脆弱な部分を攻撃するケースが増えていると指摘した。また、ランサムウエア対策としてクラウドにデータのバックアップを取っていても、クラウドのバックアップデータまで暗号化されてしまう事例があったと紹介した。