「標的型メール攻撃の手口等、ばらまき型攻撃の多発傾向が継続」――この説明を読んで、何を説明しているか分かるだろうか。
これは、警察庁が2016年3月17日に公開した報道資料「平成27年におけるサイバー空間をめぐる脅威の情勢について」(発表資料)の一部を抜粋したものだ。昨年警察に届け出があったサイバー攻撃の統計情報を、まとめたレポートである。その中で、「標的型メール攻撃」という標的型攻撃に使われるメールを、「ばらまき型」と「ばらまき型以外」に分類したとき、「ばらまき型」の比率が非常に高いということを表付きで指摘しており、その見出しが冒頭に示した説明文である(写真1)。
この「標的型」なのに「ばらまき型」という表現は、「分かりにくい」ということでコンピュータセキュリティの専門家などでは有名だ。筆者は、ここ4年ほどセキュリティ関連の記事を執筆する機会が多く、様々な企業や団体の資料を見たり、セミナーに参加したりしている。しかし、標的型攻撃の手口として「ばらまき型」と表現する組織は、警察以外では1社しか知らない。
セキュリティ業界で使われる用語には、各企業や団体によって定義が異なるケースが多い。例えば、標的型攻撃を「不特定多数を狙った攻撃ではない」と緩く定義するところもあれば、特定企業だけをターゲットにした攻撃と定義する企業もある。さらにやっかいなのは、時期によって定義を変える企業もあることだ。
セキュリティ用語は、一般ユーザーが理解しやすくするために、キャッチな名称に使ったり、たとえを使って言い換えるケースもある。これはセキュリティ関連企業だけでなく、報道機関でも多く見かける。では、これらの情報を受け取る一般ユーザーや企業のセキュリティ担当者は、どう対処したらいいのだろうか。実例を見ながら、考えてみよう。
標的型の定義が広すぎたのが原因
まず、警察はどうして「標的型メール攻撃のばらまき型」という表現を使うようになったのか。これは、用語の定義の変遷を追うと分かる。
