最近うわさのサイバー攻撃を斬る！：萩原栄幸が斬る！ IT時事刻々（1/3 ページ）

今年になって日本でサイバー攻撃事件が次々と明るみになっているのは、いったいなぜだろうか。筆者なりの視点で情報セキュリティの実態を分析してみたい。

[萩原栄幸，ITmedia]

　今回は筆者が専門としている情報セキュリティや、ネット犯罪に直接つながる三菱重工事件、国会議員のメールサーバ事件について、ユニークな切り口で分析した結果をお伝えする。多少長めになるが、最後までお付き合いをいただきたい。

最近急に発覚した事件、分析なら多数の専門家が解説しています

　最近発覚したサイバー攻撃事件は、有名なものだけでも三菱重工、三菱東京UFJ銀行、国会議員のメールサーバ……ときりがない。そこで、今までの事件の内容を時系列にまとめ、あまり表に流されていない情報や数年前の過去の情報、そして筆者の周囲で実際にこれらの事件を担当した人間から機密に当たらない範囲で情報を入手し、これらを基に解説を試みた。

　しかし、他の専門家の方々がこれらの事件について、多数の解説を既にしている。事件解説なので、どうしても彼らと似た見解になってしまうのはいたしかたない。ここではよくみられる解説ではなく、ちょっとだけ筆者の“本音”を紹介してみたい。

一連の事件でまず考えるべきこと

　これらの事件の内容を一部の専門家が大騒ぎをしているが、筆者は「たいしたことはない」と感じている。ただし、 “技術的に”という接頭語を付けた上でのことなのだが。

　初めて「ルートキット」が世間を騒がせた2005年（学会の論文ではその存在が数年前から指摘されていた）当時、日本では日本セキュリティ・マネジメント学会（JSSM）の月例研究会において、筆者がその挙動を事件の詳細とともに報告した。世界がその存在を初めて認知してから3週間後であった。世界中に幾つもあるウイルス対策ソフトで、ルートキットのその透明人間的な振る舞いを察知できたものは1つもなかったのだ。しかし、今回の事件については、ルートキットが発見されたときのような衝撃を感じない。

　ルートキットが見つかった当時は、まさかOSのAPIレベルで中間者攻撃に似た「まやかし」が行われるとは思ってもみなかったのだ。今回の一連の事件では技術的には、見るべきものがほとんどない。少なくとも、「えっ！　そんな！」と思う手法はなかったのである。それではこれらの事件を軽視してもいいのか。それは大きな誤りである。それどころか、これらの事件が表面化したことで、歴史的にみれば大きな転換期を迎えることになるかもしれないと思える。

“ショッカー”は戦略を知らなかったので世界平和が守られた

　仮面ライダー vs ショッカー、ウルトラマン vs 怪獣、タイムボカン vs マージョ率いる悪玉トリオ、ガッチャマン vs ベルク・カッツェ率いるギャラクター（総裁Xでは？という突っ込みはなし！）――筆者の年代は、全てリアルにテレビ放映を見ていた。しかし小学生の高学年以降になってみると、例えばショッカーの総攻撃力はどうみても仮面ライダー1人を上回ると思うようになった。だから毎週、仮面ライダーを個別に攻撃するのでなく、全体で戦略を考え、仮面ライダーを攻撃すればたぶん簡単に勝てるはずだ。子供らしくない考えだが、そう考えるようになったのである。

　中学生にもなると半ば惰性でみてはいたが、「なぜ世界征服を狙う集団が川口グリーンセンターの中で格闘しているのか？」「なぜ幼稚園や登校バスを狙うのか？」とも思うようになった。そして高校生になると、そういう疑問を持ってこうした番組を見てはいけないと、大人の考えを持つようになった。

　脈絡のないような話をしたが、実はこの見方は一連のサイバー攻撃について考える上でとても重要であることをご理解いただきたい。今までの攻撃、例えば、それがガンブラー攻撃でも、キーロガーでも、スパイウェアでも、ショルダーハッキング（盗み見行為）でも、押し並べて「そこに戦術はあっても戦略がなかった」という一言に尽きる。

　以前に金融機関向けのハッキング・クラッキングセミナーにおいて、「これらは今、単独で犯罪が行われている。逆にだからこそ世間はあまり騒がれていない。技術的に“すごい”と思われるようなルートキットや中間者攻撃も、単体ではその効果は薄い。わたしが専門家として恐れるのは、これらが有機的に結合し、戦略を持った攻撃に変化するときだ。こうなると、まず防御は無理だ。正確には99％の防御は可能だが、1％のすき間を狙われてしまえば、どんな高価な防御システムも効果はなくなる」と述べたことがあった。

　ついに、この時期を迎えてしまったのである。“イブがリンゴを食べた”正確な時期は、恐らく発覚するよりも2、3年前だと思って差し支えないだろう。

　私たち専門家の勘違いの一つに、「視点が違う」ということがある。サイバー犯罪もそうだ。視点を犯罪者に置くと、彼らは攻撃を成功するにはどうすべきか、この学習を論理的に行い、そして、緻密な戦略を構築し、冷静に行動したにすぎないと、筆者は分析している。

　だから本来は、筆者が常々提起している、「あなたが犯罪者になり、自分の会社の機密情報をこっそり盗むにはどうすべきか。そう考えて防御を幾重にもしなければいけない。1つの防御で100％の防御はあり得ない。70％の防御を幾重にも、費用対効果の視点で設置し、99.9％の防御に高めればいい。そして、絶対的な機密情報が存在するなら、その情報は絶対にインターネットや社内LANにつないではいけない」ということに尽きる。