情報セキュリティ大学院大学
情報セキュリティ研究科 教授 工学博士 佐藤 直 氏
技術的対策
激化しつつあるサイバー攻撃にどのような対策をとればよいのであろうか。DoS攻撃のうち、ソフトウェアのバグを突いた攻撃であれば該当する修正プログラム(パッチ)をあてればよいが、大量のパケットを送りつけサーバーや通信回線のリソースを消費させるものは、パケットが正常なユーザーのものか攻撃者からのものかを区別できないために防止することが難しい。ただし、このタイプの攻撃は直に標的をねらい、また、攻撃手段もシンプルであるため、比較的容易に検出でき、あらかじめリソースを増やす、あるいはシステムを冗長化しておくことで被害を緩和できる。いずれにしてもDoS攻撃の対策は技術的な対策が中心となる。
一方、スパイ攻撃の場合、一般に機密情報に直接アクセスするのが難しいことから、なりすましメール等の手段を用いて間接的に機密情報を得ることが多い。このような、スパイ攻撃の代表的な攻撃パターンを
に示す。以下同図でスパイ攻撃の過程を概説する。
で攻撃者は最初に、標的メールと呼ばれるなりすましメールを被害者(機密情報管理者)に送りつける。この機密情報管理者のメールアドレスは例えばネットワーク管理者情報の公開データベースWhois等から芋づる式に調べることができる。また、攻撃者はこの機密情報管理者の最近の業務内容を調査しておき、時宜に応じて件名や本文を模造するため、送信元が上司や顧客だったりすると、疑いもなくメールを開封し、添付ファイルを開けたり、指定されたURLをクリックしてしまう可能性が高い。添付ファイルやURLには侵入するためのマルウェアが仕掛けられている。さらに、機密情報管理者のPCに管理者に昇格できるような脆弱性があると、バックドアにより攻撃者との間に通信路を開設することが可能になる。そこで、攻撃者は同PCに侵入し機密情報を搾取することができる。
スパイ攻撃特有の対策技術として“出口対策”があげられる。これは機密情報が外部に送信されるのを監視・防止するものであり、パケットの宛先アドレスのホワイトリストを登録しておき、送信のたびにチェックすることで漏えいを防ぐことができる。
以上に示した、DoS攻撃対策および出口対策は、対象がパケットであるか機密情報であるかの違いはあるものの、いずれも着目する範囲が比較的限定されており、技術的に対策することが可能である。この技術的対策はいわゆるネットワーク管理者あるいはシステム管理者といった技術者の業務であり、セキュリティ意識の高い担当者であれば、自組織のネットワーク構成に適応して有効な対策をとることが期待できる。
人的対策
一方、情報管理責任者、機密情報管理者はネットワーク管理者あるいはシステム管理者といった技術者ではないことが多く、先に述べたような、攻撃者の悪意のある誘導に従いやすい傾向がある。標的メールを開封する前に、メールに潜む悪意を見抜く資質を身につけることが望ましい。
このような人的対策として、組織単位で標的メール対処訓練が推奨されている。すなわち、この訓練では、組織のなかで、偽の標的メールを送信し、標的メールの危険性や具体的な注意点を指導する。偽とはいえ、被訓練者は実際に標的メールを経験することから予防接種とも呼ばれる。内閣官房情報セキュリティセンターNISCが2011年秋に政府機関職員を対象に実験的に2回実施したところ、開封率は1回目が約10%、2回目が約3%だったという。比較的良好な結果が得られたが、この実験が行われた2011年秋は防衛品調達企業からの情報流出が疑われたり、衆参両議院の議員のIDとパスワードが流出したと疑われる事件が相次いだ時期でもある。防火訓練と同様、定期的に標的メール対処訓練を実施して、機密情報防衛意識を高く保つことが望ましいと考えられる。
において、機密情報管理者がうっかり標的メールを開封し、添付ファイルを開いたり、文中のURLをクリックしても、使用しているPCに侵入できるような脆弱性がなければ事態はそれ以上深刻化しない。PCの脆弱性に関する情報は広く公開されているが、一般の人が詳細を理解できるようなものではない。機密情報漏えいにつながる脆弱性がある場合、攻撃者がPCにどのように侵入し、その場合に現れる兆候はどんなものか、機密情報管理者は認識しておく必要がある。
は、広く知られているPC脆弱性評価ツールを用いて、著者が自ら所有するPCの脆弱性を突き、同PCを乗っ取り遠隔操作している様子である。同図の左半分が乗っ取られたPCの画面で右半分が攻撃しているPCの画面である。この図のように、ネットワーク経由で侵入して管理者権限を奪い、画面上でWebブラウザとメーラーを遠隔操作できることがわかる。
当然、PC内部に機密情報が存在すればわけなく探し出して外部へ送信もできる。しかも、この場合、送信者は機密情報管理者自身としてログに記憶される。さらに、攻撃者は侵入したログの消去が可能である。機密情報管理者自身が機密情報を不正に漏えいさせたという冤罪にも発展しかねない。不正侵入の仕組みを詳しく理解するのは困難であっても、脆弱性のあるPCを使用し続けたり、セキュリティ対策ソフトウェアの更新を怠ることが重大な事態につながることが十分認識していただけるであろう。
このようなPC脆弱性評価ツールが一般化する以前は、脆弱性評価を行うのには高いスキルが必要で、専門機関にすべて依存せざるを得なかった。“ゼロディ”と呼ばれる発見されて間がない攻撃など、あらゆる脆弱性に対処するのは不可能であるが、ネットワーク管理者あるいはシステム管理者であれば適切な訓練を受けることで比較的短い日数でこのようなツールを使いこなせるようになるのでお勧めしたい。
サイバー攻撃対策の経済性
サイバー攻撃は何らかのメリットがあるために実施するのであるから、攻撃が成功した際に期待できるメリットを収入として換算し、サイバー攻撃の実施に伴う経費やリスクを損失として見積もることによって、サイバー攻撃の是非を判断することができる。すなわち、サイバー攻撃に投じた損益判断が可能である。
一方、サイバー攻撃を受けることによってメリットが生じることは一般にはないので、企業等の組織が実施するサイバー攻撃対策経費は企業等の事業規模に見合ったものに抑えざるを得ないであろう。事業規模に見合ったサイバー対策経費とはどのくらいなのであろうか。この問いに対する直接的な回答を示すことは難しいが、最近、某国際的保険会社から、サイバー攻撃リスクに対する保険商品なるものが発売され、上記問いの回答に該当するようなコメントが示されているのでそのまま紹介したい。それによると、「保険料の目安は、売上高100億円レベルのIT企業で補償限度額を5億円に設定した場合に年間400万円前後になる※」ということである。これは想定される被害額と年間対策コストの大雑把な関係としてとらえることができる。
本記事では、最初に、サイバー攻撃の動向と背景を示し、代表的な攻撃パターンを紹介した。次に、サイバー攻撃に対して、企業等の組織で早急に取り組むべき技術的対策と人的対策を概説し、対策コストに関する考え方を示した。政治・経済問題のグローバル化に合わせて、サイバー攻撃もさらに激化すると思われるが、備えあれば憂いなしである。サイバー攻撃を受けるのは必至と考えて、各組織の対策を講じていただきたいものである。
本記事が多少なりともその参考になれば幸いである。
