連載
» 2011年10月18日 12時00分 UPDATE

情報マネージャとSEのための「今週の1冊」(64):2ちゃん、ニコ動、外務省。次の標的は貴社のサイト!?

サイバー攻撃の脅威は身近なところに存在する。あなたの会社がいつターゲットにされても決しておかしくはないのだ。

[@IT情報マネジメント編集部,@IT]

サイバー・クライム

ALT ・著=ジョセフ・メン
・発行=講談社
・2011年10月
・ISBN-10:4062166275
・ISBN-13:978-4062166270
・2300円+税
※注文ページへ

 「これからおまえらのサイトを攻撃する。今日の正午までに4万ドル送金してもらおうか。金を払えば今後1年間は見逃してやろう。支払いに応じなければ向こう5カ月間、週末ごとに攻撃を仕掛けてやる。そうなったら廃業は免れないぞ」――

 脅迫メールの受信後、すさまじい勢いでDDoS攻撃が始まった。10分ほどでトップレイヤのPCは使い物にならなくなり、ベットクリス社のWebサイトはアクセス不能に陥った。攻撃の余波はインターネットサービスプロバイダにも及び、プロバイダ側はやむなくベットクリス社をネットワークから隔離。一時的なサイト閉鎖に追い込まれた同社は、1日当たり最大500万ドルの被害を負うことになった。だが犯人は、同社の動揺をせせら笑うかのようにメールを送り付けてくるのだった。「もう少しだけ時間をやるから上納金を用意しろよ。早くしないと金額を吊り上げるぞ」

 本書、「サイバークライム」は国際規模で頻発しているサイバー攻撃の実態を明かしたノンフィクション作品である。冒頭は中央アメリカ南部に位置する“ギャンブル大国”コスタリカでスポーツ賭博を運営するベットクリス社で実際に起こった事件だ。

 DDoS攻撃とは、「インターネット上にウイルスをばらまき、世界中の膨大な数のパソコンを遠隔操作できる状態に変え」、それらを使ってターゲットのWebサイトにアクセス、大量のトラフィックを集中させて機能をパンクさせる攻撃手法だ。Webサイトのセキュリティホールに対する攻撃なら、セキュリティホールを修正すればまだ対応できるが、この「DDoS攻撃の場合にはWebに弱点がなくても攻撃の被害を受けてしまう。シンプルながら、きわめてたちの悪い攻撃法」なのである。そして近年、このDDoS攻撃をはじめとするサイバー攻撃が世界規模で頻発しているのだ。

 本書ではこうしたサイバー攻撃の実態をストーリーとして描写。カリフォルニアに住むコンピュータ・セキュリティの専門家、バーレット・ライアンが、ベットクリス社の幹部らとともに、本格的に犯人調査に乗り出す様をドラマチックに描いている。特に目を引かれるのは、サイバー攻撃によって企業が受ける被害や、対策の苦労、難しさを極めて具体的にまとめている点だ。本書を読めば、ストーリー展開を楽しみながらも、言葉だけのものになりがちな「サイバー攻撃」の身近さ、恐しさを体感できるはずだ。

 実際、ベットクリス社と同様の事件はこの日本でも起こっている。例えば、ネット上でゲームサイトを運営するある企業の場合、「今から攻撃を開始する。被害を受けたくなければ100万円払え」という脅迫メールが届き、その直後からWebサイトが高負荷でダウンしたという。他にも「2ちゃんねる」や、オンラインゲームの「ファイナル・ファンタジー」「ラグナロクオンライン」、ドワンゴが運営する「ニコニコ動画」、外務省などもDDoS攻撃を受けた過去がある。決して遠い世界の出来事などではないのだ。

 ただ、本書が最も強く訴えているのは、サイバー攻撃に対する危機感を持つとともに、仮にターゲットにされても「決して要求に応じてはいけない」というメッセージだ。例えばベットクリス社の場合、「地道な作業に心血を注ぎ、さらに2週間の試行錯誤を経て」、ようやく攻撃を遮断し、Webサイトをほぼ正常な状態にまで戻した。だが、犯人の最初の要求額は4万ドルであったのに対し、セキュリティ対策に掛かったコストは実に100万ドル近くにまで膨らんでいた。

 「おまえらはとんだ間抜けだな」――犯人からは負け惜しみのようなメールが届くのだが、ベットクリス社のCEO、ミッキー・リチャードソンは「いや、俺の判断は正しかった」と自分に言い聞かせるのだ。「このセキュリティ対策がサイバー犯罪者へのメッセージとなり、『あそこは面倒だ』と思わせることにつながる可能性が高い」。今回の対策によって「巨大なデータ処理容量を手に入れたし、社内の結束も高まった」――

 これは日本でも同じだ。先のオンラインゲーム会社に寄せられた脅迫の要求額は100万円。同社の場合、1日の売り上げが数百万円に達する日もあり、販路がインターネットしかない以上、100万円ほどなら「みかじめ料として納めるのも経営判断としては妥当……」と判断してしまう危険性も十分にあった。だが攻撃に屈することなく、サーバ増強やチューニングを続け、脅迫に打ち勝ったのである。同社の社長は「社員の団結力が高まっただけでなく、顧客からの信頼も勝ち取り、売り上げ増加にもつながるなど、最終的には脅迫に応じずに良かった」とコメントしたという。ただ「サイバー空間の中では警察は頼りにならない」とも感じたそうだ。

 セキュリティ対策は守りの施策であり、収益向上に寄与する取り組みではないことから消極的になりがちな傾向も強い。だが、インターネットが浸透し、ネットワークを介して業務を行うことが当たり前になっている今、自分の会社がいつ攻撃対象にされてもおかしくない。そして実際に攻撃され始めてから慌てても、あとの祭りなのである。本書に描かれたリアルな被害体験から、セキュリティ対策に対する認識を、もう一度あらためておいてはいかがだろうか。


この新連載で紹介した書籍は、順時、インデックスページに蓄積していきます(ページ上部のアイコンをクリックしてもインデックスページに飛ぶことができます)。旧ブックガイドのインデックスはこちらをご覧ください。

「情報マネージャとSEのための「今週の1冊」」バックナンバー

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ