データの重要性 : 2018年最大のサイバーセキュリティトピック
かつては、年間最大規模のサイバーセキュリティの中のトピックのひとつは完全に予測することができました。
例えば、ヨーロッパの一般データ保護規則(GDPR)が5月25日に施行されることは周知の事実でした。そして実際に施行されました。
GDPRは消費者データが常に消費者のものであることを明確化
GDPRの施行に向けたすべての準備、Eメールの対応、および契約の内容・条件の更新は成果を上げているのでしょうか? 初めての違反に課された罰金は控えめでした。(英語)しかし、この一連の規則は、データの保護に関するありとあらゆることに影を落としています。
この影は企業にとって重大な事態や費用負担を招く可能性があるだけでなく、個人情報を新たな状況下に置くということでもあります。つまり、消費者が自らのデータを企業と共有しても、そのデータは依然として消費者に属しているということです。
エフセキュアのErik Andersen(エリック・アンデルセン)は、サイバーセキュリティサウナのポッドキャストで次のように述べています。(英語)「一部の組織や企業は、まるで米国の開拓時代にいるようにビジネスをしてきました。つまり、彼らは自分たちが見つけたすべてのものや、すべてのデータは自分たちのものだと考えています。そして、それを好きなように使うのは自分たちの権利であると見做してきたのです。したがって、彼らは、それが彼らのデータではないということを単に理解できないでいるのです。」
データを保護することは、あなた自身のデバイスやネットワークだけを保護することではありません。それは消費者が企業に寄せる信頼と、企業が消費者に対して果たすべき責任に関することなのです。
もちろん、これはいつの時代でも真実です。そして、今やそれは原則として法律化されたのです - 少なくともヨーロッパにおいて。
このことを念頭に置いて、ここで2018年最大の、GDPR非準拠のサイバーセキュリティトピックをチェックして、データがどれほど重要であるか確認しましょう。
Spectre/Meltdownで新年を迎える
2018年の1月早々、Intel、AMD、およびARMによって製造されたチップ内に存在するSpectreおよびMeltdownの脆弱性が最初に明らかにされました。
エフセキュアのAdam Pilkey(アダム・ピルキー)は、「実際には、これらの脆弱なチップは世界中で広範に使用されているため、この問題はほぼすべての人に影響を及ぼします。」と報告しています。(英語)
それから1年近く経った今でも、これらの脆弱性を緩和しようとする試みは未だ「進行中」です。バグの修正によって独自の問題が発生しているからです。
TechRepublicのJames Sanders (ジェームズ・サンダース)氏は、「セキュリティ重視のベストアドバイスは、もちろんパッチ適用をし続けることです。」と書いています。(英語)
ランサムウェアは終息し、WannaCryやNotPetyaに後続はない
「一種類のサイバー攻撃だけに備えるわけにはいかない」というのが当社のコンサルタントが常に訴えている教訓です。
エフセキュアのプリンシパルリスクマネジメントコンサルタントであるMarko Buuri(マルコ・ブーリ)と、プリンシパルセキュリティコンサルタントのTuomo Makkonen(トゥオモ・マッコネン)は、2018年2月のサイバーセキュリティサウナのポッドキャストのエピソードで、次のように語っています。「たとえば、WannaCryとNotPetyaを例に挙げると、誰ひとりとしてそのような攻撃を予想していませんでした。」(英語)
そして、2017年のサイバーセキュリティのニュースの主役となった、これら2つの歴史的な大規模攻撃ランサムウェアが、2018年には沈静化することを予想した人もほとんどいませんでした。ただし、特に企業にとっては(英語)かなりの脅威であることには変わりはありません。
5月になると、当社の「変貌するランサムウェアの現状(英語)」レポートで報告しているように、ファイルを人質にして身代金を強要するマルウェアによる「ゴールドラッシュ」は、クリプトマイニングやクリプトジャッキングなど他の脅威が急増する中で(英語)、終焉を迎えたように思われました。12月になると、ランサムウェア勢力の衰退は疑うべくもなく、これが今年の最も注目に値する情報セキュリティトピックのひとつとなりました。
今、議論すべき問題は、「何がゴールドラッシュを終わらせたのか?」ということです。(英語)それが解明されれば、もし再び始まった場合に、しっかりと準備をすることができます。
侵害、侵害、また侵害
エフセキュアのLaura Kankaala(ローラ・カンカーラ)(英語)は、「データはかつてないほど価値を持ち、売買することで大きな利益を生むようになったため、プラットフォーム上でユーザのデータを処理する際には極めて大きなリスクを背負うことになります。」と述べています。
11月下旬に起きた、ホテル大手Marriottへの大規模なハッキング(英語)の直後に、Q&AサイトのQuoraが、大規模ではないものの相当な侵害を受けたことを発表しました。(英語)今や、何百万もの人々のデータが漏洩する結果を招くハッキングが猛威を振るっている状況で、それらのすべてを追跡することは困難です。(英語)それは、GDPRを実施している規制当局でさえも同様でしょう。
たとえば、Facebookの歴史上最大の侵害(英語)が10月に発表されましたが、それさえも今年最大のFacebookニュースには及びもしませんでした。それはFacebookにとって極めて厳しいニュースでした。
Facebookの終わりなき2018年
3月の調査では、Cambridge AnalyticaがFacebookのプライバシーポリシーに違反(英語)してFacebookの消費者データを使用していたことが明らかになりました。そして12月には、Facebookが公表しなかった、Amazon、Yahoo、Microsoftなどのパートナーにプライベートメッセージを含む個人消費者データへのアクセスを提供していた事実(英語)が発覚しました。2018年は確かにMark Zuckerberg(マーク・ザッカーバーグ)氏にとって記憶から消し去りたい年になりました。
Facebookの2018年タイムラインは、ただ読むだけで疲れます。(英語)
あなたは、このデータプライバシートピックが本当にサイバーセキュリティトピックと言えるのか自問しているかもしれません。しかし、GDPRが気付かせてくれているように、データの保護は重要です。
多くの人々にとって、Facebookはインターネットそのものと言えるでしょう。そして、Facebookが私たちの個人情報を保護したり、しなかったりすることは、デジタル世界全体に予期できない影響を及ぼしているのです。
エフセキュアは企業規模を拡大し、モバイル脆弱性コンテストで勝利
エフセキュアとしては当然のことですが、当社自身のことを考えずにサイバーセキュリティを考えることはできません。
今年は、当社史上最大の企業買収(英語)を実施しました。それは、脅威ハンティングプラットフォームであるCounterceptと、フィッシング保護サービスのPhisdを生み出した世界クラスのコンサルタント会社であるMWR InfoSecurityの買収です。
著名なMWR Labs(英語)は、常に世界で最も優れたサイバーセキュリティ研究成果をいくつも発表しています。また、11月に東京で開催されたMobile Pwn2Ownコンテスト期間中に、Xiaomi Mi6とSamsung Galaxy S9スマートフォンのゼロデイ攻撃を特定したこと(英語)で再び国際ニュースになりました。
また、国際的な不正防止ボットネットテイクダウン作戦にも参加しました。(英語)侵入者と闘っている企業をバックアップするために、F-Secure Rapid Detection & Responseを発売しました。さらに、当社のプレミアムサイバーセキュリティパッケージTOTALを拡張(英語)し、スパムが復活したことがマルウェアを再び拡散させる一番の方法になっている(英語)ことを周知する活動を行いました。また、当社のハッカーは、誰もが世界中のホテルの部屋を開錠することができる欠陥(英語)と、新たな方法でPCに物理的に侵入することを可能にする欠陥(英語)を発見しました。
そして、当社は2018年、創立30周年を祝いました。(英語)まんざら悪くない365日でした。
カテゴリ