ランサムウエア「WannaCry」にJavaのWebアプリケーションフレームワーク「Struts2」と、2017年前半は脆弱性にまつわる大規模なサイバー攻撃が発生し、日本でも被害が続出した。WannaCryの攻撃では電子メールや受発注のシステムが止まり、Struts2への攻撃ではクレジットカード情報が流出し、つい昨日も公表ベースで13件目の被害が判明した。攻撃者の悪意は高まる一方だ。

 一方、世界に目をやれば米ロ、仏ロでは大統領選にロシアがサイバー攻撃で介入したとして政治問題に発展している。米国防総省がサイバー空間を陸・海・空・宇宙に続く「第5の戦場」と定義して久しく、米中央情報局(CIA)元職員のエドワード・スノーデン氏は米国家安全保障局(NSA)が開発したメールやソーシャルメディアなどの監視システムを日本に提供していたと暴露した。

 国家を背景にしたサイバー脅威は高まるばかり。サイバー防衛を高めなければ。だが――。

 「攻撃者をものすごく高度な存在に見積もってはいないだろうか」。総務省が所管する国立研究開発法人、情報通信研究機構(NICT)でサイバーセキュリティ研究所サイバーセキュリティ研究室の室長を務める井上大介氏はこう疑問を投げかける。高度に見積もり過ぎたことで、日本の組織は「小学生相手に戦うのに、プロボクサーと戦うような装備を求められているのでは」というわけだ。

情報通信研究機構(NICT)サイバーセキュリティ研究所サイバーセキュリティ研究室室長の井上大介氏
情報通信研究機構(NICT)サイバーセキュリティ研究所サイバーセキュリティ研究室室長の井上大介氏
[画像のクリックで拡大表示]

実態が分からないから過剰反応する

 井上室長が対策のアンバランスさを感じる理由は単純だ。標的型攻撃の“実態”が分からないのに、対策が進んでいるからだ。

 「標的型攻撃で攻撃者が実際にどう侵入して、どう組織内で感染端末を広げ、どう情報を盗み出していくのかというリアルタイムに挙動を記録した『データセット』はほとんど無い」(同)。被害に遭った企業や団体は「ログを取っていないケースが多く、取っていても“お家騒動”なので外部には提供しない」という。

 「リアルな標的型攻撃のデータ」として唯一あるのが、今からちょうど2年前、2015年6月に日本年金機構が公表した標的型攻撃の事故のものという。NISC(内閣サイバーセキュリティセンター)がいち早くログデータなどを確保した。

 ただそのデータも攻撃が終わった後のもの。攻撃の模様が公表されてはいるが、各種ログをフォレンジック調査(デジタル鑑識)調査して「こういう攻撃だったのであろう」とあぶり出したにすぎない。井上室長が言うところのデータセットではない。