最近とみにサイバー攻撃の被害報道が目立つが、コンピューター(というよりネット世界か)社会があまりにも遍(あまね)くつながったことへの「備え」の過渡期が到来しているのを肌で感じる。
「まず先に便利」が波として訪れ、そしてその影として「弱み」が露呈しているのである。
物事は振り子のごとく。
便利さが追求された後には、規制とかルールがこれから形成されてゆくのは歴史の趨勢である。
国家機密から重要な個人情報まで「あらゆるものを"まず"繋いでみた」というのが現在だから、色んなところに抜け穴があり混乱しているのだ。
「国家機密が世界同一のネットにつながっている」ということは改めて考えればあり得ない話ではないだろうか。
そうして利便至上で成長している世界は、これからその反動で「大事な情報を守る知恵」を備える時期に入っていくだろう。
吉本隆明さんが、福島原発の暴走事故について「それでも人類は知恵で原子力を乗り越えてゆくべきだ」と仰っていたが、ネット社会も「だからネットから断絶しよう」というのではない工夫がこれから出てくるのに違いない。過去数度の産業革命の軌跡と同様ではないだろうか。
リアル社会で、特に先進国では「安全」ということについては規制もあり、ルールもあり、法律も罰則も整備されている。何よりも管理体制が確立していると言っていいだろう。
自分は今コンピュータのセキュリティに関わる仕事をしているが、一言で言わせてもらえば「道具としてのコンピューターとネット」をあまりににも過信してしまっていると思う。
「何でもネットにつなぐ」というのは「何でもこちら側に入ってくる」ということと同様なのである。
スマホやブラウザ一つで銀行口座を操作したり、決済したり、"リアルでは他人に見せないような情報"をネットに乗せることにはこれからは一定のモラルが出来てくるのに違いない。
便利一辺倒に広がり続けるサイバー社会は、さらに広がりつつも「制約」をこれから生んでくるだろう。
物事は「左右対称」に広がってゆくものだ。
止まらぬ個人情報流出 真の狙いは「国家機密」
ラック 取締役 専務執行役員CTO(最高技術責任者) 西本 逸郎2015/8/5 6:30日本経済新聞 電子版日本で年金情報の流出が大騒ぎになっている一方で、米国でも6月上旬から政府職員情報の大規模な流出事件が明らかになった。報道によると、攻撃を受けたのは政府職員の身辺や経歴を調査する人事管理局で、OBや現役職員の配偶者、同居者を含む2210万人分が流出した。これは米人口の7%に相当し、過去最大規模だという。
米人事管理局のキャサリン・アーチュレタ元局長。2210万人の個人情報が漏れた責任を取り7月に辞任を明らかにした(6月16日、米ワシントン)=ロイター
事件から持ち上がってきたのは、国家や重要産業の機密情報を奪う活動をしてきた攻撃者、すなわちサイバー世界のスパイが、従来は手をつけていなかった個人情報もかき集め始めたのではないかという懸念だ。
実際、攻撃の手は一般の企業や組織にまで伸びており、被害は拡大している。もはや中小企業であろうが地方自治体だろうが関係ない。あらゆる企業や組織が「国家レベル」を相手としてきた高度なサイバー攻撃に対峙しなくてはならない時代となったのだ。
■スパイは個人情報を糸口として機密情報を狙う
これら日米の公的機関で起きた流出事件のポイントは、標的型と呼ばれるサイバー攻撃で個人情報が狙われたことにある。
公的機関が保有する個人情報は網羅性が極めて高く、複数の個人情報を関連付けるには格好の「基礎データ」だ。米国の事件を受けた報道によると、今後起こりうることとして、情報機関に勤務する職員の交友関係を分析して情報源を割り出す、職員の家族に接触して情報を漏洩させるよう脅迫するといったことが指摘されている。
あくまでもスパイの狙いは外交や防衛といった国家機密のほか、高度な技術情報などの国の競争力につながる産業機密だ。そこにたどり着くまでの糸口となる情報を探し求めているというわけだ。
日本年金機構の事件についても、基礎年金番号そのものの流出と成り済ましによる年金の不正受給ばかりが注目されているが、犯人の真の目的はそこではない。ありとあらゆる組織の個人情報を集め、より高度な機密情報にたどり着こうとしていると考えられる。
■「大物」のサイバースパイが個人情報に照準
従来、標的型攻撃を使うサイバースパイは個人情報にはあまり手をつけようとしなかった。個人情報が漏洩したことが分かると、被害に遭った企業や組織に騒がれ、それ以降のスパイ活動がやりづらくなる。機密情報を入手する作戦は長期間に渡って、秘密裏に進められるもので、騒がれては元も子もないという意識があったのだろう。
もちろん、個人情報を窃取する事件自体は昔からあるが、その多くは盗んだクレジットカード情報などを闇市場で売却するなどして金もうけをたくらむ金銭目的か、個人情報流出を暴露して当該組織へ社会的制裁を与える目的とした「小物」の攻撃者だった。
それがここに来て「大物」のスパイまでが個人情報を狙うようになった。攻撃手法が高度化したことにより、企業や組織の膨大な量のデータをいともたやすく盗み出せるようになり、相手に気づかれる心配もなくなったという自信の表れだろう。
日本年金機構本部
攻撃された側は、かろうじて攻撃を受けたと分かったとしても「何の情報が持ち出されたのか」を知る術はない。せいぜい、組織内に残されたデータの残骸から「おそらく○○が盗まれたとみられる」と推測するのが関の山だ。攻撃側が圧倒的に有利な状況となっている。年金機構の事件は、たまたま国内の乗っ取られた中継サーバーを警察が調査することができたことで解明できた幸運なケースとみられている。例えていえば、盗まれたデータがそっくりそのまま路上に落ちていて、落とし物として警察に届けられたようなものだ。この千載一遇の機会に、一日でも早く攻撃の全容が解明されることを期待したい。
■一般企業に「勝利せよ」はナンセンス
年金機構への攻撃に使われた遠隔操作ウイルス「Emdivi(エムディビ)」は、現在も継続して活発に活動している。ネットの安全情報をまとめる社団法人、JPCERTコーディネーションセンター(東京・千代田)によると、今年4月から6月までの3カ月間に「標的型攻撃を受けている可能性がある」と連絡した組織は66あった。そのうちEmdivi関連のものは44組織だったという。
このウイルスのプログラムを分析すると、犯人グループの背後に国家レベルの組織が控えていることは明らかだ。米国の事件でも中国系の部隊が関与したとされている。
以前から標的型攻撃に狙われていた政府機関や重要産業を手掛ける大企業はともかく、一般の企業や地方自治体に対して国家レベルの組織と「互角に戦って勝利せよ」と要求するのは酷であり、ナンセンスだ。
しかし、こうした組織でも最低限やっておくべきことはある。理想論ではなく、現実的な方策を示すのがセキュリティ専門企業としての責務と考え、ラックは先日「標的型攻撃対策指南書」をホームページ上で無償公開した。
ラックがホームページで公開した「標的型攻撃対策指南書」
まず行ってほしいことは、外部機関から連絡を受ける意味を十分に理解し、セキュリティに関する情報を受け取る窓口を設けること。そして連絡を受けたときに何をすべきかを整理しておき、一度は練習しておくことだ。
Emdiviによる一連の感染被害は、大半がJPCERTコーディネーションセンターや警察などからの連絡により発覚している。外部からの連絡がなければいつまでもウイルス感染に気付かず、重要情報がだだ漏れになる。それだけではなく、その情報を悪用され、結果として他の企業や組織への攻撃に加担してしまう可能性もあるということだ。
外部機関からの連絡に即応できる体制や、その後の対応策を早急に検討していただきたい。さらに行うべきことについては指南書をご覧いただきたい。
■情報公開で二次被害を防ぐ
大事なのは、標的型攻撃に特効薬はなく、完全に防御するにも限界があることだ。それを理解した上で、指南書に示した最低限の対策をしているのであれば、万が一の場合にも非難されない社会としていく必要があるのではないだろうか。標的型攻撃による個人情報流出を防ぐには、その被害情報を広く公開し、積極的に二次被害を防いでいかなくてはならない。
できる限りの対策を講じた組織が個人情報流出事件によって非難ばかりされる風潮が続くようでは、被害を隠そうとする意識はなくならない。それではサイバー攻撃に対する日本の抵抗力はいつまでたっても向上しない。日本全体で「負けない」戦いを可能にするためにも、それぞれの組織でできること、外部との協力を深めるべきことを知り、標的型攻撃に備えていただきたい。
西本 逸郎(にしもと・いつろう) ラック取締役CTO。北九州市出身。1986年ラック入社。2000年からサイバーセキュリティー分野にて、新たな脅威に取り組んでいる。日本スマートフォンセキュリティ協会事務局長、セキュリティ・キャンプ実施協議会事務局長などを兼務。著書は「国・企業・メディアが決して語らないサイバー戦争の真実」(中経出版)。
