「第1回:なぜ、DX推進にセキュリティが必要なのか?」はこちら>
「第2回:サイバー攻撃の情勢」はこちら>
「コンピュータ犯罪」「ハイテク犯罪」の時代から「サイバー犯罪」「サイバーテロ」の時代へ
半世紀前、大型コンピュータを持つ企業は銀行などの金融機関に限られ、操作する人も限定されていました。コンピュータ犯罪の多くは金銭の詐取を目的としたもので、内部犯行が最初に疑われたものです。ネットワークも専用回線が利用されており、外部から回線を狙った攻撃もほとんどありませんでした。
1980年代にUNIXサーバやPCなどが普及したのに伴い、電話回線を利用したパソコン通信が普及します。すると、サーバに課金コンテンツを入れて電話料金とともに徴収する「ダイヤルQ2」などのサービスを悪用した犯罪も出現しましたし、1990年代以降、インターネットの利用が進むとともにさまざまな犯罪や攻撃が行われるようになりました。
このため、1999年に不正アクセス禁止法、2001年に刑法改正(偽造カード犯に対する厳罰化)、2002年に迷惑メール防止法、2003年に個人情報保護法と、立て続けに法律が制定(改正)されています。
その後も、スマートフォンや無線LANの普及、SNSの多様化、ブロックチェーンを利用した暗号資産(仮想通貨)の登場、IoTやクラウドの普及など新たなサービス・機器の登場とともに、これらを悪用した、または狙ったサイバー犯罪・サイバー攻撃が出現しました。
ITサービスが社会活動の基盤となりインターネットへの依存が高まるにつれ、データの形をした資産を盗み出すだけでなく、サービス機能や業務の継続を阻害・妨害するテロ行為も増加していきました。
インターネットに接続されていないシステムも攻撃対象に
かつて、工場の制御システムには高価なWS(WorkStation)が利用され、UNIXや専用OSにより稼働していましたが、やがてその多くがPCに置き換わりました。
「当社の工場はインターネットに接続していないから、サイバー攻撃は受けない」――そんな過信から最新OSへの更新やマルウェア対策を怠った結果、システム保守業者など外部からの来訪者からマルウェアを頒布されるという被害が発生しています。その多くが、データの奪取・破壊だけでなく機能やサービスの停止も目的としたものです。
インターネットに接続されるセンサーやカメラなどのIoT機器を利用している場合には、それらのソフトウェアを的確に更新する必要があります。特にLinuxで稼働するIoTデバイスの場合、「Mirai」のようなマルウェアに感染し、DDoS攻撃(※)を行うボットネットと化してシステムを機能不全に陥れる攻撃(IDDoS(IoT DDoS)Attack)に悪用されるリスクがあります。
※ Distributed Denial of Service attack:複数のPCから大量データや不正データを送りつけ、攻撃対象のシステムを正常に稼働できない状態に追い込むこと。
企業が新たなサービスを提供したり新しい技術やサービスを利用したりする際には、サイバー攻撃を受けることを前提に、事前の検討やシステム設計を行うことが欠かせません。
何が狙われるのか?~目的と手段~
サイバー攻撃により何が狙われるのでしょうか?
主な目的は、企業などの資産、機密情報や個人情報の窃取、反対に企業活動を妨害するためのシステムやデータの破壊です。
手段として用いられるのがランサムウェアなら身代金の要求、DoS攻撃なら業務やサービスの妨害・停止が攻撃の目的となることが多いようです。システムを乗っ取ってボット化し、他の攻撃目標への踏み台として悪用する、というケースもあります。
企業などのサイトの防御が強固で、クラウドサービスの利用が進めば、外部からの攻撃は難しくなります。このため攻撃者はセキュリティ管理の甘い関連企業の利用者などになりすましてログインしたり、アカウントを奪取して悪用したりといった手法をとります。
特定の企業や組織を執拗に狙う「標的型攻撃」の場合には、関連会社やシステムの開発・保守会社をもターゲットとしたサプライチェーン全体への攻撃が行われるリスクもあります。
先端的な重要科学技術の防護など、経済安全保障の観点からもセキュリティ確保を
「経済安全保障」は、国民生活や経済活動に影響を与えるような特定の重要物資の安定供給を図るための対策で、世界的にもグローバルサプライチェーンの強靭化が求められています。これらの物資の調達や配送、在庫管理などにもコンピュータやネットワークが用いられますし、注文や販売などはインターネットを経由して行われることも多くなっています。
政治情勢が激動する中でも、安定的なSCM(Supply Chain Management)を行うためにDXの推進が求められています。
攻撃者が特定の組織の営業秘密や機微な情報を奪取しようとする場合、ネットワーク越しに攻撃を行っても、境界に設置したファイアウォール(境界型防御)などで阻止されてしまいます。また、インターネットに接続されていない場所に機密情報を保存していることも多く、簡単に奪取することはできません。このため、狙った組織の中に入り込む、あるいはその組織の中にいる職員に働きかけて先端技術に関する情報を入手する、という手段もとられます。
科学技術の発展に関しては、国の「統合イノベーション戦略」や「骨太方針」でも、外国人研究者の雇用促進、高度外国人材の受け入れなどが推進されています。反面、我が国の高度で重要な科学技術が意図せず海外に流出してしまうことを避けるため、安全保障上の防護も求められます。機微な情報を保護するためには、組織内部の情報の管理を的確に行う必要があります。その1つの手段として、情報の秘密度に応じたラベルを情報に的確に付与し、外国人などの部外者が企業秘密を勝手に外部に持ち出したり送信したりすることを防ぐシステム、DLP(Data Loss Prevention)があります。
いったん攻撃対象の組織の内部に入り込み機微な情報にアクセスできる状態にあれば、外部にそのデータを送信することも容易です。紙の資料や図書を勝手に持ち出す「産業スパイ」ではなく、普段は真面目な外国人研究者や留学生が、外部へデータを送信したり、データを改ざん・消去し、システムを破壊したりする――このようなリスクに対しても、防御が求められます。
羽室英太郎(はむろ えいたろう)
一般財団法人保安通信協会 保安通信部長(元警察庁技術審議官、元奈良県警察本部長)
1958年、京都府生まれ。1983年、警察庁入庁。管区警察局や茨城・石川県警などでも勤務、旧通産省安全保障貿易管理室(戦略物資輸出審査官)、警察大学校警察通信研究センター教授などを経験。1996年に発足した警察庁コンピュータ(ハイテク)犯罪捜査支援プロジェクトや警察庁技術対策課でサイバー犯罪に関する電磁的記録解析や捜査支援などを担当。警察庁サイバーテロ対策技術室長、情報管理課長、情報技術解析課長などを歴任し、2010年12月からは政府の「情報保全に関する検討委員会」における情報保全システムに関する有識者会議の委員も務めた。2019年より現職。著書に『ハイテク犯罪捜査の基礎知識』(立花書房,2000年)、『サイバー犯罪・サイバーテロの攻撃手法と対策』(同,2007年)、『デジタル・フォレンジック概論』(共著:東京法令,2015年)、『サイバーセキュリティ入門:図解×Q&A【第2版】』(慶應義塾大学出版会,2022年)ほか。