2017年版「5つの最悪セキュリティ事件」から学んだこと：Uberの情報漏えい、WannaCryなど

企業は2017年もサイバー攻撃に見舞われることになった。その中でも影響が大きかった5件のインシデントの概要と各インシデントから学んだ教訓を紹介する。

[Mekhala Roy，TechTarget]

WannaCryに感染した場合に表示される画面の一例（出典：情報処理推進機構）《クリックで拡大》

　サイバーセキュリティ攻撃は発生するかどうかではなく、いつ発生するかが問題になっている。

　データ漏えいやランサムウェア攻撃などのサイバーセキュリティインシデントが大きく取り沙汰される状況が続くことで、企業はサイバーセキュリティを最優先事項に据えざるを得なくなっているのが実情だ。調査会社Gartnerは、2018年の情報セキュリティへの投資額が930億ドルに達すると予想している。

　Gartnerでアナリストを務めるアントン・チュバキン氏は、メールインタビューで次のように語っている。「今日ITは非常に複雑かつ煩雑になっている。そのため、データ漏えいが一切起こらないようにするのは不可能だ。賢明な企業は、実現不可能で根拠のない完璧なデータ漏えい防止策には期待しないようになっている。そして、洗練された検出と迅速な対応によるセキュリティ予防策にシフトしている」

　2017年だけを見ても相当数のサイバーセキュリティインシデントが発生している。例えば、米国では1億9800万人分の選挙データが漏えいし、勢いのある新たなランサムウェアがITシステムに大混乱を引き起こした。

　ここからは、業界関係者とサイバーセキュリティ専門家の分析を交えながら、2017年に大きな影響を与えた5件のサイバーセキュリティインシデントについて解説する。

併せて読みたいお薦め記事

衝撃を与えたWannaCry

• “Windows XPの残影”に悩むMicrosoft、WannaCryでパッチ提供の「なぜ」
• 「WannaCry」事件の“痛み”から考える、ランサムウェアへの予防策とは
• WannaCryはランサムウェア攻撃終焉の始まりか

モバイルセキュリティも課題に

• 「iPhone X」採用の顔認証「Face ID」にセキュリティ専門家が真顔になる理由
• iPhone、iPadのiOSを最新版にアップデートしない人の言い分

大きく取り上げられたEquifaxのデータ漏えい

　2017年7月に信用情報会社Equifaxが見舞われたセキュリティインシデントでは、1億4300万件にも上る米国一般消費者の個人情報が流出した。

　米ミネソタ州ミネアポリスにあるコンサルティング会社TCE StrategyのCEOブライス・オースティン氏は、メールインタビューで次のように述べている。「Equifaxは大規模なセキュリティ侵害が発生したときにやってはいけない対応をした企業の代表例だ。Webサイトの重大な欠陥に早い段階でパッチを適用しなかったことから、セキュリティ侵害の影響を受けているかどうかをチェックするためのサイトの展開が失敗に終わったことに至るまで、このデータ漏えいの惨状は同社の怠慢によるところが大きい。Equifaxに必要なのは、周到にテストされ、準備が整ったインシデント対応プランだった。だが、同社がそのようなプランを用意していなかったのは火を見るよりも明らかだ」

　このセキュリティ侵害によって、20万9000件のクレジットカード番号と18万2000人分の顧客の個人情報が流出した。なお、このインシデントが発生したのは、2017年5月中旬から7月の間だ。

　「このインシデントから学んだもう1つの教訓は、今すぐ修正が必要な脆弱（ぜいじゃく）性と後で修正しても問題ない脆弱性を見極める知識が必要なことだ。このような対応ができれば、攻撃を仕掛けるのが困難になり、攻撃の検出可能性が高まる」とチュバキン氏は語る。

Uberのデータ漏えい

　大手配車サービスのUberは約1年前に発生した大規模なデータ漏えいを2017年11月に公表した。問題のデータ漏えいが発生したのは2016年10月のことだ。原因は、サードパーティーのクラウドベースサービスを使用して、米国内のUberドライバー60万人と全世界のUber利用者5700万人の個人情報を含むファイルにアクセスした悪意のあるユーザーにあった。

　「顧客の安心を重視しないUberの行動は、ドライバーの安心を重視しない行動に取って代わっただけだった。今後、別の企業がセキュリティ侵害に見舞われて、そのことを隠蔽（いんぺい）するようなインシデントが発生したら、私はその行為を『ウーバーゲート事件』と呼ぶだろう」（オースティン氏）