ラッコの眼 ~サイバーセキュリティ最前線~

「標的型攻撃 対策指南書」を読み解く[1]
対策強化は日本を弱くする?
2015/08/26
西本逸郎=ラック

ラックは7月下旬、標的型攻撃への対処法を網羅した「標的型攻撃 対策指南書(第1版)」を無料公開した(写真1)。
対象としたのは、高度なセキュリティが求められる政府機関や大企業ではなく、セキュリティの必要性があまり理解されていない、また、理解はしていても人的・予算的な問題から対策が進んでいない 一般企業や地方自治体だ。
そのため、絵に描いた餅となりがちな理想論は盛り込まず、こうした組織でも実行できる施策を最低ラインとして示している。

写真1 ●ラックが無償公開した「標的型攻撃 対策指南書」


標的型攻撃に関して私を含め多くの専門家が「事故前提の対策が必須である」と口を酸っぱくして言っている。
だが、いまだに多くの人々の理解は「事故を起こすのは管理がずさんだからである」との考えが蔓延している。
テレビの有名なニュース番組でも、事故を起こした組織を揶揄するようにたたくことで終わりにしていることをよく見かける。 政権や組織をたたくことと、攻撃に対抗することは分けて考えなければならない。

このまま放置すると、強靭な国づくりとは程遠い、現実を無視して“お花畑”を追求することでかえって大きな危機を招きかねないという、実に皮肉な結果が待ち受けているのは明白である。
なぜなら「事故を起こすのは管理が杜撰なのでセキュリティ対策を強化せよ」という“正論”に素直に従えば従うほど、ピント外れな対策ばかりになり被害は減らないからである。

外部からの指摘でしか気が付けていない

指南書を作成したきっかけは、言うまでもなく日本年金機構の個人情報流出事件だ。
事件以降、ラックにも相当な数の問い合わせが寄せられているが、実際に「標的型メール訓練をしたい」といった個別サービスの相談や依頼が大半だ。 「予防策をやっておけば標的型攻撃は防げる」との意識がまだ払拭されていないせいもあるのだろうが、それでは対処療法的でしかない。
メール訓練ももちろん大事だが、それ以上に優先順位が高く、すぐにでも取り掛かってほしい対策がある。 指南書は、そのことをより多くの組織の方に知ってもらうことを狙いとしている。

40ページ以上に及ぶ指南書の内容は、セキュリティに関連した事件や事故に日常的に対応しているラックの「サイバー救急センター」やコンサルタントなどが現場で実践してきたことをベースにしている。
最大の特徴は、「事故発生を前提としている」点だ。 日本年金機構の事件でも、その後に明らかになった類似事例でも、JPCERTコーディネーションセンターといったセキュリティ関係機関や捜査機関などからの連絡が 感染判明の端緒となったように、標的型攻撃には自ら気付くことすら現実的には難しいのである。

まずは「外部通報の受付窓口」の設置を

当然のことながら、ウイルスの侵入を完全に防げないことは、自明の理である。
「気付けない」「防げない」のなら、「外部から何らかの異常を知らされたときにいかに的確に対応できるか」が 組織として標的型対策を全うしているかどうかを判断する 基準となるのは当たり前である。 攻撃への「防御」を指南書の主軸としていないのはそのためだ。

ただ、「気付けない」「防げない」という標的型攻撃の特性について、セキュリティにかかわる人間にとっては当たり前でも、それ以外の役職の人や指南書が対象とする組織では ほとんど理解されていない。
まずはこのギャップを解消することが対策の第一歩となる。 指南書でも繰り返しこの点を強調し、「外部からの連絡を的確に受けるための窓口の整備」を取り組むべき事柄の筆頭に挙げ、以降、優先順位の高い順に紹介している。 ぜひ指南書の順に読み進み、対策を検討してほしい。

ビッグデータ分析の発展で個人情報が新たなターゲットに

標的型攻撃に関しては、国内では2011年に大手企業に対する攻撃が報じられて以来、国やインフラの 重要情報を持っていたり 多くの金融資産を抱えていたりするような “真っ先に標的になるような組織”については、かなり 対応が進んだとみている。
そのため攻撃者は、こうした手ごわい組織を直接狙うことはせず、その周辺の組織を攻撃の踏み台にするように 変わってきていると推測している。
いいかえれば、攻撃者の狙いは外交や防衛といった国家機密や高度な技術情報などがもっぱらだったものの、最近になって 様相が変わってきたようだ。 年金機構事件に端を発する一連の事件や世界で起きている同様な事件でも、個人情報に手を出していることが 明白になったのだ。

背景には、デジタル化の一層の進展や攻撃手法の高度化により、膨大なデータが いともたやすく盗み出せるようになったこともあるだろう。 複数のデータを関連付けしてビッグデータとして分析すれば、人間関係や組織内の不満分子などを把握でき、諜報活動には 格好の材料となる。
年金機構の事件が騒がれていたころ、米国でも2210万人に上る政府職員の個人情報流出が明らかになった。 日米両国で起きたこの出来事は、世界規模で 個人情報が狙われていることの証と 考えられるのではないだろうか。

対策をあきらめない

年金機構への攻撃で使われたと言われる遠隔操作ウイルスEmdivi(エムディヴィ)、その作成者の背後には、国や国家レベルの組織が控えているとされている。
ある意図のもとに攻撃活動は今なお続いているとみられ、日本はいまや、個人情報を巡って一種の戦争状態にあるといっても過言ではない。

そうした環境の変化にもかかわらず、多くの経営者や首長は「わが組織に機密情報はなく、標的型攻撃など関係ない」と考えている。 しかし、そう言い切る組織であっても、個人情報を保有する以上は事故が発生して実害が出た場合、管理責任を厳しく問われる恐れがあることを認識してほしい。

国や国家レベルの組織が仕掛ける標的型攻撃に一組織が対峙したところで、完全に防ぎ切ることはできないのは自明ではあるものの、だからと言って対策を怠れば攻撃者の思う壺だ。 最低限の対策は欠かせない。
そして、セキュリティに関する理解が不十分な組織では、攻撃を受けていることを外部から知らされても適切に対応できず、実被害を発生させてしまう。 このことをまずは年金機構の事件から教訓として学ぶ必要がある。

指南書については、短期間での作成を最優先したため、内容は現時点での必要最低限にとどめてある。
今後も改訂を重ねて具体策などを充実させていく予定だ。 併せて、外部機関から連絡を受けた際の対応マニュアルも2015年9月中に公開する予定であり、指南書と共に役立てていただけると思っている。
2回目と3回目では、指南書の内容についてより深く理解していただくため、順を追ってポイントや考え方を説明していく。