不正アクセスは忘れたころにやってくる

　近年，個人情報漏えいにかかわる問題が多く取りざたされている。情報システムへの不正アクセスは，以前は嫌がらせ、愉快犯という目的から実施されていたが、今日では口座番号やクレジットカード番号の詐取というように、明確に金銭的な目的で実施されている。

　不正アクセスの対策が進化していないわけではない。ただ，攻撃手法はもっと速いスピードで進化している。例えば企業や官公庁の特定のユーザーを狙って機密情報を盗み出そうとするターゲッティッド攻撃（スピア型攻撃とも呼ぶ）がじわじわと増えている。犯罪者は，ハッキング、スキャン、スパム・メール、スピア・メールなどさまざまな不正アクセス手法を一極集中的に仕掛けてくる。特定個人に向けて未知のウイルスが送られるため，既存の対策は通用しないうえ，発覚しにくい。一方で，セキュリティ・ベンダーにとってはウイルスの検体を入手しづらく，対策に時間がかかる。

一極集中型のためターゲットにならなければ安全と思いがちだが、大企業が保有する情報量は、関連企業や、個人情報、金融情報など膨大であり、誰が狙われるかわからない。しかも，問題が明るみになった時点での波及先は想像以上に広がる可能性がある。

この攻撃の背景には，いわゆるゼロデイ攻撃の増加が挙げられる。パッチ・プログラムなどの対策がまだ存在しないぜい弱性を突く攻撃である。犯罪者は，Microsoft Word文書など，ユーザーがついファイルを開いてしまうような手口で巧妙にウイルスを仕掛けてくる。侵入したウイルスは，ひそかに犯罪者のサイトにアクセスして新たな悪質プログラムをダウンロードしたり，機密情報を盗み出したりする。しかもこうした犯罪は，組織化されたグループによって行われていることが分かっている。一連の動きは、連動、連鎖しつつあり、また派生することで、形を変えて拡散し、多角的な方法での不正アクセスが一般化しつつある。

　実際，こうした手口による事件も起こっている。5月には米国で，「貴社に苦情が寄せられました」という言葉を添えたウイルス添付メールがばらまかれた。こうした事件は，いっときは世間をにぎわすものの，時間と共に記憶の片隅に追いやられ、風化していくのが常。そして，忘れたころに再び大きな波がやってくる。

既存の対策は必ずしも通用するとは限らない。それでも，少しでも危険を回避するための努力は不可欠である。幸い、守るべき対象物は集中的に配置され，対策を講じやすい環境が整ってきている。注意点は，問題点を見極め，適切な対策を講じること，盲目的な対策は逆効果である。啓蒙活動と合わせてPDCAサイクルをまわすことに注意したい。