シマンテックが2014年の調査レポートを公開、モバイルとSNS、IoTへの攻撃が拡大

「一番脆弱である"人"を利用して感染しようとする」と浜田氏。

攻撃で狙われるのはOSやソフトウェアの脆弱性が多いが、特に最近はゼロデイ脆弱性が狙われる例が増えている。12年までは8～15件で推移していたが、13年に23件と増加し、14年も24件と過去最高を更新。浜田氏は、ゼロデイ脆弱性をついた攻撃の効果が高いため「儲かるから(攻撃者が)調査しているのではないか」と推測する。

攻撃としては、クライアントへの攻撃だけでなく、サーバーへの攻撃も注目を集めた。特にWebの根幹技術の脆弱性であるHeartbleedやShellShockといった問題への攻撃が現れ、Heartbleed脆弱性が公開されたわずか4時間以内に悪用が始まっているなど、「攻撃のスピードが速い」と浜田氏は強調する。

情報漏えいに関しては、1,000万以上のIDが盗まれた例は4件と、13年の8件に対して現象。ただ、数としては23%の増加となり、さらに漏えいした企業の20%が詳細の報告をしていなかったという。流出した情報は、インターネット上の闇市場で取引されており、例えばメールアドレスは1000件で0.5～10ドル、クレジットカード情報は0.5～20ドル、パスポートのスキャンは1～2ドル、クラウドサービスのアカウントは7～8ドル、といった価格で売買されているそうだ。