「テレビなどを通じてセキュリティに関する情報を広く伝えようとすると、放送局に表現を変えるよう要求されてかえって伝わらなくなる場合がある。例えば、『Webサイト』は『ホームページ』に変えるよう求められる」。東京大学 情報学環の満永拓邦特任准教授は2017年8月24日、日本シーサート協議会主催のイベントにおいて、脆弱性やインシデントの情報を一般の利用者に的確に伝えることの難しさを解説した。

東京大学 情報学環 満永拓邦特任准教授
東京大学 情報学環 満永拓邦特任准教授
[画像のクリックで拡大表示]

 日本シーサート協議会(NCA:Nippon CSIRT Association)とは、各企業や団体のCSIRTの連携を目的とした組織。2007年3月に設立され、今年で設立10周年を迎える。そこで今回、国内のサイバーセキュリティの現状やCSIRTの重要性などを広く知ってもらうためのイベント「NCA 10th Anniversary Conference『絆』」を開催した。満永氏の講演はその一部。

 講演では、いくつかの事例が紹介された。その一つが、2014年11月に日本レジストリサービス(JPRS)が注意喚起した「ドメイン名乗っ取り」(ドメインハイジャック)。ドメイン名の管理事業者(レジストリ)や登録事業者(レジストラ)のデータベースに登録された情報を書き換えて、正規サイトにアクセスしようとした利用者を攻撃者のWebサイトに誘導する。

 登録情報が書き換えられるので、利用者は対処しようがない。「インターネットのインフラを狙った攻撃と言える」(満永氏)。今後も同様の攻撃が増えると予想されたので、テレビなどのメディアで広く注意を呼びかけたいと満永氏は考えた。そこで満永氏はテレビの取材を受け、ドメイン名乗っ取りについて詳しく解説した。

 だが、テレビで放送された内容は技術的な解説が大幅にカット。満永氏のアドバイスとして、ナレーションの声で「企業側の担当者は気をつけてホームページのアドレスを管理してほしい」と説明された。この放送を見た人によるSNSへの書き込みには、「何言っているのかわからない」や「ホームページのアドレスってなんやねん」といった“ツッコミ”が相次いだという。