パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

虎の巻!セキュリティ論 #15/企業経営にとって 大きなダメージを与える サイバー攻撃の脅威とは ~ その現実的対策と心構えについて ~(前篇)

f:id:sky-pca:20191020115643p:plain


f:id:sky-pca:20191104122446p:plain

サイバーセキュリティ対策と聞いて、アンチウイルスソフト(マルウェア対策ソフト)を想定する人が何と多いことか。あらためてサイバーセキュリティの脅威を再考するときが来ているのである。一昔前までは、サイバー攻撃と言えば、中小企業を含めて一般の人々にとっては無縁のものであった。映画や小説の世界の話だったのである。インターネットの普及によって、それが現実化したとはいえ、国家や大企業での計画的な大規模犯罪のイメージが強く、せいぜい情報漏えいやマルウェア感染を思い浮かべるのみであり、それがいかに企業経営にとって大きなリスクを伴うか、さらにそのリスクが生じる可能性を評価できないことが大きな問題となっている。

f:id:sky-pca:/20191115115409p:plain

情報漏えいにおいても、最近では2015年5月に発覚した日本年金機構の情報漏えいが大きく報道されたが、一般に注目されたのは、その情報漏えいの内容が日本国民全体に及ぶ年金に関連した個人情報であることと、その漏えいした個人情報を利用した二次被害(振り込み詐欺等)であった。必ずしもその漏えいの過程について大きな関心を持たれるまでには至らなかったのである。本稿の主題である「サイバーセキュリティの脅威」からみれば、一番の問題であり、かつ関心事は、当初まったく無関係な事件で押収されたサーバに蓄積されたデータの警察による解析結果が、その発見につながったということなのである。日本年金機構の事件以後も、大きな情報漏えいの枚挙にいとまがないが、ほとんどの場合、日本年金機構同様、第三者からの通報によって発見されるのが通例である。情報漏えいに関わる事件自体も大企業や国民生活に密着する機関以外は報道におけるニュース性がなくなり、公になることが少ない。そしてそれ以上に実際には情報漏えいが行われているものの、発見されること自体が少ないのである。

2017年末、JAL(日本航空)がビジネスメール詐欺(Business Email Compromise, BMC)に遭い、3億8千万円をだまし取られた事件も記憶に新しいが、著名な大企業であること、そして被害が多額であることで注目を浴びたのであり、事件自体は決して珍しくも、新しくもなく、企業の電子決済、ネット送金が一般化してから多発している。ここ数年では、少なくない数の中小企業が数百万円から数千万円の単位で被害に遭っており、いくつかは被害届を警察に届け、事件化しているものの、さまざまな理由から公にしていない事例も少なくない。JALに代表されるように、被害に遭った企業自体がサイバーセキュリティ対策をおろそかにしていたわけではなく、手口が巧妙化し、その被害を防ぐことが極めて難しくなっているのである。ましてやその対策をほとんど取っていない、被害を想定すらしていない企業を欺くことは極めて容易であろうことは想像に難くない。

そして仮想通貨取引所であるコインチェックによる560億円相当の仮想通貨流出事件である。何者かがコインチェックのサーバに侵入し、大量の仮想通貨を不正に第三者の口座に移動させたのである。口座の所有者を特定することができず、その口座からさらに別の口座へと次々に移動され、別の仮想通貨に交換されるなどして、結局、流出したほとんどすべての仮想通貨が一般に流通、つまり、いわゆるマネーロンダリング(資金洗浄)されてしまった。犯人については捜査が続いており、検挙される可能性があるとはいえ、その仮想通貨自体が戻ることはほとんどなくなったのである。この560億円相当の仮想通貨の実態は、突き詰めると日本国民の資産が大部分であり、それが反社会集団や国際的テロ集団の資金源になっていることも否めない。仮想通貨取引所におけるサイバーセキュリティ対策については十分でなかったとの指摘があるものの、最小限の対策は取っており、それを乗り越えての不正アクセス被害なのである。攻撃元である犯罪者は常に不正アクセスによるコストパフォーマンスを考慮しており、盗み取れる想定額(被害額)が大きいほど、コストをかけて攻撃を行うのである。攻撃方法も日々進化、巧妙化し、コストが急激に下がっていることから、金融機関、大企業のみならず、対策が必ずしも十分でない中小企業は十分その対象になりえるのである。

本稿では、特に中小企業を対象としたサイバー攻撃の実態、およびその最も有効なツールとしてのマルウェア、そして現実的な対策について論ずることとする。

f:id:sky-pca:20191104122450p:plain

IoT(アイ・オー・ティ)、AI(エー・アイ)というアルファベットが新聞記事やニュースで取り上げられて久しい。IoTはすべての「モノ」をインターネットにつなげることによって社会変革が起こるという概念であり、すでにその兆しが現れている。例えば、テレビ録画機(ハードディスクレコーダー等)はインターネットと結ばれ、出張先等で、スマホ(スマートフォン)等を用いて遠隔から録画予約をすることが可能である。また録画された番組をスマホで見ることも可能になっている。これだけでテレビ番組を見るという時間的制約から解放される。すべてがインターネットにつながることによって、時間や場所から解き放たれるだけでなく、そのつながった「モノ」自体が新たな情報を生み出す社会が目前なのである。情報が価値を生み、さらにその価値が「モノ」を生むという循環が新たな産業構造を構築するのである。いわゆるIndustry4.0(インダストリー・ヨン・テン・ゼロ)と呼ばれる第四次産業革命である。AIは人工知能と訳され、その一分野である機械学習と呼ばれる分野での進展は著しく、記憶やその記憶を利用した、一定の規則に従う作業に対しては人間の能力を超えていると言っても過言ではない。

CPS(シー・ピー・エス)はCyber Physical System(サイバー・フィジカル・システム)の略で、サイバー空間とフィジカル空間の連携を超え、さらに融合した社会を目指すシステム(体系)のことである図1 。
フィジカル空間とは人間がその行動を基本に、実体のある「モノ」と接することによって生活している空間である。サイバー空間とは「モノ」ではなく、情報を介して人間が生活する空間である。フィジカル空間は人間が意識を持って社会を形成して以来、数万年にわたる歴史があり、それに対してサイバー空間はたかだか数十年の歴史しかない。これらを融合した社会の実現には課題が山積している。特にサイバー空間の急激な成長は、人間との関わり、そしてフィジカル社会を鑑みたとき、大きなひずみを生んでいる。その一つがサイバー攻撃なのである。

f:id:sky-pca:20191104122509p:plain

フィジカル空間、つまり今までの「モノ」を中心とした社会において、例えば深夜に泥棒が入り、現金や重要書類を盗んでいくということはめったにない。あり得るとしても、その対策や予防方法は十分理解でき、対応可能である。警察や警備会社等を含む社会組織として、それらの脅威を排除できる構造になっているのである。残念ながらサイバー空間はまだまだ成熟しておらず、すべての脅威を排除できるほどにはなっていない。特に脅威に相対する社会としての構造が未熟ゆえ、エンティティ(サイバー社会を構築する機械や、その機械の恩恵にあずかる人間)それぞれが脅威に対して十分な対策を取る必要がある。そしてその最大の脅威こそ、サイバー攻撃なのである。

f:id:sky-pca:20191104122454p:plain

サイバー攻撃について無縁と考える人は少なくないであろう。しかしサイバー攻撃はすべての組織、企業、人にとって身近な存在となっている。IoTの時代には、すべてのモノがサイバー攻撃の対象になり、その中の少なくない数がマルウェア(コンピュータウイルス)に感染している。「情報漏えいの事実はなく、不審なことは起こっていない」と反論する人も少なくないが、それは気づいていないだけなのである。現在のサイバー攻撃は気づかせることなくひそかに活動する。日本年金機構やJTBの個人情報漏えいが世間を騒がせたのは先に記述したとおりであるが、それらの組織は第三者からの通報や、対策を十分にとっているがゆえに犯行が判明したのである。

最も身近で注意すべき攻撃は標的型メール攻撃であろう。「私は標的にならないから。漏れては困る情報もないので……」と考える人も少なくない。しかし、現在の標的型メール攻撃は標的を選ばない。また現在のところ、メールを含めて漏れては困る情報がないとしても、今後、未来永劫ないとは言い切れない。標的型メール攻撃では、その被害に遭ったとしても、いきなり情報が漏えいすることはまれで、バックドアと呼ばれる、いつでも再度遠隔から情報を盗み取る「抜け穴」を作られることもある。数年後、あらためて情報が盗み取られるのである。またパソコン等が遠隔操作され、そのパソコンを踏み台(起点)にし、ほかをサイバー攻撃することもあり得る。その場合、そのパソコンが警察に押収されて長期間戻されず、業務に大きな差し支えが出てくることが考えられる。

サイバー攻撃への対策は、以前から言われているように、まず「OSや利用するソフトウェアのバージョンを最新のものにする」「アンチウイルスソフト(統合セキュリティ対策ソフト)を入れ、その指示に従う」そして「怪しい添付ファイルを開かない」というものである。これで十分であろうか。まず怪しい添付ファイルは誰も好んで開かないであろうし、怪しくないようにメールの内容等を工夫するのが常である。これを見破るのは、そうたやすいことではない。次にアンチウイルスソフトがすべてのマルウェアを見破る(検出する)ことができるかと言えば、大きな疑問である。99%のマルウェアを見破るとしても、100個に1個は見逃してしまう。まったく無防備なパソコンをネットワークにつないだ場合、数分もしないうちに大量のマルウェアが押し寄せ、すぐに感染してしまうとの報告もあり、数百、数千のマルウェアが短時間に押し寄せることは十分想定され、その中の1個でも感染すればサイバー攻撃としては十分なのである。

森井昌克

神戸大学大学院 工学研究科:森井 昌克

大阪生まれ。1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。同年、京都工芸繊維大学工芸学部助手。愛媛大学工学部講師、同助教授、1995年徳島大学工学部教授を経て、現在、神戸大学大学院工学研究科教授。情報セキュリティ大学院大学客員教授。専門は情報通信工学、特にサイバーセキュリティ、インターネット、暗号理論、情報理論等を研究している。また企業等とIT関連、セキュリティ関連製品の開発を担当している。加えて、インターネットの文化的社会的側面、それを基盤としたサイバー(IT)社会、およびビジネス、ベンチャー企業についてテレビ出演、講演会、新聞・雑誌記事等を通して啓蒙、教育活動を行っている。


第16回/企業経営にとって 大きなダメージを与える サイバー攻撃の脅威とは ~ その現実的対策と心構えについて ~(後篇)へ続く