手軽で強力なクラウド型Webセキュリティサービス「SPS」

ソフィア総合研究所 ディレクターの阿部知子氏

「WAF/DDoSの機能を備えたSaaS『Sophia Protective Shield(SPS)』」と題して講演を行ったのは、ソフィア総合研究所のディレクター、阿部知子氏だ。講演では、同社が提供するクラウド型のWebセキュリティサービスである「Sophia Protective Shield(SPS)」について詳しい解説が行われた。

SPSは、脆弱性の検知・調査からセキュアコーディングによる対策、そして監視・運用までトータルでサポートすることができるサービスだ。アプライアンス製品の導入と比べてコストや時間、さらにはスタッフのスキルセットの負担が圧倒的に少ないのが特徴である。

阿部氏は、「月単位での利用も可能なので、期間を限定して公開するようなWebサイトでも安心して導入することができる」とその優位性をアピール。SQLインジェクションやXSSといった攻撃をSPSでいかに防御するについて、デモを用いて解説した。

図研ネットウエイブ マーケティング部 ビジネス推進課の久保祐人氏

阿部氏に続いては、図研ネットウエイブ マーケティング部 ビジネス推進課の久保祐人氏が、「Sophia Protective Shield (SPS) 導入の心得」というテーマで登壇。SPSの料金プランをはじめとして、効果的な導入方法などを紹介した。

アノニマスの実態に迫る!

そして最後の講演では、NTTデータ先端技術の辻伸弘氏が「what is anonymous」と題して登壇。日本屈指の"アノニマス通"として知られる同氏が、知られざるアノニマスの実態について、ネットでの同氏による観察をベースに明らかにした。

そもそもアノニマスとは、米国の画像投稿などを行う掲示板である「4CHAN」から発祥したものだという。辻氏は、「現在のアノニマスに近いスタイルを持つようになったのは、2008年頃ではないか」との見解を示した。この頃に彼らはサイエントロジーへの抗議行動を開始。その後、合法的にデモを行う一派とDDoS攻撃など非合法な攻撃を行う一派へと分かれ始めたのである。

攻撃を仕掛ける方の一派は、2010年9月と12月には「Operation Payback」と称し、ウィキリークスへの送金停止に抗議してクレジットカード会社などにDDOS攻撃を展開。翌1月には「Operation Tunisia」、「Operation Egypt」の名の下に活動を行った。

さらに2011年2月、米国のセキュリティ会社HBGary Federalとの争いが始まる。きっかけとなったのは、同社がインターネット上の情報だけで個人をどこまで特定できるかという実験を行うのに先立ち、アノニマスをターゲットにすることを宣言したことだった。アノニマスは同社に対し、DDoSにとどまらず、SQLインジェクションやメールを盗んで公開するなど激しい攻撃を展開。最終的にはHBGaryが実験停止を宣言することで事態は終息した。

NTTデータ先端技術の辻伸弘氏

そして2011年4月、ソニーをターゲットとした「Operation Sony」が実施される。その原因は、プレイステーション3のlinux化に関する情報公開に対して、同社が法的手段に出たことだった。

辻氏は、「PSNにDDoS攻撃を行ったのはアノニマスだが、その後の情報漏洩事件については犯人は不確定だ」との見解を述べた。また同氏は、アノニマスについて「リーダー不在でフラットなメンバーで組織された掴みどころのない個人集団」との認識を示した。

今年6月にアノニマスが行った財務省国有財産情報公開システムの改竄や自民党や民主党、JASRACなどへの一連の攻撃は、「Operation Japan」と名付けられていた。その攻撃の多くはDDoS攻撃と既知の脆弱性への攻撃を組み合わせたものだっという。

こうした事由について辻氏は、「なんともお粗末な事件と言っていいだろう。DDoS攻撃はともかくとして、改竄などは未然に防げたはずだ」と厳しいコメントを発した。

そして同氏は、アノニマスなどからの攻撃への日頃の対処法について、「専門家の意見を聞いたりセミナーなどに出席して自分で情報を集め、今何が起きているのかを知ることが大事。必要以上に怖がったりすることはないので、普段からやるべきセキュリティ対策をしっかりと地道に行うよう心がけて欲しい」とのアドバイスを残して講演を終了した。