PR
JPCERTコーディネーションセンター 経営企画室 業務統括 伊藤友里恵氏
JPCERTコーディネーションセンター 経営企画室 業務統括 伊藤友里恵氏
[画像のクリックで拡大表示]

 「現在のインシデント*は,金銭や重要情報の取得を目的とした犯罪になっている。企業や組織が狙われた場合,技術者だけでは対応できない。万一に備えて,経営層などを含めた対応チームを作っておくことをお願いしたい」――。セキュリティ組織であるJPCERTコーディネーションセンター(JPCERT/CC)経営企画室 業務統括の伊藤友里恵氏は11月21日,日経BP主催「IT Service Forum 2006」の特別講演において,インシデントの現状などを解説した(写真)。

*インシデント:ここでは,コンピュータ・セキュリティに関する事件・事故のこと。

 伊藤氏は最近のインシデントの傾向として,「“高度な”ソーシャル・エンジニアリング的な手法が増えている」ことを挙げる。ソーシャル・エンジニアリング的な手法とは,「人間の脆弱性を突く」(伊藤氏)詐欺的な攻撃手法のこと。

 「例えば,関係者からに見せかけたメールにマルウエア(悪質なプログラム)を添付して,攻撃対象に送りつける。この際,攻撃対象のユーザーを信用させるために,事前に取引先企業や所属部署を調べ上げて,それらの情報をメールの送信元や本文に使用する。攻撃対象となるユーザーの上司や部下の名前,参加しているミーティングの名称などが使われる場合もある」(伊藤氏)。

 攻撃対象の“局所化”も最近の傾向だという。ある組織に対して使った攻撃手法(マルウエア)は,ほかの組織には使わない。「多くの組織に対して一種類の攻撃手法を使うと,検知や対策が容易になる」(伊藤氏)からだ。こういった攻撃は「Targeted Attack(スピア攻撃)」と呼ばれ,「検知しにくく表面化しにくいので,攻撃の全容を把握しにくい」(同氏)。攻撃を受けても気づかないケースが少なくないという。

 攻撃者の目的は,「金銭や重要情報」(伊藤氏)。以前のような愉快犯ではなく,“純粋な”犯罪行為になっているという。その背景には,容易に入手できる攻撃用ツールと,盗んだ情報を手軽にお金に代えられるマーケットの存在がある。「攻撃に必要なリスクとコストは,入手できる情報価値と比較すると圧倒的に小さい。少ないリスクで大きな見返りを期待できるのが現状だ。この状況を変えない限り,インシデントは減らない」(同氏)。

 そこでJPCERT/CCでは,攻撃者のリスクやコストを“底上げ”する活動を展開している。例えば,インシデントを検知するための情報や対策に関する情報をWebサイトなどで提供している。インシデントに悪用される脆弱性(セキュリティ・ホール)を減らすために,開発者などに脆弱性を通知して対策を促す「脆弱性ハンドリング」もおこなっている。ユーザーに対して,セキュリティの啓発活動なども実施しているという。

 伊藤氏は,企業や組織もインシデントに対する備えが重要であると訴える。具体的には,冒頭で書いたように「組織内CSIRT(組織内コンピュータ・セキュリティ・インシデント対応チーム)」の構築を呼びかける。「JPCERT/CCでは組織内CSIRT構築の支援をするので,ぜひ声をかけてほしい」(伊藤氏)。そのほか,発生しているインシデントを把握することや,身の回りの人にセキュリティに関して啓発することの重要性も強調した。