第19回 過去10年の「情報セキュリティ10大脅威」にみる戦いの歴史：日本型セキュリティの現実と理想（2/5 ページ）

[武田一城，ITmedia]

標的型攻撃対策も既に10年

　Winnyに関して現在は、内部ネットワークに接続できる会社のPCの管理と、自宅PCでは業務データを扱わないなどのルールの徹底によって、すでにその脅威は昔のものといって問題ないと思われる。

　そして、2007年のランキングでは当時「スピア型攻撃」とも呼ばれていた標的型攻撃が、Winnyに次ぐ脅威2位になっているのが興味深い。ただ、その後の見ると2008年〜2009年の4位、2010年の6位、2011年の8位と徐々に順位を落としている。そして2011年の標的型攻撃事件が発生した。

　この事件は、情報セキュリティ分野におけるWinny以来、約5年ぶりの社会的事件となった。その当然の結果として、2012年に初めて標的型攻撃関連の内容が脅威1位になった。「標的型攻撃」という言葉は、良くも悪くもこの時に完全に定着した。それは、2013〜2016年の4年間に常に1〜3位にランクインされたことがそれを裏付けている（表2参照）。

表2：標的型攻撃対策の変遷（同）※クリックで拡大

　標的型攻撃について筆者は、その対策を一般企業で徹底させることには懐疑的だ。なぜなら標的型攻撃は、攻撃者が確実にほしい情報を標的とし、その目的を達成するために執拗にさまざまな手を尽くす攻撃手法だ。そのため、攻撃者の狙いが集中している分だけ、標的にされる対象範囲は狭い（英語では「APT」＝Advanced Persistent Threatと呼ばれる）。現在では、攻撃者の手法はどんどんツール化され、より安価に攻撃を実施できるようになってきている。もし筆者が攻撃者なら、わざわざそれだけの時間と徒労に終わるリスクが高いところを標的にするより、それらのツールを活用し、効率よく脆弱な部分を攻める方を選択する。それが、より金銭を手に入れる手っ取り早い方法だからだ。

　ただし、手間と暇と時間をかけて狙う標的型攻撃の性質を考慮すれば、この10年をかけて着実に迫っている脅威となった可能性も高い。この対策は、「多層防御」と呼ばれる攻撃側をてこずらせる時間稼ぎの構造を作り、攻撃が標的に到達する前に防ぐ以外の選択肢はない。そういう意味ではまだ話題の中心の標的型攻撃だが、多くの企業が一定の防御レベルに達していれば、攻撃側の面倒ばかりが増えて得るものが少なくなる。それが実現すれば、よほどの事がなければ標的型攻撃をする理由がなくなり、徐々に衰退していくかもしれない。