第7回 セキュリティ対策する前に知っておきたい、攻撃者の3つのタイプ
公開:2019年4月15日
前回は「スペシャリストが警告、サイバー攻撃は「1日に数十億件」発生の事実」についてお送りしました。スマートフォンの普及により一般市民のセキュリティへの関心が高まることと比例して、情報漏えいやコンピューターウイルスに関するニュースが増加しているそうです。ログを監視しているセキュリティアナリストの分析によると、顧客が受けている攻撃は1日に数十億件と驚愕の事実が分かりました。セキュリティ監査やコンサルティングに長年従事する伊藤忠テクノソリューションズ株式会社の瀧本さんに詳しくお話を伺っています。
7回目はセキュリティ対策する前に知っておきたい、攻撃者の3つのタイプについてお送りします。
セキュリティインシデントに対応するJPCERTで分析業務に従事する東京大学の満永准教授(現:東洋大学
准教授)が登壇するセミナーでは、サイバー攻撃の現状と攻撃者のタイプ、攻撃を受けた場合の備えについてお話されていました。攻撃者のタイプには2017年に話題となった金銭要求が目的の攻撃のほかに、あと2つあるそうです。それでは、
お付き合いください。
1. 高度化&多様化するサイバー攻撃
2018年12月、環境省が運営するWebサイトの一部が改ざんされ、サイト内で検索すると偽装された通販サイトが上位に表示されるといったインシデントがニュースで取り上げられたことは記憶に新しい。
年々増加するサイバー攻撃は高度化かつ多様化しており、2019年は翌年に東京オリンピックが控えていることから、生活を脅かすような社会的影響の大きい攻撃が増えることも予想されている。
こういった状況に企業はどのような対策を講じていくべきだろうか。QTnet社内向けセミナー「サイバーセキュリティ情勢と企業の対応体制について」に登壇した東京大学情報学環特任准教授の満永拓邦氏(現:東洋大学 准教授)は「セキュリティと聞くと難しそうと敬遠されがちですが、どんな企業でもサイバー攻撃を受ける可能性はあるので、対策に力をいれることは非常に重要です」と語る。
満永氏はセキュリティに関する情報の収集・分析・発信を行うほか、セキュリティ人材の育成セミナーや講演活動を行っている。サイバー攻撃の現状とその対策について次のように語った。
2. サイバー攻撃は増加の一途、その背景とは
国内外のセキュリティインシデントに対応するJPCERTのデータによると、2017年の年間被害件数は約2万件にのぼる。ただ攻撃を受けたことを公表する企業は少ないため、実際はこの数倍、数十倍は発生していると見られる。
今後もサイバー攻撃は増加の一途をたどると予想されるが、その背景にはITの社会インフラ化があると満永氏は言及する。生活がITに依存しているため、攻撃者にとって好ましい状況なのだ。
またサイバー攻撃は捕まりにくいことも一因である。海外からのサイバー攻撃は日本の警察権が及ばないため、逮捕できない。「現実社会であれば銀行強盗を実行するのは難しいですが、インターネット上でオンラインバンキングを乗っ取るのであれば簡単にできてしまいます」と満永氏。ダークウェブというサイバー攻撃の巨大なブラックマーケットで攻撃ツールが販売されており、特殊な技能を持たずとも誰でもサイバー攻撃ができるようになっているという。
3. セキュリティ対策にはまず敵を知るべし、攻撃者は3タイプに分かれる
満永氏は「攻撃を受けた際に適切な対応をするためには、まず攻撃者がどのような人間なのかを正しく理解しておく必要があります」と話す。
攻撃者は以下の3つのタイプに分類される。
- ハクティビストや愉快犯
- 金銭目的の攻撃者
- 標的型攻撃の実行者
①のハクティビストとは、社会的・政治的な主張を目的にハッキングを行う者のこと。自分たちの主張を普通に抗議しても目立たないので、メディアに取り上げられるためにサイバー攻撃を行っている。
②の金銭目的の攻撃者は、3タイプのなかで最も数が多い。金銭目的の攻撃者はデータを盗むのではなく、金銭を要求する。代表的な例が2017年に世界各国を騒がせたランサムウェア「WannaCry」である。
ランサム=身の代金を要求するウイルスが世界中にばらまかれ被害が広がった。このウイルスに感染したアメリカの病院はCTスキャンや電子カルテが使用不可となり、病院を閉鎖する事態に陥った。
最後に③の標的型攻撃の実行者。国家などに雇われて、標的とする組織内の重要な情報を盗み、システムを破壊する。非常に高い技術力を持ち、その被害は深刻化しているという。2016年に起こった日本年金機構が約125万件の年金情報を情報漏えいした事件も標的型攻撃の被害とされている。
4. サイバーセキュリティ対策は経営課題、専門業者に依頼を
2015年に経産省とIPAが定めたセキュリティのガイドラインには「サイバーセキュリティは経営問題」と明記されている。
ひとたびセキュリティインシデントが発生すれば、企業の信頼低下による顧客離れ、業務提供先への影響、株価へのネガティブな影響など被害は大きい。重大インシデントの場合には膨大な対応費用も発生し、企業が数千万の損害賠償金を支払った事例もあった。
セキュリティ対策にとって重要なものは何か。満永氏は「まず、インシデントが発生することを前提に対策を講じておくことが大切です」と話す。持っているデータや情報資産を把握し、会社全体のリスクを洗い出しておく。関係者が顔を合わせ、被害が起きたときにどう対応するかを想定する「セキュリティの避難訓練」をすることも効果的であるという。
また外部の専門業者を活用することも重要だと満永氏。「社内でホワイトハッカーを養成しようとするよりも、技術的なことは専門業者に任せるべきです」。ただし専門業者に丸投げはNG。どのデータが大切か、どのビジネスを守るかなどのリスクマネジメントとアセスメントをきちんとした上で、専門業者に依頼すべきであると語った。
満永氏はセミナーの最後に「サイバー攻撃はなくならないし、100%防ぐことは不可能です」と強調し、「セキュリティ対策には何より”人”が重要です。何かあったときに連携できるよう、日頃からコミュニケーションをとって信頼関係を築いておきましょう」と締めくくった。
あとがき
サイバー攻撃者には2017年に被害が大きかったランサムウェアの「Wannacry」の金銭要求型のイメージがありましたが、社会的・政治的主張を目的としたハクティビストや愉快犯もいるんですね。 ひとたび攻撃の餌食になってしまうと、企業は膨大な賠償金だけでなく、業務提携している企業との取り引き停止、信頼の失墜、社会的なイメージの低下とそのダメージは計り知れません。満永教授が指摘されていたように「インシデントが発生することを前提に対策を講じること」が重要なんですね。
お読みいただきありがとうございました。