マカフィー、2019年の10大セキュリティ事件を発表

マカフィー株式会社は、2019年11月26日～2019年11月29日の期間、日本国内の経営層や情報システム部門などのビジネスパーソン1,552人を対象に第6回「2019年のセキュリティ事件に関する意識調査」を実施した。同調査の結果を基に、本日、2019年の10大セキュリティ事件を発表した。

同ランキングは、昨年実施した5回目の調査（2018年11月）から今回の調査を開始した2019年11月までに報道されたセキュリティ事件に対するビジネスパーソンの認知度（複数回答）を調査した結果によるものだ。ランキングは以下の通り。

1 セブン&アイ・ホールディングス傘下のセブン・ペイが運営するバーコード決済サービス「7pay」の一部アカウントへの不正アクセスを確認。経緯とともに同サービスの廃止を発表（7月～10月）
認知度：63.9
2 ヤマト運輸が提供するクロネコメンバーズのWebサービスにて外部からパスワードリスト攻撃による不正ログインが判明（7月）
認知度：36.4
3 通信機器でスパイ行為をしているとの指摘を受け、次世代通信規格5Gネットワーク建設で、中国の華為技術（ファーウェイ）の通信機器に対して、安保上の理由から締め出し強化（5月）
認知度：34.0
4 会員制交流サイト（SNS）に投稿された顔写真の瞳に映った景色を手掛かりに、アイドル活動をしている女性の住所を特定し、わいせつな行為をしたとして男が逮捕、起訴（10月）
認知度：33.4
5 5億4000万件以上のFacebookユーザーの情報を含むデータセットが、Amazon Simple Storage Serviceのバケットからダウンロード可能な状態で公開されていたことが発覚（4月）
認知度：29.6
6 ゆうちょ銀行をかたり、「『ゆうちょ認証アプリ』による本人認証サービス開始」などの件名で、本文に記載したフィッシングURLからのログインを促す内容のフィッシングメールに対して注意喚起（6月）
認知度：28.4
7 トレンドマイクロの元従業員が顧客情報を盗み出し、第三者に売却したことで米国など海外の最大12万人分の情報が外部に流出（11月）
認知度：27.3
8 スマートフォンのSMS（ショートメッセージサービス）を使って個人情報を盗み取ろうとする「スミッシング」と呼ばれるサイバー攻撃が激化（4月）
認知度：25.6
9 「宅ふぁいる便」サーバへ不正アクセス、約480万件の個人情報が流出（1月～3月）
認知度：25.5
9 北朝鮮金正恩氏と米ドナルド・トランプ大統領による首脳会談中にも、北朝鮮のハッカー集団がアメリカや同盟国の企業に対するサイバー攻撃の手を緩めず（2月～3月）
認知度：25.5

2019年を代表する事件としてランキングの第1位になったのは、バーコード決済サービス「7pay」への不正アクセスによりユーザーに金銭的被害が発生し、サービス再開の抜本的な対応が困難などの理由で同サービスを廃止した事件だ。競合コンビニエンスストアチェーンでは複数のバーコード決済に対応しており、セブンイレブンも同様の利便性を実現する狙いの導入だった。

この「7pay」の事件は、キャッシュレスサービスの安全性について改めて考えるきっかけとなった。利便性により市場への浸透が進むバーコード決済サービスだが、企業は利便性と安全性のどちらかを優先するのではなく、十分な安全性を確保した上でサービスを提供する必要がある。一方、消費者は利便性に伴うリスクも十分に理解し、類似サービスを上手に活用することが求められる。

第2位にランクインしたヤマト運輸のWebサービスへの不正ログイン、第5位のSNSのユーザー情報公開設定におけるセキュリティ問題、第9位の大容量ファイル転送サービスへの不正アクセスなど、2019年はクラウドサービスが抱えるリスクについて考える1年となった。昨今は利便性に優れるクラウドサービスが数多く存在し利用者も増えているが、企業はオンプレとは異なるクラウド向けのリスクの管理を行う必要がある。

また、SNSの投稿写真を悪用した犯罪や、実在の企業を騙る悪質なSMSを通じてフィッシングサイトに誘導する詐欺の激化がランクインしていることから、デバイスの高機能化やサービス拡充の影に潜む悪意について注目される年となった。