2019年、明けましておめでとうございます。4ヶ月ちょっとしかない平成31年はどんな年になるでしょうか?
セキュリティという視点で(主に)ブログ記事を書いてきていますが、2018年で考えると、正直取り上げたい出来事や事件が多すぎて手が廻らなかったなぁと思います。2020年を1つの通過点として、多くの変化が起こりつつある日本市場ですが、重要インフラのみならず、色々な所のセキュリティが破られてしまう、ここ数年同じ事を言い続けている気がしますが、特にそれを裏付ける”事象”が続いている気がします。
ある意味外れて欲しい予想ではありますが、日本市場は狙われている、そういった認識を持たないと、今年は多くの事件に巻き込まれる企業が出てきてしまうと思います。
金融分野は、キャッシュレスというキーワードの元にPayPayだけでなくQRコード決済という新しい流れが出来つつあります。便利でインフラ投資が少ないと、多くのプレイヤーが海外での成功事例を元に、日本でもQR決済に名乗りをあげています。ここもセキュリティ実装が甘ければ、そこを狙った(海外からの)攻撃というのは顕在化してくると思います。
通信分野は、ソフトバンクが多くHuaweiの通信機器を使っていた事からの方向転換に苦しんでいるように、海外の国策的な通信傍受、あるいはハッキングという(潜在)脅威に対して、まだまだ考えなければならない点が多いようです。真偽の程は分かりませんが、昨年ある専門家の方と話したのですが、かなり日本の情報は吸い上げられている、少なくてもDeepWebにはそうした形跡があるとおっしゃっていました。それが現実なのだという目で海外あるいは国内のニュースを見ると、色々な事が分かりそうな気がするので、今年は私もそうした情報分析をもう少し出来るように、と思います。
※ここでは書けませんが、ある専門家の方の話を聞いていると、既に日本市場は残念な状態になっている事がよく分かります。
医療分野は、米国で特にランサムの被害が出ています。日本の医療機関はせいぜいホームページが侵害を受けて若干の個人情報が漏洩程度にしか去年は被害が報じられていませんが、米国での事件件数を考えると、今年日本の医療機関が攻撃を受けて大きな被害を出してもおかしくありません。閉域網であっても怖い気がします。この辺り、英国のWannaCry被害でも明らかになりましたが、パッチ当てが難しい医療システムという課題がある場合、特にそのリスクが大きくなるので、怖い気がします。
教育分野は、去年もかなり記事として取り上げました。研究成果であったり、個人情報、あるいは踏み台としての被害拡大という点でも、大学等の教育機関というのはもっと自分の資産を守る為に考えるべき事がある気がします。海外ではウィルスメール(標的側攻撃)での個人情報窃取、迷惑メールの踏み台、研究データの窃取(ファイルサーバ)のみならず、ランサムで内部システムに侵入される事例も多数ありました。この傾向が日本に来ても不思議ではありません。大学も2要素認証も使わずに外部クラウド(Office365等)を気軽に使っている様なので、今年も情報漏えい事件の対象となる気がしますが、海外ではランサム被害、ビジネスメール詐欺(BEC)は高校などでも出てきています。大学以外も含めて、やはり色々な事件が出てきてしまうかも知れません。
重要インフラまで含めれてまだまだ今年気をつけるべきリスクはありそうですが、長くなりますので今日はこの辺で。
今年が皆様にとって良い1年でありますように。そして私の嫌な予感のする予想が外れますように・・・。
更新履歴
