不特定多数からターゲットの局所化へ、個人から組織犯罪へ、愉快犯から金銭目的へ。インターネット利用者を脅かすコンピュータセキュリティインシデントは日々様変わりし、巧妙化している。インターネットを安全に利用するためには「セキュリティ」にどのような姿勢で取り組むべきかを考えなくてはならない。企業内に「セキュリティインシデント対応チーム」の設置をと、JPCERTコーディネーションセンター伊藤氏は訴えた。
不特定多数への攻撃からターゲットの局所化へ
|
「コンピュータセキュリティインシデント」とは、ウイルス感染や不正アクセス、情報漏洩、迷惑メール送信、DoSアタックなど、システム運用上の脅威となる現象のことだ。このコンピュータセキュリティインシデントの対応組織がJPCERTコーディネーションセンターである。コンピュータセキュリティインシデントやソフトウェア等脆弱性情報などの情報分析、ハンドリング、発信活動、ボット対策業務、インシデント対応組織構築と活動支援、海外CSIRT との国際間情報連携など、多彩なセキュリティ対策活動を行っている。
同センターの伊藤友里恵氏によると、最近の傾向として「一時流行した大規模なワームからソーシャルエンジニアリング的な手法へと移行している」という。例えば、関係者からと見せかけたメールにマルウエア(悪質なプログラム)を添付して、送りつける。その手口は巧妙化しており、事前に取引先企業や所属部署を調べ、それらの情報をメールの送信元や本文に使用する。ターゲットとなる企業ユーザーの上司や部下の名前、参加しているプロジェクト名が使われる場合もある。
つまり、ターゲットが局所化しているのだ。多くの組織に対して一種類の攻撃手法を使うと、検知や対策が容易になるからだ。ある組織に対して使った手法は、ほかの組織には使わない、特定の組織への特定の攻撃が目立っている。
犯行は組織化
企業にも対応チームを
「かつては愉快犯がほとんどでしたが、今では組織化された犯行が多くなっています」(伊藤氏)。背景には、個人情報や機密情報がお金になることが知られ、そのマーケットが存在しているからである。犯罪のためのツールを提供するマーケットも存在するらしい。最終的な目的は、金銭になっているのである。
では、これらの攻撃をかわす対策はあるのだろうか。「利益が大きいのに対し、つかまるリスクが圧倒的に少ない。この構造を変えない限り犯行は減りません」と、伊藤氏は断言する。逆にいえば、つかまるリスクを大きくして、攻撃者が得られる利益を減らせばいい。
そこで、JPCERT/CCはインシデントの迅速な検知、対策情報を提供するとともに、脆弱性を通知して対策を促す「脆弱性ハンドリング」を行っている。
これに対して、ネットワーク上にある資産の価値を減らすことは難しい。情報の金銭的価値を、自ら減らすことはできないからである。「犯罪者から見て価値が高い情報を明確にして、そのガードを徹底することです」と伊藤氏は説く。
そのためにも「組織内CSIRT(コンピュータセキュリティインシデント対応チーム)を設置することをお勧めします。JPCERT/CCには組織内CSIRT構築支援プログラムがあるので、ぜひ声をかけて欲しい」と伊藤氏は呼びかけた。
