 |
「フィッシングのようなオンライン詐欺は,システムではなく“人”への攻撃だ。システムでは守り切れない。ユーザーが“賢く”ならない限り,完全に防ぐことはできない」——。米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)であるBruce Schneier氏は10月22日,IT Proの取材に対して語った(写真)。
Counterpane Internet Securityは,セキュリティ監視サービスの専業ベンダー。ワールドワイドでサービスを提供している。国内では,インテック コミュニケーションズと共同で「EINS/MSS+」というサービスを提供している(関連記事)。
Bruce Schneier氏は暗号アルゴリズム「Blowfish」と「Twofish」の開発者であり,「Electronic Privacy Information Center(EPIC)」のアドバイザリ・ボードの一員でもあるセキュリティの専門家。セキュリティに関する執筆および講演も頻繁に行っている。例えば,「Applied Cryptography」や「Secrets and Lies」,「Beyond Fear」の著者でもある。フリーの月刊ニュース・レター「CRYPTO-GRAM」を執筆および発行している(CRYPTO-GRAMの日本語訳はIT Proで公開中)。
以下,同氏の発言内容を一部まとめた。
メディアで報じられている通り,米国では2003年からフィッシングが大きな問題となっている。実際に大きな損失をもたらしている。フィッシングのようなオンライン詐欺をシステムで守ることは難しい。というのも,フィッシングなどは,システムに対する攻撃ではなく,“人”を対象とする攻撃だからだ。
たとえシステムで一時的に守れたとしても,攻撃者が“戦略”を変えれば,その防御方法は無力になる。フィッシングのような攻撃は,ユーザーが賢くならなければ防げない。そのためには,ユーザー教育が重要である。
現在は,フィッシングのように利益を目的とした“犯罪志向の攻撃(Criminal based Attack)”が主流となっている。“知的好奇心を満たすための攻撃”ではない。具体的には,フィッシングようなオンライン詐欺のほかに,ECサイトで販売されている商品の値段を変えたり,競合会社のネットワークに侵入して情報を盗んだりすることが“トレンド”だ。銀行のネットワークに侵入して金銭を盗むといったクラッキングも行われている。金銭的な損失を招くような攻撃が横行しているのだ。
こういった攻撃に備えるには,セキュリティ監視サービスが有効だ。自前で対応しようとしても,そのためのリソースがないだろう。知識や能力を持った専門家にアウトソーシングすべきだ。実際,アウトソーシングする企業は——特に大企業において——増えている。
(勝村 幸博=IT Pro)
