包囲されるアプリケーション：なぜアプリケーションが攻撃されるのか？

アジア太平洋地域は、世界で最も急速に成長するイノベーションセンターになろうとしており、この地域に拠点を設け、投資を行うことが世界中の起業家の間で増えてきています。このデジタル文化においては、企業が競合他社に追いつき、また自社のリードを維持することを目的として、イノベーションのための支出が拡大しています。たとえば中国にはFacebookでさえうらやむようなアプリケーション（Bloombergによれば「中国経済を動かしている[1]」ほど普及したアプリケーション）が存在します。中国の人々は、WeChatを通じて個人の資産管理から友人とのカラオケ予約まで、ほぼあらゆることを行えます。

しかし、このアプリケーションマニアぶりは、中国だけに限られたものではありません。アジア太平洋地域の全域にわたり、アプリケーションを中心とする傾向が高まってきています。今日ではすべてのものが接続されるアプリケーション内のアプリケーションが存在し、支払情報をアプリケーション内に容易に保存することができますが、シンガポールではGrabとLazadaが広く利用されています。また、Carousellで目にするあらゆるものはDBS PayLah!で支払うことができ、Amazon Prime NowとASOSはさらにそれを一歩進め、指紋スキャンやアプリケーションのスイープで取引を行えるようにしました。現実に、私自身も現金での支払いを求められた場合には少々苛立つ（また疑う）ようになっています。

さらに現在では、さまざまなアプリケーションに新たにアカウントを作成することなく、すでに持っているGoogleまたはFacebookアカウントを使ってサインインできるようになっています。このような機能は情報を繰り返し入力し、パスワードを記憶しなくとも良い手間の掛からないエクスペリエンスを提供しますが、プライバシーとアプリケーションのセキュリティに関してその対価を支払うことにもなります。インターネット接続に複数の機器を使用する人が増えたことで、何百万というこのような弱点が作り出されています。これによって犯罪者が攻撃可能な部分がさらに拡大し、またインターネットに接続される機器には多くの場合に個人の資産にリンクされた機密情報が含まれているため、問題はさらに悪化します。この問題の原因は、私たちが判断力を働かすことなくアプリケーションを利用し、一歩立ち止まることなく情報を入力することにあります。犯罪者は、人の怠け癖と利便性の追求を悪用して機密データを盗み出しています。

実際に2010年以来、サイバー犯罪者による企業、政府機関、および消費者に対する攻撃においては洗練と隠密性の度合いが加速度的に高まってきています。最近の事例で言えば、韓国での冬季オリンピックがサイバー攻撃を受け、放送システムとオリンピックのウェブサイト運営が中断に追い込まれたケースがあります[2]。またF5もわずか1週間前にイランのハッキングシンジケートからターゲットとされ、4つの地域ごとの施設においてオンラインアカウントが侵入を受けました[3]。

対応ではなく行動

今日、サイバーセキュリティに対する懸念が、特にシンガポールにおいて高まっています。DDoS攻撃を行うボットか、家庭用IPカメラなどのIoT機器に侵入しようとするマルウェアかを問わず、4秒ごとに誰かがこのような悪意ある攻撃を仕掛けています[4]。サイバー攻撃は今や企業の財務部門を停止に追い込み、また今後5年間のうちには極端な気象や天災に匹敵する影響を持つ大規模な破壊をもたらすと予想されます[5]。

企業は、規模の大小を問わずこれに対応しなければならず、それを怠った場合には自社の評判を損ない、金銭的な損害を被る結果となる恐れがあります。企業にデータ漏えいが生じた場合、顧客の70%近くはその企業との取引を中止するとされています[6]。企業とテクノロジーがセキュリティへの新たな脅威とネットワークトラフィック増大に応えて進化するにあたり、そのネットワークがアジャイルであり、また迅速な対応が可能であるよう構成されていることが極めて重要です。

セキュリティは問題が起きてから対応するのではなく、問題を先取りしなければならない。

すべてのサイバー攻撃を防御できるわけではありませんが、企業は脅威をその重大さが高まる以前に検出することのできる問題先取り型の取り組みを行うことにより、損失や予想外の業務中断を最小限に抑えることができます。これはまた将来の問題を軽減する方法を得る手段ともなります。

治療ではなく予防

アプリケーションの増加は、企業の従業員がもはや従来のオフィスには縛られないことを意味します。今日のデジタルワーカーの間では、いつでもどこでも可能なリモートアクセスへの要求が高まっており、これには機密を要する企業情報も関わっています。

このような個人のコンピュータや機器を通じた機密文書やデータベースへのアクセスは人気のあるすでに確立した業務手段となっていますが、企業のセキュリティにとっては大きなリスクを引き起こします。このことは、66%の人々が個人のモバイル機器とアプリケーションを使い、会社のe-メールをチェックしているシンガポールに特にあてはまります[7]。

企業のネットワーク全体を危険にさらすには、セキュリティが確保されていない機器が1台あるだけで十分。

モバイル機器のマルウェアは急速に洗練の度合いを高めており、多くの場合にはユーザーが何も考えずアプリケーションをダウンロードし、サイバー犯罪者がそれを通じて感染させることによって拡大します。業界の専門家は、生産性と効率を高めることを主として設計されたアプリケーションがサイバー犯罪者による攻撃のターゲットとなり、アプリケーションの接続機能を利用して機密データへのアクセスを得るケースが増加していると警告を発しています[8]。昨年だけを取ってもアジア太平洋地域では約330万の悪意あるアプリケーションが検出されており、これは世界で最も高い数字です[9]。これをさらに裏付けるデータとして、脅威インテリジェンスラボによる調査では、過去10年間の443件の侵入事件のうち86%で、攻撃者はアプリケーションをターゲットとした、または盗み出した身元情報を使った、またはその両方だったことが判明しています。同様に、侵入の53%においてはアプリケーションが当初のターゲットとなっていました[10]。

このような状況下において、企業は攻撃の可能性と影響を軽減するための手段を取ることを求められています。最初に行うべきことは、会社のコンピュータと機器にセキュリティソフトウェアをインストールし、それにアンチウィルス、アンチスパイウェア、およびアンチスパムをはじめとするフィルターが装備されていることを確認することです。これはファイアウォールとともに、社内ネットワークとモバイル機器の保護に貢献するはずです。

行動ではなく文化

最も洗練されたセキュリティテクノロジーが存在していても、最も弱いリンクは依然として従業員です。PwCによる最近の調査によれば、シンガポール企業の38%はヒューマンエラーがサイバーインシデントの原因と思われると回答し[11]、またIBMによる調査ではサイバー攻撃の95%以上にはヒューマンエラーが寄与したことが明らかになっています[12]。

これは、従業員はほとんどの場合には自分の会社に害をもたらすつもりがないにもかかわらず、多くの場合には意図せずセキュリティ違反の原因となってしまっていることことを示しています。これはセキュリティを優先しない企業文化から生じています。シンガポールはサイバーセキュリティ戦略とスマートイニシアティブにおいて世界で最も先進的な地域のひとつかもしれませんが、サイバー攻撃を受けてもなかなか是正しようとしない企業や組織も存在します。

企業のサイバーセキュリティの強さはその最も弱いリンクによって決まる。

企業はサイバーセキュリティを最優先項目に据え、自社のセキュリティポリシーを明確に伝え、サイバー攻撃の可能性をどのように検出するか、またそのような攻撃を受けた場合にはどうすべきかを従業員に教育する必要があります。これはサイバーセキュリティを従業員向けの継続的トレーニングと教育カリキュラムに組み込むことによって実現します。

「練習は完全をもたらさないかもしれないが、慎重な練習はそれを実現する」ということわざがあります。従業員がその知識を実践しているかどうかをテストするため、定期的に準備状況を確認するサイバーセキュリティ演習を実施すべきです。意図しない事故によるデータ漏えいを防止するには、接続時には常に会社が提供するVPNを使用し、公共Wi-Fiネットワーク経由での機密情報へのアクセスを避け、またパスワードを定期的に変更するなど、「セキュアな行動」を浸透させることが効果的です。

サイバー攻撃の犠牲者になるまで待つことなく、誰もが脆弱性を抱えていることを認識してください。常に注意を払い、また接続は慎重に行ってください。

[1] https://www.bloomberg.com/news/articles/2016-09-15/the-app-that-runs-china-s-economy

[2] https://www.theguardian.com/sport/2018/feb/11/winter-olympics-was-hit-by-cyber-attack-officials-confirm

[3] http://www.straitstimes.com/singapore/global-ransomware-attack-hits-digital-directory-at-tiong-bahru-plaza

[4] https://www.infosecurity-magazine.com/news/360k-new-malware-samples-every-day/

[5] http://www.zdnet.com/article/cyber-attacks-are-a-top-three-risk-to-society-alongside-natural-disaster-and-extreme-weather/

[6] https://securitybrief.asia/story/survey-70-customers-would-leave-business-after-breach/

[7] http://theindependent.sg/vmware-study-singapore-businesses-at-high-risk-of-data-breaches-as-one-in-three-singaporeans-use-unapproved-devices-for-work/

[8] https://www.cnbc.com/2017/02/01/productivity-apps-are-a-prime-target-for-hackers-industry-experts.html

[9] http://www.zdnet.com/article/apac-clocked-most-malicious-mobile-apps-in-2017/

[10] https://f5.com/labs/articles/threat-intelligence/cyber-security/lessons-learned-from-a-decade-of-data-breaches

[11] https://www.pwc.com/sg/en/publications/global-state-of-information-security-survey-2018-sg.html

[12] https://hbr.org/2017/12/better-cybersecurity-starts-with-fixing-your-employees-bad-habits