はじめに
ここ数年、サイバー攻撃が激化しており甚大な被害が出ている。読者の方も関連する報道に接する機会が多くなったと実感しておられることと思う。この記事を執筆しているのは2013年6月上旬であるが、折しも米国オバマ大統領と中国の習近平国家主席の首脳会談のなかでサイバー攻撃対策が取り上げられたところであり、深刻な国際政治問題の一つになっていることが認識できる。筆者はサイバー攻撃の前線で活動しているわけではないが、情報セキュリティを専門とする大学に身を置き、比較的中立な視点からサイバー攻撃を俯瞰し研究できる立場にある。そこで、最初にサイバー攻撃とはどのような攻撃なのかを定義し、最近の動向から、誰が何の目的で実施しているのかを推測する。さらに代表的な攻撃パターンを紹介し、企業等で急がれるべき技術的対策と人的対策、さらに対策コストについて考える。
サイバー攻撃とは何か
破壊と搾取の攻撃パターンと事例
サイバー攻撃の定義と背景
サイバー攻撃とは、広い意味ではインターネットのような情報技術IT(Information Technology)を利用して情報セキュリティを脅かす攻撃全般を指す。すなわち、不特定多数の個人を対象にコンピューターウイルスを蔓延させる、あるいはフィッシング詐欺をはたらく、といった行為が広義のサイバー攻撃に含まれる。しかし、近年は特定の国家や企業といった組織を対象にしたものが顕著になっている。ターゲットが限定されていることから標的型攻撃とも呼ばれる。最近では、サイバー攻撃といえばこの標的型攻撃を指すことが多い。
この標的型攻撃が行われる要因として、政治・経済問題を抱える国家や企業が敵対する組織に直接ダメージを与える場合、あるいは、相手の情報を搾取しようとする場合、サイバー攻撃で効率的に行えるようになったことがあげられる。社会活動がITに強く依存している今日では、昔のように実空間で物理的に攻撃を加えるよりも、サイバー空間を利用した方がより安価に攻撃できるようになったことの表れである。また、インターネットは監視機能が十分ではないため、スパイ活動が行われてもそれが発覚しにくい、たとえ発覚したとしても攻撃組織を特定しにくい、という実情がある。
サイバー攻撃のタイプ
サイバー攻撃のタイプは大きく二つに分類できる。その一つは攻撃対象システムを破壊し機能不全に陥れるものである。このタイプのサイバー攻撃はサービス不能攻撃または、DoS攻撃(Denial of Service Attack)と呼ばれる。DoS攻撃の対象はWebサイトのようにインターネットに直接接続されているITシステムが多いが、数年前から、電力システムや交通システムなどといった重要インフラが標的になる事例が増えている。
これらの重要インフラには通常、電力や交通などを制御するシステムが使用されている。この制御システムは、従来はインターネットなど、他のシステムとは切り離されて運用されていた。このため、外部から攻撃するのは困難であった。しかし、経済化や効率化のために制御システムのインタフェースとしてUSBメモリ等のIT機器を採用するようになってきており、インターネットに直に接続されていなくとも、USBメモリ等を介して間接的に制御システムを攻撃することが可能になった。昨今のサイバー攻撃の特徴の一つとして、このように重要インフラの制御システムがDoS攻撃を受けることがあげられる。
サイバー攻撃の二つ目のタイプは、諜報活動により秘密情報を搾取しようとするものである。以降、このタイプをスパイ攻撃と呼ぶことにする。標的となる情報は、個人的なもの(例えば、交際相手のメールアドレス)から、企業や国家レベルのもの(例えば、会社の取引先、政府の調達品リスト)と幅広い。一見、標的となった対象や搾取された情報間に脈絡はないように思われるが、攻撃データを突合すると、国家レベルの組織が特定の意図のもとに実施していることがわかるという。すなわち、スパイ攻撃はエネルギーや軍事といった国家レベルの課題に関連する機密情報を探るためのものとみなすことができる。その証拠として、クレジットカード番号やインターネットバンキングのパスワードといった金銭的情報が搾取されたとしても、金銭自体が搾取されることは少ない。個人や組織のつながりや金の流れを調べて、最終目的である機密情報のありかを特定し搾取しようとする。
サイバー攻撃の二つのタイプを比較すると攻撃時間に大きな差がある。DoS攻撃は比較的簡易に検知され攻撃時間もたかだか日単位であるのに対し、スパイ攻撃は検知しにくく、短くとも数か月、長いものでは5年以上続くという報告がある。また、実社会のスパイ活動と同様、スパイ攻撃は複数の高度な手段を用いて執拗に長時間繰り返されることからAPT(Advanced Persistent Threat)攻撃とも呼ばれる。
サイバー攻撃事例
【表1】と【表2】に海外および国内のサイバー攻撃事例を示す。先に定義したような狭義のサイバー攻撃は2000年代後半から本格化したといわれる。同表から、軍事問題で敵対する国家あるいは地域の政治機関を標的とするDoS攻撃、石油や原子力等のエネルギー関連問題が深刻化するにつれて鍵を握る大企業や先端研究機関へのスパイ攻撃が行われていることがわかる。これらの攻撃者として個人や単一の企業を想定することも可能であるが、攻撃の規模や高度な攻撃技術が駆使されていることを考慮すると、国家的組織が関与していることは間違いないとみられる。また、最近では、アノニマスに代表されるハクティビズム集団からサイバー攻撃を受けるケースも増えている。ハクティビズム集団とはハッキング技術を用いて政治・社会上の主張を通そうとする集団であり、ウィキリークスのような機密情報を暴露するWebサイトを運営するグループとも密接な関係があるといわれている。
最近の我が国がハクティビズム集団からサイバー攻撃を受けた事例として、2012年6月に政府機関他のWebサイトが改ざんされた攻撃(DoS攻撃の一種)があげられる。アノニマスは同月に成立した「違法ダウンロードの罰則化を盛り込んだ改正著作権法」に対する抗議として攻撃「オペレーションジャパン」を予告していた。
【表1】海外のサイバー攻撃事例
【表2】国内のサイバー攻撃事例
具体的な攻撃手法から見る技術的対策と人的対策
技術的対策
激化しつつあるサイバー攻撃にどのような対策をとればよいのであろうか。DoS攻撃のうち、ソフトウェアのバグを突いた攻撃であれば該当する修正プログラム(パッチ)をあてればよいが、大量のパケットを送りつけサーバーや通信回線のリソースを消費させるものは、パケットが正常なユーザーのものか攻撃者からのものかを区別できないために防止することが難しい。ただし、このタイプの攻撃は直に標的をねらい、また、攻撃手段もシンプルであるため、比較的容易に検出でき、あらかじめリソースを増やす、あるいはシステムを冗長化しておくことで被害を緩和できる。いずれにしてもDoS攻撃の対策は技術的な対策が中心となる。
一方、スパイ攻撃の場合、一般に機密情報に直接アクセスするのが難しいことから、なりすましメール等の手段を用いて間接的に機密情報を得ることが多い。このような、スパイ攻撃の代表的な攻撃パターンを【図1】に示す。以下同図でスパイ攻撃の過程を概説する。
【図1】で攻撃者は最初に、標的メールと呼ばれるなりすましメールを被害者(機密情報管理者)に送りつける。この機密情報管理者のメールアドレスは例えばネットワーク管理者情報の公開データベースWhois等から芋づる式に調べることができる。また、攻撃者はこの機密情報管理者の最近の業務内容を調査しておき、時宜に応じて件名や本文を模造するため、送信元が上司や顧客だったりすると、疑いもなくメールを開封し、添付ファイルを開けたり、指定されたURLをクリックしてしまう可能性が高い。添付ファイルやURLには侵入するためのマルウェアが仕掛けられている。さらに、機密情報管理者のPCに管理者に昇格できるような脆弱性があると、バックドアにより攻撃者との間に通信路を開設することが可能になる。そこで、攻撃者は同PCに侵入し機密情報を搾取することができる。
スパイ攻撃特有の対策技術として“出口対策”があげられる。これは機密情報が外部に送信されるのを監視・防止するものであり、パケットの宛先アドレスのホワイトリストを登録しておき、送信のたびにチェックすることで漏えいを防ぐことができる。
以上に示した、DoS攻撃対策および出口対策は、対象がパケットであるか機密情報であるかの違いはあるものの、いずれも着目する範囲が比較的限定されており、技術的に対策することが可能である。この技術的対策はいわゆるネットワーク管理者あるいはシステム管理者といった技術者の業務であり、セキュリティ意識の高い担当者であれば、自組織のネットワーク構成に適応して有効な対策をとることが期待できる。
人的対策
一方、情報管理責任者、機密情報管理者はネットワーク管理者あるいはシステム管理者といった技術者ではないことが多く、先に述べたような、攻撃者の悪意のある誘導に従いやすい傾向がある。標的メールを開封する前に、メールに潜む悪意を見抜く資質を身につけることが望ましい。
このような人的対策として、組織単位で標的メール対処訓練が推奨されている。すなわち、この訓練では、組織のなかで、偽の標的メールを送信し、標的メールの危険性や具体的な注意点を指導する。偽とはいえ、被訓練者は実際に標的メールを経験することから予防接種とも呼ばれる。内閣官房情報セキュリティセンターNISCが2011年秋に政府機関職員を対象に実験的に2回実施したところ、開封率は1回目が約10%、2回目が約3%だったという。比較的良好な結果が得られたが、この実験が行われた2011年秋は防衛品調達企業からの情報流出が疑われたり、衆参両議院の議員のIDとパスワードが流出したと疑われる事件が相次いだ時期でもある。防火訓練と同様、定期的に標的メール対処訓練を実施して、機密情報防衛意識を高く保つことが望ましいと考えられる。
【図1】において、機密情報管理者がうっかり標的メールを開封し、添付ファイルを開いたり、文中のURLをクリックしても、使用しているPCに侵入できるような脆弱性がなければ事態はそれ以上深刻化しない。PCの脆弱性に関する情報は広く公開されているが、一般の人が詳細を理解できるようなものではない。機密情報漏えいにつながる脆弱性がある場合、攻撃者がPCにどのように侵入し、その場合に現れる兆候はどんなものか、機密情報管理者は認識しておく必要がある。
【図2】は、広く知られているPC脆弱性評価ツールを用いて、著者が自ら所有するPCの脆弱性を突き、同PCを乗っ取り遠隔操作している様子である。同図の左半分が乗っ取られたPCの画面で右半分が攻撃しているPCの画面である。この図のように、ネットワーク経由で侵入して管理者権限を奪い、画面上でWebブラウザとメーラーを遠隔操作できることがわかる。
当然、PC内部に機密情報が存在すればわけなく探し出して外部へ送信もできる。しかも、この場合、送信者は機密情報管理者自身としてログに記憶される。さらに、攻撃者は侵入したログの消去が可能である。機密情報管理者自身が機密情報を不正に漏えいさせたという冤罪にも発展しかねない。不正侵入の仕組みを詳しく理解するのは困難であっても、脆弱性のあるPCを使用し続けたり、セキュリティ対策ソフトウェアの更新を怠ることが重大な事態につながることが十分認識していただけるであろう。
このようなPC脆弱性評価ツールが一般化する以前は、脆弱性評価を行うのには高いスキルが必要で、専門機関にすべて依存せざるを得なかった。“ゼロディ”と呼ばれる発見されて間がない攻撃など、あらゆる脆弱性に対処するのは不可能であるが、ネットワーク管理者あるいはシステム管理者であれば適切な訓練を受けることで比較的短い日数でこのようなツールを使いこなせるようになるのでお勧めしたい。
事業規模に見合ったサイバー攻撃対策コスト
サイバー攻撃対策の経済性
サイバー攻撃は何らかのメリットがあるために実施するのであるから、攻撃が成功した際に期待できるメリットを収入として換算し、サイバー攻撃の実施に伴う経費やリスクを損失として見積もることによって、サイバー攻撃の是非を判断することができる。すなわち、サイバー攻撃に投じた損益判断が可能である。
一方、サイバー攻撃を受けることによってメリットが生じることは一般にはないので、企業等の組織が実施するサイバー攻撃対策経費は企業等の事業規模に見合ったものに抑えざるを得ないであろう。事業規模に見合ったサイバー対策経費とはどのくらいなのであろうか。この問いに対する直接的な回答を示すことは難しいが、最近、某国際的保険会社から、サイバー攻撃リスクに対する保険商品なるものが発売され、上記問いの回答に該当するようなコメントが示されているのでそのまま紹介したい。それによると、「保険料の目安は、売上高100億円レベルのIT企業で補償限度額を5億円に設定した場合に年間400万円前後になる※」ということである。これは想定される被害額と年間対策コストの大雑把な関係としてとらえることができる。
おわりに
本記事では、最初に、サイバー攻撃の動向と背景を示し、代表的な攻撃パターンを紹介した。次に、サイバー攻撃に対して、企業等の組織で早急に取り組むべき技術的対策と人的対策を概説し、対策コストに関する考え方を示した。政治・経済問題のグローバル化に合わせて、サイバー攻撃もさらに激化すると思われるが、備えあれば憂いなしである。サイバー攻撃を受けるのは必至と考えて、各組織の対策を講じていただきたいものである。
本記事が多少なりともその参考になれば幸いである。
※引用元:http://toyokeizai.net/articles/-/12642
(「SKYSEA Client View NEWS vol.31」 2013年7月掲載)
