パンデミック宣言がされて早半年以上経ちますが、アメリカでは大統領選挙を控える中、サイバー攻撃と悪意のあるユーザによる行為が問題視されています。インターネット上の情報や政治に関連した広告は信用性にかけるもので溢れ、ハッカーが至る所に悪意のあるコードを入力し情報を抜き取ることが可能な社会となりました。このような状況の中、やはりEC運営者様の懸念となるのが、Eコマースサイトの安全性と質の高い詐欺検知システムの導入です。本記事では2020年度に最も脅威となると予想されたサイバー攻撃について記載し、来年度に向けてどのようにセキュリティー対策をしていくべきなのか考えたいと思います。
始めに、クラウドシステムの脆弱性を狙ったサイバー攻撃が例として挙げられます。狙われる理由として、様々な企業が顧客や雇用者の個人情報をシステム上に入力し保管していることが考えられます。悪意のあるハッカーはそのような状況を狙ってインターネット上にボットを仕掛けたり、フィッシング詐欺を試みることで情報の窃盗に努めています。Forbesの調査によると、83%の企業が個人情報をクラウド内で保管することが予想されています。アカウントのハイジャッキング、DDoS攻撃が主なセキュリティー脅威となっています。
2つ目のサイバーセキュリティ脅威は、AIロボットによる機械学習を用いた攻撃手法です。AIロボットの力によってサイバー攻撃を防止できるということは、逆に捉えるとサイバー攻撃を仕掛けることも可能であるということです。AIによって操作されたマルウェアは巧妙な手口を使ったスパム攻撃を行い、セキュリティー脅威検知システムを突破し、それぞれのインターネットユーザーに適応した広告配信が可能であることがMalwarebytes.comの調査により判明しました。
3つ目の脅威はAIロボットによるファジングです。システムの脆弱性を自動的に検知しサイバー攻撃を仕掛ける手法であり、ゼロデイ攻撃を深刻化させることが可能です。
4つ目に挙げられるのは機械学習を利用したサイバー攻撃です。悪意のあるユーザーは、クラウド内のビックデータやSNSアカウントの情報を抜き取り、オンラインショッピングの購入履歴やウェブトラフィックなどの情報を入手することが可能です。そしてトロイの木馬のような不正機能を含んだウイルス拡大を目的としても使用されます。
5つ目に挙げられるサイバーセキュリティー脅威は、自動発行されるコードを含み構成されたSmart Contract Hackingです。ハッカーはこのコードを用いて公開鍵暗号などの技術を組み合わせることでデータを同期・記録し、ブロックチェーンを基にしたアプリケーションを作成することが可能となります。このサイバー攻撃は分散型ネットワークを構成する多数のコンピューターを対象とするため、被害は大規模となることが多いです。
6つ目に挙げられるのがフィッシング詐欺などのソーシャルエンジニアリング手法です。この方法は、主にログイン情報やクレジットカード情報などを個人から抜き取るために使用されます。受信Eメールを元にしたフィッシング詐欺の対策をしている組織や会社は多数ですが、悪意のあるサイバー犯罪者はデータ漏洩や金融詐欺を目標として、フィッシング詐欺の巧妙化に努めています。フィッシング詐欺は手間が少なく効率的な戦略であるため、今後件数は増加していくことが予想されています。SNSフィッシング詐欺手法も他のソーシャルエンジニアリング手法であり、WhatsApp、Slack、Skype、WeChatなどのアプリ上で被害数が拡大しています。サイバー犯罪者はこのようなメッセンジャーアプリの使用者にマルウェアのダウンロードをするよう仕向け、携帯内にウイルスを埋め込むことが可能です。例としてファンドレイジングなどのキャンペーンを装い、悪意のあるリンクが添付されたメッセージを送信することが挙げられます。
最後に、人工知能と高度な画像制作技術を用いて合成されたdeepfakeが挙げられます。この手法は近年SNSプラットフォーム上やニュースで拡散・悪用され始め、政治関連のキャンペーン、大統領選挙、メディア業界、エンターテイメント業界・そして金融機関などに深く影響しています。人間が加工するコラージュやCGは手間・時間がかかりますが、deepfakeはAIの機械学習を用いて画像・動画の顔を自動的に差し替えることが可能なため、大変効率の良い偽造手法だといえます。この戦略がサイバー攻撃に使用されるのは時間の問題であり、対象となる被害者は例として金融機関やNPO団体のファンドレイジングキャンペーンなどが挙げられるでしょう。例としてCEOを装った動画の拡大やビジネスをターゲットとした詐欺に使用されることが予想されます。
様々なサイバー攻撃手法が使用される近年ですが、対策法としてまず、御社の収益源を考慮した上で、サイバーセキュリティー対策が必然的である要素、データ、ツールなどを検討します。そして法律上保護しなくてはならないコンプライアンスなどを検討し、会社全体でセキュリティー対策の戦略を考えていきましょう。そしてパスワードの定期的な変更や怪しいEメールを開封しないことの徹底を行い、ウイルス対策ソフトやファイアウォールを利用してウイルス脅威のスキャンを行いましょう。また、パスワードの暗号化も対策案の1つです。運営する会社を逆ハッキングすることで脆弱性を見つけ修復することも効果的でしょう。
テクノロジーの普及と発展が進歩する中、個人個人だけでなく企業全体がサイバー攻撃の対象となり易い社会となりました。サイバー犯罪者は常にネットワーク上の脆弱性を求めてアンテナを張り、詐欺・偽造・サイバー攻撃の機会を狙っています。機械学習や人工知能の発達はサイバー犯罪者だけでなくビジネス運営者にとっても有益なものであるため、様々な対策法を導入してセキュリティー対策に努めましょう。
Lizuna (https://lizuna.com/) は、3つのテクノロジーを用いてオンラインショッピングサイト上の詐欺や悪意のある注文を監視・防止する会社です。EC運営者の安全なビジネス経営のため、日々研究に刻苦勉励しています。
参考文献:
Belani, G. (n.d.). 5 Cybersecurity Threats to Be Aware of in 2020. Computer.org. https://www.computer.org/publications/tech-news/trends/5-cybersecurity-threats-to-be-aware-of-in-2020
