トリコロールな猫/セキュリティ

思いついたことをぼちぼち書いてます。

IPA公開の情報セキュリティ10大脅威 2006年〜2016年のまとめ

IPAから、情報セキュリティ10大脅威 2016が公開されました。

www.ipa.go.jp

そこで、2006年〜2016年の10大脅威をまとめてみました。

はてな記法の表だと読みにくくなるので画像です。クリックで拡大。
http://www.flickr.com/photos/44539043@N05/24436312743
*1

いくつかピックアップしてみました。

2006年第3位 音楽CDに格納された「ルートキットに類似した機能」の事件化

この頃は中米エルサルバドルで楽しくLinuxを教えていたのでこんな事件があったなんて知りませんでした。

Antinnyを投下するトロイの木馬、コピー防止ソフト「XCP」で隠蔽工作か

抜子たんて。

www.symantec.com


Antinnyをドロップするらしい。Winnyウイルス全盛期って感じですねえ。

2009年第1位 DNS キャッシュポイズニングの脅威

これは職場で環境を作って再現実験をしたことがあって、久々に面白い脆弱性だなあと思ったことを覚えています。

www.atmarkit.co.jp


ポートのランダム化ちょー大事。

2011年第4位 狙われだしたスマートフォン

iOSの脆弱性とか不正なアプリとか今や珍しくない話ですが、この頃から急にスマホの普及が進んで
問題になってきたようです。

2010 年度の国内におけるスマートフォンの出荷台数は675 万台になる見通しである。前年度(234 万台)から約 2.9 倍の伸びとなり、スマートフォンが急速に普及し始めている。*2

スマートフォンの市場規模の推移・予測 - 株式会社 MM総研

2012年第2位 予測不能の災害発生!引き起こされた業務停止

東日本大震災に絡んで。

被害の一部には、地震によるサーバ障害や津波による戸籍データの消失などが含まれる。
この災害により、一部地域では計画停電(輪番停電)が実施されたが、民間企業のアンケート調査によると、全体の 38%が計画停電で事業に何らかの影響を受けたと回答している。*3


techtarget.itmedia.co.jp


中小企業庁の広報冊子、事業継続計画(BCP)や新型インフルエンザの対策についての情報があって興味深い。

中小企業庁:経営サポート「経営安定対策」

2004年の中越地震、2007年の能登半島地震、中越沖地震で被災した企業の当時の対応などをヒアリングした貴重な資料も公開されています。

中小企業の事業継続計画(BCP)<災害対応事例からみるポイント>

2015年第9位 脆弱性公表に伴う攻撃

Heartbleed、Shellshock、POODLEといろいろあった年。こんなに騒がしかったのはsadmindとCode RedとNimdaが出た2001年以来じゃないでしょうか。


blog.trendmicro.co.jp


d.hatena.ne.jp


japan.zdnet.com


なんか「脆弱性の公開が攻撃を誘発した」みたいに読めるけど、そこで脆弱性の公開を止める方向ではなく、すぐ対策をとれる体制作りをしようという方向に行って欲しいすね。まあ現実問題難しいのかもしれないけど、そろそろ小さい会社でも本腰入れてやる時期だと思う。

2016年第3位 ランサムウェアを使った詐欺・恐喝

去年はランク外だったものが3位になったそうで。

www.atmarkit.co.jp


ランサムウェアって感染したらもうバックアップから復旧させるしかないよね。今年はバックアップがアツい(多分

*1:2009年分は、上から「組織への脅威」1〜3位、「利用者への脅威」1〜4位、「システム管理者・開発者への脅威」1〜3位

*2:2011年版10大脅威 進化する攻撃…その対策で十分ですか? P.20

*3:2012 年版10 大脅威~変化・増大する脅威!~ P.15