今回は、毎年恒例となっている「2019年セキュリティ脅威予想」をテーマに書いてみたいと思います。今年も各セキュリティベンダーから、国が関与するようなものから、身近で発生が危惧されているものまで様々な予想が出されておりますが、その中で、身近で発生が危惧されているものをご紹介致します。

(1)フィッシング攻撃のさらなる増加
2018年も大手インターネットサービス(Amazon、Aaple ID、楽天、ネットバンクなど)を狙う、偽のメールが大量にばらまかれており、2019年も引き続き継続すると予想されます。

また、前回のブログでも少し書きましたが、手口が変化し、従来のメールだけでなく、ショートメッセージサービス(SMS)を使い、直接、携帯電話やスマートフォンに「偽のメッセージ」を送りつけ、受信者が記載された偽のウェブサイトへログインすることで、ログイン情報が抜き取られてしまう事件も既に多数発生しています。

性的脅迫（セクストーション）、ビジネスメール詐欺（BEC）なども継続して発生し、2020年のオリンピックに関連するものが増加すると予想されます。

(2)情報漏えいで窃取された個人情報の大規模な悪用
つい先日も、老舗のファイル送信サービスを行っていた事業者より、氏名・生年月日・メールアドレス・パスワードなど、約480万件のアカウント情報が外部に流出した事件が発生しました。こちらのサービスでは、パスワードは暗号化されておらず、平文のまま流出したことが確認されています。

これとは別に、1月初め頃に「Collection #1」と呼ばれる、大量のアカウント情報をまとめたファイルが公開されていたことを、海外のセキュリティ研究者が発見し、分析しています。この中には7.7億件のメールアドレス、11.6億件のログイン情報が含まれていたとされています。他に「Collection #2～5」の存在も報告されており、こちらについての詳細は公開されていません。

いずれにしても大量に漏洩したアカウント情報を使って、他のサービスにログインする「アカウントリスト攻撃」や、フィッシングなどの攻撃に悪用される可能性が非常に高いと予想されます。

(3)サプライチェーン攻撃の増加
2018年は、ソフトウェアのアップデートプログラムが改ざんされるソフトウェアへのサプライチェーン攻撃ではなく、特定メーカーのハードウェアへ不審チップ搭載の噂（ハードウェアへのサプライチェーン攻撃の噂）があり、この件に関して真偽は不明ですが、2019年はハードウェアへの直接的な攻撃が危惧されています。

(4)ネットワークカメラ、ルータなどのIoT機器乗っ取りの増加
総務省が、国内のIoT機器について調査を行うとの報道で、賛否が分かれていますが、昨年、弊社のお客様でも、他社設置のネットワークカメラが乗っ取られる事件が発生しています。乗っ取られたネットワークカメラについて、設置業者へ確認したところ初期パスワードのままというケースもありました。残念ながらそういったIoT機器も数多く設置されているのが現状ではないかと思います。

初期パスワードのまま設置されたり、アップデートされずに、脆弱性が放置されたままのIoT機器が、今後乗っ取られ、踏み台としての悪用だけでなく、その機器を経由した通信そのものが盗まれるのではないか、との予想も出ています。

情報セキュリティ管理者：J