日本狙いのサイバー攻撃の87％は国内から、米セキュリティ業界の重鎮が現状語る

米FireEyeの会長兼CEOのデビッド・デウォルト氏が来日。企業や組織を狙い標的型サイバー攻撃の現状や、米政府によるネット監視プロジェクト「PRISM」について言及した。

[國谷武史，ITmedia]

米FireEyeのデビッド・デウォルト取締役会長兼CEO

　日本の政府や企業を狙う標的型サイバー攻撃の87％は、日本国内から仕掛けられている――。標的型サイバー攻撃対策ベンダーFireEyeの取締役会長兼CEOのデビッド・デウォルト氏が来日、6月20日の記者会見で標的型サイバー攻撃の現状などを報告した。

　FireEyeは、「サンドボックス」と呼ばれる仮想コンピュータを用いて、Webサイトやメールなどから企業や組織のネットワークに侵入するファイルなどの挙動、通信状況などを解析し、標的型サイバー攻撃の検知や対策のための情報提供などを手掛ける。デウォルト氏は2012年11月に現職に就任。以前はMcAfeeのCEOを務め、現在はFireEye以外に、セキュリティ調査会社Mandiantの取締役や米国家安全保障通信諮問委員会の委員も務める。

　会見の冒頭、デウォルト氏は「今や190カ国以上がサイバー攻撃に関与し、国家や軍事組織が手掛けるケースも増えている。ガバナンスが効かないインターネットの世界は、サイバー戦争にとって“適した”環境になっている」と述べた。

　FireEyeの調査によると、日本の政府機関や企業、組織を狙う標的型サイバー攻撃の87％が国内から仕掛けられていた。組織内に侵入するマルウェアの通信先である攻撃者のコマンド＆コントロールサーバのホストの所在を追跡した結果から判明した。この割合は世界の平均に比べるとダントツで高いとのこと。

　「技術革新に優れ、ブロードバンドインターネットが非常に普及している日本は、サイバー攻撃者にとって最も重要なターゲットだ。この状況は韓国や米国でも見られるが、日本は顕著だ」（デウォルト氏）としている。なお、コマンド＆コントロールサーバが国内にあるのは、日本のIPアドレスであればターゲットに怪しまれないことを意図した可能性が高いと同社ではみているが、日本人が攻撃者であるどうかは不明だという。

　FireEyeが4月に発表した2012年下半期のセキュリティレポートでは、企業が平均3分に1回サイバー攻撃を受けていることや、1日あたり約8万種の新種マルウェアや9000サイト以上の悪質サイトが発見されている現状も報告されている。

1Gbpsのネットワークにおいて1週間に発生するインシデント件数

　デウォルト氏は、「標的型サイバー攻撃対策ではさまざまなセキュリティ対策機能を何層も講じることが有効とされるが、悪質な攻撃を検知するシグネチャやブラックリストベース技術だけでは簡単に回避されてしまう。そこで、サンドボックスのような仕組みで補完するのが望ましい」と、同社製品の優位性を強調した。

　標的型サイバー攻撃への対策アプローチとして同氏は、（1）サンドボックス製品とシグネチャ製品の相互補完、（2）ネットワーク全層へのマルチファクタ認証の導入、（3）重要なエンドポイントへのホワイトリストやホストベース侵入防御対策の導入、（4）APT（高度な持続型サイバー攻撃）の専門家による年4回の対策検証の実施、（5）企業としてのリスク管理の視点によるサイバーリスク管理手法の確立――の5つを挙げた。

　国家によるサイバースパイ活動では、米国家安全保障局（NSA）によるインターネットの監視行為（「PRISM」プログラム）が話題を集めている。米国政府はテロ抑止などが目的だと説明しているが、プライバシー侵害だとする批判も強い。

　これについてデウォルト氏は、個人的な見解としたうえで、「政府によるプライバシーへの過度な関与は避けるべきだが、国家の安全保障の観点では必要性のある取り組み。このバランスを保つことが最も大事だ。例えば、ボストンマラソンでのテロ事件もこうした取り組みによって早い段階に犯人を特定でき、被害の拡大を防ぐことにつながったともみることができる」と述べた。

　また、「Webサイトを開設している企業や個人がある程度の身元情報を開示するよう、各国政府へのロビー活動などを通じてそのためのルール作りを呼び掛けている。インターネットの秘匿性は活発な情報発信を可能にしたが、その一方でサイバー攻撃者は逆手に取り、身元を隠すことに成功した。新たなルールによってインターネットの透明性が高まれば、ガバナンスを適切に効かせていくことができるだろう」と話している。