日本の防犯・防災

安心な暮らしづくりを応援します 日本の防犯・防災 ONLINE

記事詳細

サイバー攻撃による情報流出の脅威

2014_05_bouhan_eye.jpg

攻撃者の種類や個性、対策について考える

3月7日、セキュリティーショー2014セミナーとして、弊誌『日本の防犯・防災』企画による『安全・安心なネット社会の実現に向けて~サイバー攻撃の現状と対策~』が開催された。企業や官公庁、市民生活において、あらゆる場面でITSの利用が進む中、サイバー攻撃による情報流出などのリスクが高まっている昨今。リスク回避、インターネットの安全な活用方策などについてディスカッションが行われた。その概要をリポートする。

サイバー攻撃の種類と警察としての対策

客野嘉宏氏は、サイバー攻撃に関する最近の情勢と、それに対する警視庁の取り組みを中心に語った。

サイバー攻撃は、オンラインバンキングへの不正アクセスにより、不正送金などを行う「サイバー犯罪」、政府機関を含めた企業インフラなどのシステムをマヒさせる「サイバーテロ」、政府機関などから機密情報を盗み出す「サイバーインテリジェンス」に大きく分けられる。

なお、昨年は、オンラインバンキングの被害が、過去最高額になったことも報告された。

客野氏は「サイバーテロは、重要インフラへ不正アクセスし、機能をマヒさせることで、国民が生活するために必要なシステムに障害を起こすことが目的」「サイバーインテリジェンスは、スパイ活動。目的は、最新技術を盗み出し、経済的利益を得ようとするものと、政府機関などから機密情報を盗み出し、交渉を有利に進めようとするものがある」と分類。

サイバーインテリジェンスは、標的型メールを送りつけることで行われることが多い。

その手法は、各種情勢に乗じて不正プログラムを相手に送りつけるものがひとつ。例えば、大震災発生直後に省庁担当者に地震や津波情報を偽って不正プログラムを送り、開かせてPCをウィルス感染させる手法だ。「複数の担当者に送りつける形も多いので、こちらを“ばらまき型”と呼んでいます」

次に、「やりとり型」も急増しているという。

いきなり不正プログラムを送りつけるのではなく、自然な形でメールをやり取りする関係を築いてから、犯行におよぶもの。例えば、企業の採用担当者に求職者として応募し、やり取りする内に履歴書や職務経歴書などを送付、そこに不正プログラムをしのばせるというものだ。

(中略)

サイバー攻撃者の手法・事情を把握する

政本憲蔵氏は「アンチウィルス、URLフィルター、IPSなど、組織内LANには様々なセキュリティ対策が導入されているが、攻撃者にとって、そのようなセキュリティ対策がなされていることは百も承知。攻撃者は、セキュリティ製品による検地を回避するために様々な技術や手法を使う。よって、我々は、攻撃者の手法を具体的に知り、戦略的に予防的かつ発見的対策を講じる必要があります」とする。

昨年より、同社に新設されたセキュリティ研究センターにて、海外におけるセキュリティ技術のトレンドやサイバー攻撃の最新情報などを追っている政本氏は、攻撃側の手法、事情を把握するため、一定期間にわたり主だった攻撃者の監視を行った。

そして「オーロラ・パンダ」などに代表される、サイバー攻撃のグループが存在することを紹介。また、日本や韓国を中心に攻撃を仕掛けるグループがいることなども含めて、ターゲット別、手法別の個性を一部開設した。

こっそりと情報が盗まれる時代。セキュリティをどこまで、誰がやるのか?

斉藤宗一郎氏は「以前のサイバー攻撃は、ドクロマークが使用されるなどわかりやすかった。しかし、今はこっそりと盗まれることが主流で、被害に遭ったことさえわかりにくい」ことを前提として、セキュリティには入口対策、内部対策、出口対策が不可欠であると強調。

顧客から聞こえてくる声として「どこまでやらなければならないのか?」「なぜやらなければならないのか?」「誰がやるのか?」「事故が起きた後にどうするのか?」を挙げた。

その上で、リスク評価としては「全部の壁を高くするのではなく、より重要な部分のセキュリティに投資をし、それ以外の部分はコストを下げる対策が考えられるが、費用対効果の算出と同様に“労多くして…”の印象が強い。あくまでも説明のための“考え方”として捉えるべき」とし、「APM (Application Portfolio Management)の活用」を紹介した。

(後略)

定期読FAX申込用紙は、こちらからダウンロードできます。