新型コロナが問いかけるサイバーセキュリティの許容限界点！（1）

2021年2月10日 16:02

ツイート

明治大学ビジネス情報倫理研究所客員研究員　守屋英一氏

　企業や組織には、多くの機密情報や個人情報などが保管されているため、システムに不具合が生じ、サービスが停止してしまうと、社会に大きな影響を与えることがある。企業や組織はこれまで当然の責務として、セキュリティ対策における「ゼロリスク」に向けて走り続けてきたが、新型コロナウイルス感染拡大でリモートワークが進み、その風景は一変した。企業が「許容の限界」を真剣に考え始めているサイバーセキュリティ対策について、明治大学ビジネス情報倫理研究所客員研究員の守屋英一氏に聞いた。

現在の攻撃は、その多くが過去にあった攻撃の焼き直しである

　――コロナ禍にあった2020年のサイバーセキュリティ事情を振り返ってください。

　守屋　サイバー攻撃に関しては、目新しい攻撃手法も出ておらず、ここ数年は大きな変化もなく今までの基本技術を応用したものがほとんどです。例えば、昨年の最大のインシデントには、マイクロソフトのブラッド・スミス社長が過去10年で最も深刻なサイバー攻撃の１つと語ったとされる「ソーラーウィンズ事件」があります。この事件では、実際に情報資産が損なわれてしまいました。

　この事件では、ネットワーク・マネージメント・ソフトウェア開発の米企業ソーラーウィンズが提供し、米国政府機関や大企業などで広く使われているネットワーク管理ソフト「Orion Platform」を導入している企業が、ロシア由来と見られるサイバー攻撃に遭いました。内部情報などを盗まれたことが、20年12月13日に明らかになりました。

　ソーラーウィンズの製品開発部門がクラッカーに侵入されたため、不正なコードを埋め込まれた製品が気付かれないまま、アップデートなどで顧客企業・機関に配布されました。同社の製品販売先には、米国の国務省、商務省、財務省、疾病対策センター（CDC）、連邦捜査局（FBI）やフォーチュン500のうち425社（マイクロソフト、シスコなど最高レベルのセキュリティ対策がなされている多数の企業を含む）が被害を受けたと考えられています。

　しかし、この攻撃手法は特に目新しいものではなく、13年3月20日に起きた「韓国サイバー攻撃」と技術的にはそれほど大きな変化はありません。この時も韓国を代表する多くの主要組織、韓国放送公社（KBS）、文化放送（MBC）、YTN（ニュース専門TV局）、農協、新韓銀行、済州銀行などのシステムが使えなくなり、銀行ATMやモバイル決済などに大きな被害が出ました。攻撃で使われたマルウェアは「Dark Seoul」と呼ばれるもので北朝鮮の関与が疑われました。

　現在、行われている攻撃は、その多くが技術的には過去の攻撃の焼き直しであり、攻撃手法も防御対策も、ある意味では成熟、飽和しつつあります。

ウイルスは多機能になり、感染の発見が困難に

　――マルウェアなど、コンピュータウイルスに関してはどうですか。

　守屋　コンピュータウイルスは1997年頃から発生、その届出件数は、2005年には5万4,174件と過去最多の件数を記録し、それ以降は減少していると言われています。しかし、その実態は発生件数が減ったというより、成熟期に入り、感染を見つけるのが難しくなりました。初期のウイルスは、変異を頻繁に繰り返す現在のウイルスとは違い、見つけやすかったとも言えます。

　また、初期のウイルスは、受信者の意向を無視して一方的に迷惑メールを送り付ける「スパムメール」、実在する金融機関や企業などを装った偽のウェブサイト「フィッシングサイト」など単一的な機能でした。人間の身体で例えると、目に感染するウイルス、肺に感染するウイルスなど1つの機能しかもっていませんでした。しかし、05年以降のウイルスはパッケージ化されており、目、肺、胃、心臓など身体のいずれの部分にも影響を与えることが可能です。侵入後も、外部からの遠隔操作で変異させることができるのはもちろん、PC内のファイルを盗み見るなどの機能も、もっています。

ランサムウェアも「暗号化」から「秘密情報公開」に進化

　守屋　たとえば、悪意のあるプログラム（マルウェア）の一種で、感染したコンピュータを暗号化するなど、正常に利用できないような状態に置き、復元のために犯人への金品の支払いを要求する「ランサムウェア」があります。

　ランサム（身代金）の搾取が目的であり、今までは「暗号を解いてあげるから、身代金を払いなさい」というものでした。しかし、重要でないデータの場合は諦めれば問題なく、重要なデータでも社内でバックアップをとっていれば問題はなかったため、要求に応じたのは人命に関わる医療機関など限られたところで、犯人は思うように身代金を搾取できませんでした。一方、現在では、侵入した後に暗号化するだけでなく、相手の「秘密情報」「顧客情報」などを盗み出し、「公開されたくなかったら身代金を払え」に変わりました。秘密情報、顧客情報の公開となると、泣き寝入りだけでは済まないからです。

　私は16年の月刊『文藝春秋』7月号において、「ランサムウェアのように単にデータを見られなくするだけでなく、情報を盗んで『公開されたくなければ、金を払え』と『公開」を脅迫の種にする、さらに厄介なウイルスも登場するかもしれません」と警告しています。警告から約4年後の20年11月に、大阪のゲームソフト会社のカプコンは同種の悪質なランサムウェアから、「身代金を支払わないと秘密情報を公開したり第三者に販売したりするぞ」と脅迫を受けました。

　コンピュータウイルスも、技術的には目新しいものは出現していません。作る側も防御する側も、限界を感じ始めているのではないかと思っています。

（つづく）

【金木　亮憲】

＜プロフィール＞
守屋英一氏（もりや・えいいち）
　2016年中央大学大学院・経営修士（専門職）課程修了。07年日本アイ・ビー・エム（株）に入社。セキュリティオペレーションセンター運用責任者、IBM Computer Security Incident Response Team（CSIRT）Forensic analystを経て、15年内閣官房上席サイバーセキュリティ分析官、18年から自動車会社勤務、現在に至る。
　シーサート協議会専門委員及びインシデント事例分析WG主査、明治大学ビジネス情報倫理研究所客員研究員を兼任。著書として『フェイスブックが危ない』（文藝春秋）、『サイバーセキュリティ』（共著、NTT出版）、『ネット護身術入門』（朝日新聞出版)など多数。12年度JNSA表彰個人の部を受賞。14年～15年Microsoft MVP for Consumer Securityを受賞。