「簡単に手に入るセキュリティ対策製品では、標的型攻撃は防げない。攻撃者は、後出しジャンケンをしているようなもの。まずはオリジナルの対策とネットワーク監視を」――。ラック サイバーセキュリティ研究所の理事で所長の伊東 寛氏(写真1)は、東京ビッグサイトで開催中の「ITpro EXPO 2012」での講演で、サイバー攻撃の脅威が増す今、企業が導入すべき対策を挙げた。ラックは、ITセキュリティのコンサルティングやトラブル発生時の緊急対応などを行うセキュリティベンダー。同氏はそこで、最新の攻撃手法や防御方法の情報収集/分析を行っている。
伊東氏は講演で、(1)サイバー攻撃の現状、(2)サイバー攻撃の事例、(3)サイバー攻撃への対応と対策――を語った。
(1)サイバー攻撃の現状では、「どの情報がどれだけ盗まれたか、よく分からない」というケースが多いと指摘し、サイバー攻撃では被害規模を正確に判定するのさえ困難であるとした。また昨年発覚したサイバー攻撃に関する報道によると、攻撃のきっかけの多くは標的型メールであり、あるケースでは「震災情報を装った原発関連の内容で、差出人は内閣府の実在する人物であり、担当者であれば誰でも開いてしまうようなものだった」と説明(写真2)。今後の標的型メールでは、攻撃者がFacebookのようなSNSサイトを使って、標的となる企業の人間に友達申請を行ったり、実際の友達になりすましたりしてアプローチしてくる可能性を示唆した。
さらに、サイバー攻撃は「犯罪としてのサイバー攻撃」と「国家組織によるサイバー攻撃」に分類できるとした。犯罪としてのサイバー攻撃は金銭を目的としたもので、攻撃者は防御が甘いところを付け狙う。一方、国家組織によるサイバー攻撃は、機密情報を得るのが目的であり、それを達成するためにはしつこくあらゆる手段を使ってくるという。「防衛産業の事件もこれに当たるだろう」とした。
(2)サイバー攻撃の事例では、国家組織によるものの最初として、湾岸戦争で米国がイラクに対して行ったものを挙げた。イラクの防空システムにマルウエアを侵入させるため、特別なチップを内部に埋め込んだプリンターを送り込んだという。ハードウエアを使った攻撃手法は珍しくなく、米国の政府機関で見つかった、大手ネットワーク機器ベンダー製品の模造品なども紹介した。
また、2010年7月に見つかったイランの核開発を妨害するために使われたとするスタックスネットを取り上げた。ウラン濃縮に使われる産業用システムを狙ったものだ。「多くの報道機関では、システムの破壊を狙ったものと報じていたが、それは違うと思う。スタックスネットには、システムを不正操作する痕跡をオペレーターに見つからないようにする仕組みが備わっていた。当時、核兵器開発を目論んでいたイラクが、核兵器として使いものにならないウランを生成しても、それに気付かせないようにするためのものだったのではないか」と独自の理論を展開した。
(3)サイバー攻撃への対応と対策では、国家機密に関わったり、社会インフラを担ったりする企業に対して、国が一丸となって取り組む必要があると訴えた。内閣官房情報セキュリティセンターをはじめ、総務省や経済産業省、防衛省、警察などがそれぞれセキュリティ対策に取り組んでいるものの、「バラバラにやっており、十分な連携が取れていない」とした。またサイバー攻撃では、“私は国家機密とは関係がないから大丈夫”という考え方は間違いであり、目的となる情報を入手するための足がかりにされたり、踏み台にされたりする恐れがあると警鐘を鳴らした。
サイバー攻撃において、攻撃者が大手企業に侵入できる要因の一つは、冒頭で挙げた“後出しジャンケン”だという。攻撃者はあらかじめ、最新のウイルス対策ソフトなどを使って、自分たちの攻撃が検知されないことを確認して実行している。後出しジャンケンを防ぐためには、(1)簡単に入手されない防御策を導入する、(2)ネットワークを監視して外部にデータを持ち出すような通信を止める、の2点が有効だとした。さらに、情報を持ち出しにくくするために、データの分散、暗号化も有効だと付け加えた。
当初、サイバー攻撃の現状などに関して、講師の所属する企業が特定企業の事件の解決に関与し、その内容を講演で話したように受け取れる表現がありました。実際は、その企業を含む一連の事件について、公開されている情報を基に分析した内容を講演したものですので、表現を改めました。 [2012/10/23 21:05]