今、エバンジェリストが振り返る 「WannaCryは、そこまで騒ぐべき事件ではなかった」セキュリティリサーチャーからの提案(前編)(4/4 ページ)

» 2017年12月14日 08時00分 公開
[宮田健ITmedia]
前のページへ 1|2|3|4       

証言2:攻撃者の狙いは「個人情報」だけではない

 続いて辻氏は、2017年1月に発生した、とある「標的型攻撃」を紹介した。その内容は「日本学術振興会」をかたり、パスワード付きzipで圧縮された添付ファイルを持つメールが送信されたというもの。この調査を通じ、辻氏は「攻撃者が欲している情報は、個人情報だけではない」と感じたという。

 そう感じたヒントは、マルウェアが通信するURLにあったという。「このパスワード付きzipを開くと、jpgファイルに拡張子を偽装したマルウェアに行き着く。そのURLの最後に、なにやら『連番』のような数字の羅列が含まれているのが分かります。連番があったとしたら、皆さんも“他の番号”が存在するか気になりますよね?」(辻氏)

 辻氏の予想は的中した。他の番号をいくつか試してみると、日本学術振興会の書類だけでなく、日本語で書かれた外交関連文書や、何らかの原稿、医療関係の書類など“それっぽい”重要文書が多数見つかる。

photo jpgファイルに偽装されたマルウェアが、最終的に指し示すURLには日付を含む“連番”が含まれていた

 同氏は「簡単に分かる場所に置いた攻撃者のミス」と表現しつつも、その内容から「受け取った組織が、不審に感じることなく開く可能性が高い巧妙な手口」とし、「この文書の内容から、標的型攻撃を受けることになる組織を想像できそうな内容だ」と述べ、次のように推測する。「攻撃者は個人情報だけではなく、『全ての情報』がターゲットなのではないか」。

 つまり、要人の旅程や軍事転用可能な技術、建物の設計図や財務情報など、情報のかたまりであれば、全てが攻撃の対象になっているのではないか、ということだ。

 「もしかすると、『サイバー攻撃だけでは完結しない』戦略を持っているかもしれません。日本には、規模は小さくても、その会社しか持っていない技術や特許がたくさんあります。そういう企業は、後継者問題で悩んでいたり、財務状況に苦しんでいたりするかもしれない。そういう情報を盗むという時点でサイバー攻撃は“完了”し、その後、正面から買収という手法を採る可能性も考えられるでしょう」(辻氏)。

 辻氏は「『木を見て、森を見ず』とはならぬように」と話す。これまで、日本の多くの企業は、情報漏えいインシデントを「個人情報」の漏えいと考えてきたのではないだろうか。しかし、ありとあらゆる情報が狙われていると考えなければ、対策も進まない。

 「そういう攻撃を受けたときは、できれば、情報公開を行ってほしい。攻撃に気が付いていない企業が知ることで、対策が進むと考えています。社会貢献だと思って、ぜひ積極的な公開を」(辻氏)

 情報漏えいが起きたとき、企業として何を公開できるか――そのヒントは、先に公開された経済産業省の「サイバーセキュリティ経営ガイドライン」にある。v2.0版で追加された「付録C:インシデント発生時に組織内で整理しておくべき事項」には、インシデント発生時にどのような情報を集め、何を報告し、公開すべきかが一覧で整理できるようになっている。同氏はこの資料作成に関わっていたとのことだ。

 後編では、ソフトバンク・テクノロジーに起きた、あるインシデントをもとに、辻氏自らが「情報公開」を行った内容を紹介する。(後編に続く

前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ