2012年の情報セキュリティを総括する（前編）：“迷探偵”ハギーのテクノロジー裏話（1/2 ページ）

今年も情報セキュリティを脅かすさまざまな事件が数多く発生した。1年の締めくくりとして、今回は「サイバー攻撃」と「遠隔操作ウイルス」について考えてみたい。

[ITmedia]

　今回と次回は、今年を締めくくる意味を込めて情報セキュリティ事件を筆者なりの視点で解説したい（一部情報は報道などを参考にしているので予めご了承いただきたい）。今回はネット事件上で有名になった「サイバー攻撃」と「遠隔操作ウイルス」についてお伝えする。

サイバー攻撃

　マスコミやIT業界においては、2011年から2012年にかけてこの特集やセミナーが大流行となっている。筆者のコメントも一部の新聞で紹介され、金融機関や情報セキュリティ関係者向けのセミナーでも解説した。サイバー攻撃に関する情報が氾濫するようになったが、このことは企業や官公庁、そして一般の方々へ注意を促し、その対策が行われるようになった点では大きな功績だと思う。

　しかし、残念ながら一部のマスコミやネット記事の中には誤解を与える文章表現がみられた。自称「専門家」の中には生半可な知識で記事を投稿し、本質的なところが誤ったままになっていた。筆者が金融機関や官公庁向けにお伝えしている内容をもとにサイバー攻撃の誤解を解き、その対応策をまとめてみたい。

1.「サイバー攻撃」というマルウェアや不正アプリはない

　先日も某民放番組で芸能記者が、「これは今までのStuxnetやrootkitと呼ばれる凶悪なマルウェアをしのぐものだ」と紹介した。素人や初心者がその前後の解説を含めて耳にすれば、「そんなマルウェアがあるのか」と、誤解しかねない発言だ。たぶん、この記者自身も誤解（というよりきちんと理解していない）しているようだ。サイバー攻撃の一つ一つは極めて単純であるし、Stuxnetのような「武器」として開発された高度なものではない。

2.「これがサイバー攻撃である」という定義はない

　専門家が解説で使う表現の中に、「通常は」とか「○○というパターンが多い」というものがある。しかし、「これがサイバー攻撃」という確立された定義は1つとしてない。なぜなら、一つ一つの攻撃は極めて単純なものであるが、犯人は「お金になる情報」「その企業や官庁にとって重要な情報」をひたすら求めるものであり、その期間も今まで考えられない程、長期に及ぶ。時には1年、2年と続く。犯人は、標的の脆弱な面や点をひたすら突き続け、最後は目的（情報など）に到達する。だから、そのための侵入経路は無数にあり、犯人は可能性のある限り進攻し続ける。

3.なぜ騒がれるのか？

　それは今の攻撃が、こども向けのテレビ番組でヒーローを倒すために悪役が毎週毎週に攻撃を仕掛けるという単純なものではなくなっているからである。犯人は既存のありふれた技術と高度な戦術を駆使し、「人間」という一番脆い存在を突いて少しずつ目的に近付く。通常の防衛策が有効に働かず、犯人はほぼ確実に目的へ到達できてしまっている。

　テレビの世界でなら、標的にされた相手は事件が発生してからそのことに気付くだろう。しかし、現実の世界では少数派だ。既に犯人の目的が達成されていても、標的にされたことに気が付いていない企業や官庁が多い。例えるなら、悪役は仮面ライダーの世界の人たちを一人ずつ洗脳し、遂には仮面ライダー以外の全員がショッカーの手先になっている、あるいは、食べ物に少しずつ毒を入れて標的の体調を崩させたり、飲料水に密かに睡眠薬を入れてしまうようなものであり、犯人に狙われたらまず勝ち目はない。

4.「わたしには関係ない」という誤解

　ニュースを聞いて、犯人に攻撃されたのは国会議員のメールサーバや防衛省にシステムを納品している業者の情報だからというだけで、「自分は学生だから関係ない」「主婦なので興味もない」という方が多い。サイバー攻撃では「心の盲点」を突くのが常套手段であり、だからこそ「自分は関係ない」と考える方々が危ない。例えば、ご主人が勤め先の特許データベースのアクセス権限者なら、犯人は奥さんの自宅PCを1つの攻撃拠点として考えてもおかしくないのだ。

　実際には犯人は、標的の人物の友人、そのまたの友人のウイルス対策ソフトが入っていない自宅PCを乗っ取ってから、少しずつ標的に近付いてくる。「サイバー攻撃」とは本来、PCを使う全ての人が注意すべき問題だ。マスコミははっきりと伝えるべきだが、実際は多くの報道で話題性のあるところだけが取り上げられるので、残念で仕方ない。

　いかにも最新技術を駆使して「サイバー攻撃」が行われると想像する人が多いものの、実はそんなことはないので、余計に防御がしづらいのだ。防御層は多ければ多いほど良い。防御層が1つ、2つではそこが破られればそれで終わりだ。だからと言って、多額の費用と人材と時間を費やして情報セキュリティを堅牢にするのもまた、愚かな選択という場合が少なくない。所詮、100％の防御はあり得ない。

　そう割り切れば70％、80％の防御レベルでも良い。ただし、さまざまな視点、さまざまな物理的に違いのある場面で、幾重にも防御していく方が、遥かに安価で現実的な対処である。この辺の具体的な方法は、専門家と相談して費用対効果が最も出やすい実装を考えることが、企業や官庁にとって最良な手段となるだろう。現実には、それ以外にもっと重要な内部不正における効果的な防御法など、考慮しないといけないことがたくさんあるが、本稿では割愛させていただく。