セキュリティ業界では、常識だと思われているが実はそうではない「セキュリティの非常識」がたくさんある。

 そこでセキュリティリサーチャーである、インターネットイニシアティブ(IIJ)の根岸 征史氏、ソフトバンク・テクノロジーの辻 伸弘氏、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏の3人に集まっていただき、今みんなに知ってほしい「セキュリティの非常識」を熱く語ってもらった。今回のテーマは、「攻撃者が誰なのかは重要か」です。



piyo:サイバー攻撃を受けてしまった後に対策を考える上で、誰が攻撃してきたかという情報が必要だ、という人がいますよね。この情報がないと、対策って考えられないですか。

:アトリビューション問題と呼んだりしますね。ボクはそんなことないと思います。国家が背景にある攻撃者か、単に金銭を狙う攻撃者かによって、対策が大きく変わることはないと思っています。

根岸:攻撃の受け手によっては、攻撃者が誰かということは重要だと思います。例えば、国防や社会インフラに関わる産業など、国家安全保障に関係する組織です。こういった組織では、攻撃者が誰かがわかっていると相手方に伝えたり、調査して相手の攻撃基盤をつぶしたりといった行動が、次の攻撃の抑止力につながります。だから、ちゃんと調べるべきです。

:知るべき人がいるということですね。

根岸:一方、一般企業がサイバー攻撃を受けたときは、その攻撃者が国家かそうでないかなどは関係なく、対策をきちんとやることが重要になります。誰が攻撃したかは二の次です。そういった意味で辻さんに同意します。

:対策とは別に、攻撃者を訴えるときは調べる必要があります。また根岸さんが言うような組織では、外交カードに使う場合もあるので、誰が攻撃者であるかが重要です。

ソフトバンク・テクノロジーの辻 伸弘氏
ソフトバンク・テクノロジーの辻 伸弘氏

根岸:最近の標的型攻撃には、国家が主体になってやっていると言われるものが多いですね。なので、国対国の安全保障に関わる人、例えば諜報機関のような人たちには、攻撃者が誰なのかを知るのは重要ですし、調べるのは常識です。一方、私たちが接している一般企業などの組織にとっては、攻撃者が誰であるかは対策を考える意味でも、あまり重要ではないと思います。

:例えば、攻撃者の背後にどこかの国家があると言われていた日本年金機構への攻撃でも、攻撃者が誰であるかは対策にあまり関係なかったですね。第三者委員会の調査結果にあったように、攻撃者がネットワークに侵入した後に、使い回されていたローカルアカウントのパスワードを悪用した、といった手口などを知って、それに対応する対策を採るのが重要だと思います。