セキュリティ対策は企業の社会的責任に！―「サイバー・ハロウィン キャリアトーク」イベントレポート

内閣サイバーセキュリティセンター（NISC）と在日米国商工会議所（ACCJ）は、2016年10月31日に「サイバー・ハロウィン キャリアトーク」と題したイベントをベルサール秋葉原で開催した。このイベントは、若手のサイバーセキュリティ人材の育成の重要性を訴えるために開催され、前半はサイバーセキュリティの現状についての講演、後半はライトニングトークとテーマに分かれての分科会が行われた。今回は、前半の様子をレポートする。

サイバーセキュリティ人材の育成が急務に

内閣官房内閣サイバーセキュリティセンター

副センター長の三角育生氏

最初に、内閣官房内閣サイバーセキュリティセンター副センター長の三角育生氏が登壇。スマホやIoTの普及により、インターネットの利用が誰にでも当たり前になる反面、サイバー空間の危険が増えている現状について、昭和40年台の自動車の急増による交通戦争の状況に例えた。交通戦争は、自動車側のテクノロジーの向上と利用者の交通安全意識を高めることで、交通事故による死者が激減することに成功した。三角氏は「ITの世界も同様で、技術の発展による対策と、個人の対策の両方からのアプローチが必要である」と訴えた。国も、サイバーセキュリティに少しでも関心を持ってもらえるように、話題のアニメとのコラボした広報や、スマホゲームアプリ利用の注意喚起などの活動を積極的に行っていることを紹介した。

続いて、在京米国大使館エミリー・ヒックス氏が登壇。セキュリティ人材には、物理、ネットワーク、サーバ、Web、プログラミング、人材マネジメントなど様々なスキルや知識が必要なことを指摘した。米国では、大学や大学院でサイバーセキュリティについて専門的に学べるようになっており、留学のためのプログラムがあることを紹介した。セキュリティの専門家が職業として成り立てば、サイバー空間を守る人が増え、継続的な成功になることを伝え、次世代の人材育成に期待を寄せた。

マーケティング戦略もバッチリ!?最近のサイバー攻撃の実情

筑波大学非常勤講師・マイクロソフト株式会社

の蔵本雄一氏

そして、今回のメインプログラムとなるのが、筑波大学非常勤講師であり、マイクロソフトの蔵本雄一氏による「サイバー攻撃を見て知って正しく怖がろう」と題した講演だ。タイトルにもある「正しく怖がる」というのは、攻撃する相手のことを知り、攻撃を防ぐ対策をすることを指す。「スポーツの世界でも対戦相手の研究が重要なように、サイバーセキュリティでも相手を知り、相手が嫌がる対策をすることが有効だ」という。

かつてサイバー攻撃を仕掛ける人の動機は、技術の誇示、承認欲求だと言われていたが、現在はシンプルに「お金がもうかる、ビジネスになる」ことから攻撃を行っていると蔵本氏は指摘する。典型的な例が今年話題になった不正プログラム「ランサムウェア」だ。ランサムウェアが実行されるとコンピュータのファイルが暗号化されて利用できなくなる。暗号化されたファイルを元に戻す（復号する）ためには鍵データが必要で、攻撃者はその鍵を有料で販売しているのだ。

ランサムウェアの場合、購入サイトがWebマーケティングのポイントを押さえて作られていると蔵本氏。支払いはビットコインだが、支払い期限がカウントダウンされており、期限が来ると金額が倍に、さらに次の期限が来ればさらに倍になるというフラッシュマーケティングの手法が取り入れられている。さらに1ファイルは無料で復号でき有効性を確認できる、という「フリープランの提供」、そしてお問い合わせフォームやFAQなどの「サポート」もバッチリ用意されている。まさに、攻撃がビジネスになっていることを実感する例であろう。

サイバー攻撃の費用対効果は1425％。この投資効率をいかに下げるかがこれからのセキュリティ対策

ランサムウェアの場合は、ファイルの復号をビジネスにしたが、サイバー攻撃の主な稼ぎ方としては、銀行のフィッシングサイトなどを使って直接アカウントを盗み金銭を奪うもの、機密情報を売るもの、そしてPCの操作権を奪うものがある。PCの操作権を奪われると、PCを乗っ取られて遠隔操作され、攻撃の踏み台に使われてしまうため、結果として攻撃者のビジネスに加担してしまうのだ。踏み台に使われてしまえば、被害者でありながら加害者になってしまうことから、セキュリティ対策を施しサイバー空間を守ることは「企業の社会的責任である」と蔵本氏。

攻撃者が常に新しい攻撃方法を考えている中、攻撃を全く受けないように対策することは不可能だ。むしろ「攻撃、侵入前提の対策が必要」と蔵本氏は強調する。

蔵本氏は衝撃的な数字として「攻撃者は1425％の費用対効果がある」と紹介した。儲かるから攻撃に投資するわけで、「企業は攻撃の費用対効果を下げる」対策をすることで、攻撃を減らせるという。

費用対効果を下げる対策として、蔵本氏は米国の国立標準技術研究所（NIST）の対策の考え方である、防御力向上、検知分析、被害軽減、事後対応の4つをあげた。1つ目の防御力も重要だが、被害を小さくするためには、特に攻撃されたことをすぐに検知すること、被害軽減すること、事後対応の3つが重要だという。

たった1台のPCからシステム全体が乗っ取られるまでは48時間

蔵本氏は、企業がまずは対策するべきものとして、PCの保護、IDの保護、データの保護を上げた。というのも、最近のサイバー攻撃では、1台のPCがマルウェア感染した後、ネットワーク上につながっている他のPCが続々と乗っ取られてしまうことがあるからだ。デモで、マルウェアが添付されたメールを開いた1台のパソコンから、他のパソコンに被害が水平拡大していく様子が紹介された。

攻撃の流れとしては、マルウェア感染した1台のPCで、ログインできるIDとパスワードを取得するプログラムが実行される。ネットワークで繋がった別のPCに対して、盗んだIDのリストでログインを試みると、そのうちの一つがマッチして、アクセスされてしまう。企業では、従業員用のPCに同じ環境を構築するために情シス担当者やベンダーが共通でログインできるIDを作っておくことがあるが、このIDを奪われてしまったがために、他の端末もすべて乗っ取られてしまったのだ。

さらにデモでは、端末内にある機密情報のファイルが読み取られてしまう。ファイルにパスワードをかけて対策していたとしても、今の技術では、0.2秒程度でパスワードが解読されてしまうので、ファイルにパスワードをかけるのはもはや対策としては有効ではない。

現実では、すでにデモで紹介したような攻撃への対策はされているというが、企業は常にこうした攻撃にさらされているという現状を認識する必要がある。実際マイクロソフトの調査では、1台のPCが感染してから、サーバが乗っ取られるまで平均24時間、システム全体が乗っ取られるまで平均48時間というデータがあるという。

だからこそ、まず攻撃されたことを検知できる仕組みを作る、被害軽減のためにデータのバックアップなどの対策をする、さらに事後対応としてバックアップデータからの復旧という攻撃後の対応をすることが重要になると蔵本氏は講演を締めくくった。

セキュリティ人材は、現状のサイバーセキュリティ攻撃を正しく理解し、攻撃をゼロにするのではなく、適切に対応することが求められる。今一度、自社のセキュリティ対策を見直してみてはどうだろうか。