デジタルビジネス時代の守りのIT投資「セキュリティ」

特集TOP

サイバーセキュリティ最新脅威の動向と対策の考え方最新のサイバー攻撃の手口を知り、対策をどのようにしていくかを考える

標的型メール攻撃やランサムウェアなど、情報セキュリティを脅かすリスクは日々変化し、手口が巧妙化してきている。企業は、現在、どのようなリスクがあって、どのような被害が起きているのかを知り、情報セキュリティを守るために何を行っていくべきかを考えていく必要がある。情報セキュリティを専門としている慶應義塾大学 環境情報学部の武田 圭史教授が、サイバー攻撃の最新動向と、これまで常識だと考えられていた情報セキュリティ対策がどのように変わってきているかについて解説する。

標的型メール攻撃とサイバーテロの事例

サイバー攻撃が行われるようになった初期の頃は、興味本位の腕試しが多く、レクリエーショナルハッカーが多かったと説明する武田氏は、ここ数年は組織的な攻撃に対する取り組みが行われるようになり、攻撃を受けることが日常的になっていると指摘する。現在は、レクリエーショナルハッカー以外にも、国家的な思想に基づいた攻撃や経済的な利益を求めた攻撃などが行われている。

ここ数年、大きく話題となっているのは標的型メール攻撃だ。特定の攻撃対象が関心を持ちそうで、開きたくなるようなメールを送り、添付ファイルなどを開かせ、ウイルスに感染させることでPCやシステムから情報を盗み取ろうとするものだが、2006年頃から政府関連機関や重要インフラ企業などに対して攻撃が行われ始めたのだという。実際に、2008年に発生したトルコのバクー・トビリシ・ジェイハン(BTC)パイプラインの爆発は、監視カメラの脆弱性を狙ってネットワークに進入し、システムがハッキングされたことが疑われており、反政府組織が犯行声明を出している。

また、2015年には、ウクライナ西部の都市イヴァーノ=フランキーウシクで大規模な停電が発生したが、標的型メールを使ったBlackEnergyと呼ばれるマルウェアの感染が原因と考えられており、翌年の2016年に発生したウクライナのキエフで発生した停電も、同様の手口での攻撃だったと言われている。さらに、2010年には、イランの原子力燃料施設を標的としたことでStuxnetと呼ばれるウイルスが有名となり、国家レベルでの関与が噂されているが、武田氏はサイバー攻撃に関するカンファレンスなどでは、国としてサイバー攻撃を行える技術をどのように管理するかといった議論が行われていることを明かす。

続いて武田氏は、ランサムウェアについての解説を行う。ランサムウェアは、感染した不正なプログラムによってシステムやPCのデータが暗号化され、暗号化の解除のために金銭を要求するもので、攻撃者は従来のように盗み取った情報を金銭に変えるというステップを踏まなくても、ストレートに金銭を手に入れることができる。攻撃された側は、いち早く復旧させるために数十万円くらいの金額であれば支払うことも少なくないといい、実際に要求された金額を払ってしまう企業なども出てきているという。

大きな話題となったランサムウェアや
スパム型トロイの木馬攻撃

ランサムウェアは、2年位前から攻撃者の資金調達方法の1つとして多用されるようになっているが、プログラム自体は難しいものではないため、模倣してしまう攻撃者も増えている。現在は英語圏での攻撃が多く、言語の問題で日本での被害は比較的少なかったが、2017年5月にWannaCryと呼ばれる攻撃が日本語にも対応し、大きく話題となっている。WannaCryは、アメリカ国家安全保障局(NSA)の開発したEternalblueという攻撃プログラムを利用している。この攻撃プログラムはシャドー・ブローカーズというハッカー集団がNSAより盗み公開したと主張されているものだ。従来のランサムウェアの機能とWindowsのファイル共有に関する脆弱性を攻撃するEternalblueの機能を組み合わせ、急速に自動的に感染を広げるワームとして作成されている。マイクロソフトは2017年3月にこの脆弱性に対する修正プログラムを出している。

最新の攻撃手段としては、スパム型トロイの木馬攻撃もあると武田氏は話を続ける。標的型メール攻撃のように、ターゲットを絞ってメールを送るのではなく、思わず開いてしまいそうなメールをスパムメールのように多くのターゲットに送るものだ。また、Webアプリケーションフレームワークの脆弱性に対する攻撃も最近被害が増えており、WordPressやStruts 2の脆弱性を狙った被害が報告されている。攻撃者はこのような重大なWebアプリケーションフレームワークの脆弱性が見つかったら数日以内で攻撃を行う傾向があるのだという。そのため、修正プログラムなどが出たら、すぐに適用させることが非常に重要だ。

今後懸念されるのは、増え続けるIoTデバイスに対する攻撃だ。IoTデバイスは、セキュリティのための設計や対策が十分取られていないケースが多いというが、今後は、ネットワークを介して外部からアクセスできるようなIoT機器を利用するときには、セキュリティリスクがあることを十分に理解しておく必要があると武田氏は説明する。

IoTデバイスに対する攻撃

IoTデバイスに対する攻撃

情報セキュリティ対策をどのように考えていくか

武田氏は、情報セキュリティの重要性は理解していても、実際には情報セキュリティ対策が十分に行われていないケースが多いと指摘する。多くの企業や組織はセキュリティ対策のために事業を行っているわけではないため、セキュリティは最重要の項目とはならないが、企業としてやりたいことと、やらなければならないことのバランスを考えることが重要だ。企業として重要な事業に対してはセキュリティ対策をしっかりと行い、重要ではない部分にはセキュリティリスク自体を持たないようにしていくといった考え方が必要となってくる。

企業のセキュリティ対策の考え方

企業のセキュリティ対策の考え方

一方で、情報セキュリティ人材が不足していると言われているが、武田氏は情報セキュリティ人材に対する報酬が十分に支払われていないという現状があると指摘し、本当に情報セキュリティ人材を求めているのであれば、それなりの処遇やポジション、キャリアパスを用意する必要があると話す。また、社内に情報セキュリティに精通した人材がいても、他の仕事を行っていたり、兼務している場合もあるので、社内のこれらの人材を活用していくことも考える必要もあると説明する武田氏は、「情報セキュリティ人材という呼び方も、事業部がセキュリティは自分の仕事ではないと考えている表れだと思います。どの職種でも、セキュリティに対する見識や理解が求められる時代となってきています」と話す。

パスワードを定期的に変更しなければならない、というのもよく言われることだ。しかし、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』では、パスワードを定期的に変更するのを強制することをやめるように勧告していると話す。武田氏は、定期的な変更を強要しても、ユーザーの負担増に比べてセキュリティ効果が薄いと説明する。パスワードが漏洩してしまった場合などは変更する必要があるが、定期的な変更といった労力を使うのであれば、パスワード以外の認証要素を組み合わせて多段階認証でセキュリティ対策を行ったほうが効率的だ。

また、標的型メール攻撃の添付ファイルをクリックして開かないように教育していく必要があるなどの、情報セキュリティは人の問題といった議論が行われることもある。しかし、武田氏は、攻撃する側は巧妙に開かせようとし、できる限り本当に必要なメールに近づけるようにしており、本当に使われたメールの添付ファイルだけを入れ替えて送ってくるようなケースもあるため、判断は難しく、人を教育しても効果は低いと説明する。人間はミスをし、トラブルを発生させるため、「セキュリティ・バイ・デザイン」という考え方で、情報セキュリティを企画・設計段階から確保し、リスクを前提として考えることが重要だという。

武田氏は、セキュリティ・バイ・デザインの事例として、慶應大学の湘南藤沢キャンパスで学生たちが行った例を示す。湘南藤沢キャンパスでは、学生が自分たちのためにアプリを作って活用しているが、とある娯楽向けのアプリで、メールアドレス、パスワード、名前、学籍番号などを登録するようにしていた。サービスの内容に比べて登録する個人情報が多すぎると武田氏が指摘したところ、そのアプリはメールアドレスとパスワード、サービス内で利用するニックネームを登録するように修正され、個人情報を極力求めないようになったという。「大学のメールアドレスに限定しているので、届いたメールのリンクをクリックしてログインするようにすれば、IDも識別でき、パスワードも必要ないかもしれません。このようにすることで、システムとしてのリスクを抑えることができ、個人情報を保持するというセキュリティリスクも抑えられます。セキュリティガイドラインを実践している企業も多いと思いますが、ノウハウが体系化されていない部分もあるので、事例を集めて紹介できるようにしていきたいと思います」と武田氏は話す。

最後に武田氏は、「情報セキュリティは、専門的で特別な仕事ではなく、さまざまな業務の1つの側面である」「最も重要なのは、当事者意識と実践」「脅威・リスクを知り、まずは既存の被害の防止から始める」「人に依存しないセキュリティの設計を」と情報セキュリティに対する考え方をまとめている。

武田 圭史 氏

慶應義塾大学
環境情報学部 教授
博士(政策・メディア)

写真

デジタルビジネス時代の

  • 攻めのIT投資「働き方改革」
  • 守りのIT投資「セキュリティ」