犯罪のプロによる攻撃が増加傾向に

「セキュリティ攻撃の全般的な傾向として、職業的な犯罪が増えています。彼らの特徴は、攻撃の事実が長期的に露見しないことを狙いつつ、かつコストパフォーマンスの高さを重視するということです。これまでセキュリティ攻撃の主な犯人だった愉快犯は存在感が相対的に希薄化していますね」と語るのは、サイバー大学の専任准教授である園田道夫氏だ。

サイバー大学 専任准教授 園田道夫氏。来年1月18日に開催される「標的型メール攻撃からみる企業の電子メールセキュリティ対策セミナー~標的型攻撃・誤送信・情報漏洩対策から運用までのステップ~」で、情報漏洩に関する講演を行う

園田氏はIPA(情報処理推進機構)ではセキュリティセンター 情報セキュリティ技術ラボラトリーの研究員として、企業向けセキュリティセミナーの講師も担当しており、セキュリティ業界の最新動向には詳しい。そんな同氏が実感しているのは「ITの進化に伴う攻撃者の変化」だという。

「これまでセキュリティ攻撃を仕掛けるのはITに詳しく高い技術を持ったハッカー(クラッカー)と呼ばれる人々でした。技術を持たない攻撃者は彼らの助けを借りる必要がありました。この関係が変わってきたことが、現在の状況につながっています」と園田氏は指摘する。

従来のハッカーは攻撃可能な独自技術を持っていても、それを売ることができずにいた。なぜなら、技術を欲しがる組織犯罪者にうっかり関わると命を失うリスクもあるからだ。一方で、犯罪者はセキュリティ攻撃に必要な技術を手に入れるためにハッカーとつながる必要があったが、技術の精度を見極めることは難しいことに加え、ハッカーに与えてしまった犯罪に関する情報を秘匿させなければならない課題を抱えていた。

こうした事情から、結果としてハッカーと犯罪者が手を組んで長期的に犯罪を行うという例はそれほど多くなかったわけだ。

しかし近年、PCやインターネットが簡単かつ自由に使えるようになった。つまり、犯罪者側に最低限の技術が身についたわけだ。そしてハッカー側も身の安全を守るため、実際に接触することなく犯罪に利用できるツールを販売できる仕組みを整備した。その結果、両者の間でやり取りされるのはツールとそのコストだけとなり、互いに命や情報をさらす必要がなくなったのだ。

「攻撃ツールの中にはサポートがついているものまであります。犯罪も分業化が進み、小さなリスクで安価に行えるようになったわけです。これに伴い、政治的なスパイや産業スパイが攻撃の手段としてITを採用するようになったのでしょう」と、園田氏は標的型攻撃が増加している要因を分析する。

標的型メール攻撃対策だけでは不十分

最近、標的型メール攻撃は報道などで大きく取り上げられており、攻撃に使われたメールを目にしたことがある人もいるだろう。実は犯罪者にとって、そのメールが晒されることに大きなデメリットはないようだ。

「1度の攻撃で中央の重要な情報につながるとは、犯罪者も考えていないでしょう。企業内の外部と情報をやり取りする必要がある部署に攻撃を仕掛け、少しでも情報が得られたらそれを材料に新たな攻撃を展開するのです。初回のメール攻撃など『バレてもよい』くらいの気持ちでやっているのでしょうね」と園田氏は語る。

つまり、企業が情報を守りたいならば、メールの回りだけを固めて済む話ではないということだ。園田氏は、情報を守ること全体に目を向ける必要性を指摘する。

例えば、「外出先でモバイルツールから業務を行っている時に画面をのぞき込まれていないか」、「書類がきちんとした形で処分できているか」、「電話で不用意に情報を漏らしていないか」といったことにも注意を払う必要があるわけだ。ソーシャルなセキュリティにまで目を向け、いか重要な情報に対するアクセスコントロールを実現するかがポイントだ。

「ベンダーはメールセキュリティに取り組んでいますが、守る側はどうしても後追いになってしまいます。ISMSといったセキュリティの仕組みを取り入れることが有効でしょう」と園田氏は語った。

企業カルチャーを踏まえたコンサルティングが不可欠

園田氏は、企業で導入が進んでいるスマートフォンについても危険性を指摘する。特にAndroid搭載スマートフォンは、まだ発展途上のデバイスということもあり、リスクが高いという。

「Android搭載スマートフォンでは、OSに食い込んだところまでアプリが干渉できますから、悪意あるアプリが登場するリスクは大きいでしょう。企業において、紙書類やノートPCの扱いはある程度確立されているのに対して、スマートフォンは扱い方が決まっていないのが不安ですね。MDM(Mobile Device Management)も十分な機能がある製品を導入できている企業は少なく、スマートフォンの管理は今後数年かけて取り組まなければならない分野です」と園田氏。

日本企業は概して、IT製品を導入するに際し、とかく同業他社の導入状況を気にしがちだが、そうした考え方に園田氏は疑問を投げかける。

「セキュリティ対策を講じる際、企業のカルチャーを含めたコンサルティングを受けなければ意味がありません。成功事例に横並びしようという姿勢は失敗のもと。『カンニング』で済ませようとせず、自社の守るべき情報と特性、カルチャーをしっかりと見据えて、専門家のコンサルティングを受けるべきでしょう」

園田氏は、マイナビニュースが来年1月18日に開催する「標的型メール攻撃からみる企業の電子メールセキュリティ対策セミナー~標的型攻撃・誤送信・情報漏洩対策から運用までのステップ~」において、情報漏洩の最新動向について講演を行う予定だ。そこでは、さらに詳細な事例とともに、最新の脅威への対処策のヒントが得られるだろう。自社のセキュリティ対策に不安を感じている方は同セミナーに参加されてはいかがだろう。