特定の組織やユーザーを狙った「標的型(スピア型)攻撃」を受けた企業は11.7%、ここ1年に限定すると7.8%――。

 これは、JPCERTコーディネーションセンター(JPCERT/CC)が2007年3月に実施した調査の結果から得られた標的型攻撃の実態だ。4月25日から始まった情報セキュリティの専門イベント「RSA CONFERENCE JAPAN 2007」内のパネルディスカッションで、JPCERT/CC経営企画室 業務統括の伊藤友里恵氏が「この場で初公開するもの」として紹介した。

 JPCERT/CCのアンケートは、国内の2000社に対して回答を依頼したもので、そのうち14.1%の282社から回答を得た。伊藤氏によると、すべての業種、事業規模を広くカバーしているという。

 伊藤氏は「回答企業の7割が、攻撃に対して何らかの体制作りをしている」と評価する一方、「47.2%は外部に相談や連絡をしていない。手口が共有されないと攻撃されていることにも気がつかない」と情報の共有が不十分だと指摘した。

 情報共有ための取り組みとして同氏は、4月中旬に発足した日本CSIRT協議会(日本コンピュータセキュリティインシデント対応チーム協議会)を紹介した。同協議会は、企業などにおけるセキュリティ事故への対応組織(CSIRT:シーサート)間の連携を推進する組織である。

 パネリストの一人として参加したラック先端技術開発部の新井悠部長は「自分の情報は出したくないが、ほかの組織の情報は知りたい」という意識を変える必要があると発言した。NTTコミュニケーションズ法人事業本部第二法人営業本部エンジニアリング部の小山覚企画戦略部門長は、「攻撃者は、Webマーケティングの手法を悪用している。事故を前提として、事故が発生したときの“次の通信”に注目すべき」と、現実的な対応を促した。