セキュリティ対策のやり方を変えてみるために役立つ視点とは？：Hackademy・実践的サイバーセキュリティの学び方（1/2 ページ）

現在のセキュリティ対策は、攻撃者の特徴を知らなければできません。昔と今では攻撃が変わってきており、対策方法も変えなければならないわけですが、どうすれば良いのでしょうか。サイバー空間の動向の変化から解説します。

[岡田良太郎, 蔵本雄一，ITmedia]

　サイバーセキュリティ対策を考える上で、現状を把握しておくことは非常に重要です。攻撃者がどのような目的で、また、どのような手法を使ってくるのか――相手を知らない状態で、効果的なセキュリティ対策を導入することは大変困難です。攻撃者の意図やモチベーションには変化があります。これに関して、知っているかどうかだけでも、サイバーセキュリティ対策のコンセプトは変わってきます。そこで今回は、サイバースペースの現状と過去からの動向について触れたいと思います。

攻撃者のモチベーション

　少し前のことになりますが、2000年頃の攻撃者のモチベーションは、「技術力の誇示や自己顕示」でした。昨今は、ストレートに「金銭」であると言われています。PCのファイルなどを勝手に暗号化してしまい、復号する際に金銭を要求する「ランサムウェア」と呼ばれるマルウェアは、まさにその代表です。ランサムウェアのビジネスモデルは、露骨に金銭を個人や企業といったデータの所有者から金銭を巻き上げることを意図した攻撃です。

　攻撃者のモチベーションが金銭であることを考えると、これまでのように「とにかくサイバー攻撃を防ぐにはどうすれば良いのか？」を考える対策にとどまらず、「攻撃者に金銭を回収させないための対策」や「攻撃者の費用対効果を低下させるための対策」という視点が重要になります。

絨毯（じゅうたん）爆撃とスナイパー攻撃

　「ウチ（自社）には機密情報がないから、狙われる対象にはなり得ない」。これは、非常によく聞く言葉です。しかし、そもそも攻撃者が会社を意識的に狙っているわけではない場合について、読者の皆さんは考えたことがありますか。特定の企業を狙った標的型攻撃を、例えば、ゴルゴ13のような「スナイパーによる狙撃」としましょう。もう一種類、ある地域の周辺を狙う空爆のような「絨毯（じゅうたん）爆撃」というスタイルがあります。

　この場合、攻撃を受けたとはいえ、後者のような「絨毯攻撃」のケースでは、攻撃者は特別な目的で攻撃しているわけではありません。攻撃により、その会社にお金になるような情報資産がないことが分かった場合でも、別の「本命」を狙う際の踏み台として利用することも可能であり、利用価値があると言えます。

　また、攻撃自体がサプライチェーン化（分業化）しているケースも多くみられます。このケースでは、標的自身が被害者となるだけでなく、加害者にもなってしまうことがあります。漁業に例えれば、「うちはカツオではないので、一本釣りはされない」と考えていても、結局は地引網にかかった大勢の獲物の１匹として確保され、その獲物をより大きな魚を釣るためのエサとして使うようなものです。

　攻撃対象の本命となる企業のセキュリティ対策レベルが高いケースでは、攻撃者が直接攻撃して情報を窃取することは難しいかもしれません。そこで、取引のある他の企業やグループ子会社など、サプライチェーンの中からセキュリティ対策レベルが低い企業をまず攻撃し、そこからいわば遡ってくるという手段がとられることがあります。自社が踏み台として使われてしまい、取引先やグループ会社など別の会社への攻撃手段として利用されてしまうということは、ビジネス関係にとって大きな打撃となるはずです。このようにサイバーセキュリティ対策は、企業のCSR(企業の社会的責任)的な観点から考える必要があるわけです。

　もはや「ウチは標的になりえるかどうか」と考えるのではなく、ITインフラで顧客企業やパートナとつながっているのであれば、例外なくしっかりと対策を実施しておきたいところです。