芸能スキャンダルとサイバー事件がタッグを組んでまさかのワイドショー化

サイバー事件 裏の裏　第7回

2016年のサイバー事件まとめ――結果的にはスマホのセキュリティ啓蒙に効果大だった!?

今回は「セキュリティの面から2016年を振り返る」というテーマで、1年間に起こった主な出来事を取り上げながら、サイバー事件の潮流を再確認したい。

文／三上洋

ベッキー騒動がセキュリティ啓蒙に？

――　今回は「セキュリティの面から2016年を振り返る」というテーマで、1年間に起こった様々な出来事を取り上げながら、サイバー事件の潮流を再確認したいと思います。

三上　では、セキュリティだけでなくネット上のトラブルなども含めてお話ししますね。

　2016年は新年早々、いわゆるベッキー騒動で明けました。ベッキーさんのLINEの画面が流出したということで、朝から晩までテレビも週刊誌もその話題一色でした。良いんだか悪いんだかわかりませんけれど、私もよく呼ばれてテレビでずっとベッキーさんの話をしている1週間とかありました(笑)

　これは推測ですが、ベッキーさんの件は“使い終わったスマホの画面が流出した”可能性が濃厚です。自宅で保存していれば普通は大丈夫だろうけれども、下世話な話をすれば、パートナーに浮気がバレるかも……といったリスクがあることを考えると、廃棄する際もしくは機種変更でキャリアショップに渡すときにはリセットが必須ということです。この一件は、“使い終わった携帯電話には個人情報がいっぱい入っているので注意したほうがいい”ということを世間にあらためて周知した話題でした。

　さて、このまま芸能系を続けましょう。1月にはこのほかにもグラビアアイドルがGmailなどに不正ログインされる事件がありました。そして5月には、長澤まさみさんら有名芸能人数名のiCloudが不正ログインされ、私的な写真などを覗き見されるという事件が発覚しました。彼女らが被害に遭った原因はわかりやすくて“パスワードが単純過ぎたこと”です。

　しかしそれより重大な問題は、不正アクセスされたサービスがiCloudだったこと。

　パスワードが簡単過ぎて特定のサービスがひとつ割れるぶんには、そのサービス内の情報が盗られるだけで済みます（パスワードを流用していない限り）。ところがiCloudの場合、ユーザーの多くはiCloudのバックアップ機能を使ってiPhoneなどiOS機器内のデータを保存しています。

　おそらく長澤まさみさんも、iCloudでiPhoneのバックアップを取っていたのでしょう。その結果、iPhoneのデータをほぼ丸ごと持っていかれてしまったのです。つまり、長澤まさみさんのiPhoneにしか入っていないはずの写真も含めて個人情報が盗られているという非常に恐ろしい事態だったわけです。

――　実情は、覗き見どころではない。

三上　はい。サービスによっては、パスワードひとつでかなり広範囲の個人情報が漏れてしまうことを肝に銘じて欲しいですね。

　そんなパスワードにまつまわる事件は毎月のように起きており、直近の12月にも携帯電話会社のサービスに不正ログインして押切もえさん他のメールを覗き見した事件が判明したばかりです。

　そしてパスワードがらみですと、2016年前半には“監視カメラが覗き放題”という話題もありました。

――　世界中の“セキュリティが甘い監視カメラ”を見放題のサイトがある、という話でテレビでも取り上げられていた記憶があります。

三上　これはパスワードがかかっていなかったという非常に困った事態で、デパートの駐車場や会社のオフィス、なかには違法パチスロ屋まで見えていました。そしてこの話題は、今どきの監視カメラはネットにつながっている――つまり広義のIoTデバイスであることをあらためて思い起させると同時に、人を介しないネット接続機器を守るということがいかに難しいかを浮き彫りにしました。

　その代表例が10月に起きたマルウェア「mirai」によるDDoS攻撃です。telnetのパスワードがデフォルトのままだった中国製IoTカメラユニットやデジタルビデオレコーダーを乗っ取ってBOTネットワークを構築、そしてインターネットの基幹といえるDNSに大量のデータを送りつけることで通信不能にしてしまうというものでした。IoTとセキュリティというテーマではじつに象徴的な事件でしたね。

　そして2016年のセキュリティを語る上で絶対に欠かせないのがランサムウェア。

　2015年の年末から年明けにかけてまず「vvv」が話題になり、その後亜種が増えて、企業の被害が目立つようになりました。セキュリティ対策企業の調べによれば、新種出現のピークは6月頃だったようです。現在は新種の数も落ち着いてはいるようですが、大きく報道されないだけで、企業の被害は今でもあります。

　ただ、セキュリティ対策企業各社も復旧ツール制作・提供などを進めており、当初のように感染＝アウトという状態からは脱しつつあります。

標的型攻撃は“受けること前提”の対策を

三上　ここ数年、変わらず続いているのが“標的型攻撃”。6月に793万件の個人情報が流出したJTBの件は2016年で最も目立ったサイバー事件と言ってよいものですが、これの原因も標的型攻撃です。ちなみに、前年に起きたベネッセの個人情報流出のほうが規模は大きいのですがこちらは内部犯行でした。

　標的型攻撃のポイントは、偽メールが巧妙なこと。JTBの場合、添付ファイルは航空券の予約情報を模したもの、発信元は航空会社、メール内容も実在の定型文、メールアドレスは成りすましでした。

――　そこまで徹底されてしまうと、日々のメール業務に追われているなかで見抜くのは難しそうですね。

三上　巧妙過ぎてメール単体では偽物と判断できないという状況ですね。ただ、もちろん対策はありまして、まず実行ファイルが添付されている時点で、社員のPCなどに届く前の段階で止められます。それから、実在しているメールサーバーからの発信か否かをチェックする機能が備わっていれば安心です。

　しかし、システム上困難な企業もあり、JTBのようなパターンですとゼロにはできません。事故前提の対策が必要です。

――　そしてJTBの件は、実際の流出元は子会社だったのではないか、という話もあるようで、そうなると大きな企業ほど守るべき範囲が広がってしまいます。

三上　自社以外のセキュリティが原因で被害を被ったといえば、2013年にアメリカの大手量販店Targetからクレジットカード情報4000万枚分が盗まれた事件は、出入りの空調業者のセキュリティが突破されたことから始まっています。下請けや委託先企業のセキュリティまで問われる時代になったと言えます。

2016年は芸能人とサイバー事件のタッグがセキュリティ啓蒙を促した一年

三上　長年、セキュリティ対策は自分たちには無縁と思われていて、セミナーにも人が集まりづらいというのが実態でした。個人や一般の社会人には響いていなかったのですね。

　それが2016年はベッキーさん、長澤まさみさんなどの事件が立て続けに起こり、ワイドショーで広まった結果、『うわっ、自分の身にも起こるかも!?』と初めて“自分の事”として皆が感じ始めた……そんな一年だったのかなと思います。