中南米のCSIRT、サイバーセキュリティ被害の実態とは？

JPCERT/CC 国際部リーダ内田有香子氏

JPCERT/CCはこのほど、中南米各国のCSIRTやサイバーセキュリティに関わる体制、サイバーセキュリティの被害などをまとめた「2018 年度中南米 CSIRT 動向調査」を公開した。

JPCERT/CC 国際部リーダの内田有香子氏は、同レポートを手掛けた理由について、「中南米諸国とはインシデントが発生した時の連携の実績はあるが、欧米やアジア諸国に比べて、顔の見える付き合いが少なかった。また、中南米各国のCSIRTやサイバーセキュリティに関わる体制などについて日本語で書かれた資料が少なかったことから、JPCERT/CCで調査をすることにした」と語った。

レポートのタイトルに「中南米」と入っているが、今回、調査対象となったのはメキシコとブラジルだ。両国が選定された理由は、「インシデント対応の連携実績」「経済規模」「サイバーセキュリティの組織体制、法制度、技術などが整備されている」といったことがある。内田氏は、メキシコとブラジルに足を運び、現地での調査を行った。

中南米全体としては、「OAS(The Organization of American States ：米州機構)」と「LACNIC(Latin American and Caribbean Internet Address Registry)」といった組織によって、連携が行われているという。

メキシコでは、政府組織体制として、Secretaría de Gobernación（以下、内務省）の傘下の Comisión Nacional de Seguridad（国家保安委員会）の傘下に設立された Policía Federal（連邦警察）の División Científica（科学部門）が、サイバーセキュリティ政策を所掌している。また、防衛省配下の軍（陸軍、海軍）にも国防の観点からサイバーディフェンスを担う部門が存在する。

メキシコのサイバーセキュリティ政策に関わる政府機関組織　資料：2018 年度中南米 CSIRT 動向調査

2017年には、サイバーセキュリティに関する政策として、「National Cybersecurity Strategy」において、戦略目標、基本原則、横断的な活動軸が定義されている。

National Cybersecurity Strategyの記載内容　資料：2018 年度中南米 CSIRT 動向調査

法制度においては、連邦刑法にサイバー脅威に関する章が含まれ、不正アクセスによって情報変更・破棄・紛失させることが禁じられている。また、連邦警察が国家レベルさサイバー犯罪を調査する責任を負う。

主要なCSIRTとしては、National CSIRTであるCERT-MX、民間CSIRTのSCITUMCERT、学術系CSIRTのUNAM-CERTが活動している。警察直下に置かれているためか、CERT職員が犯人捜査や証拠の差し押さえ、被疑者逮捕の権限を持っている。内田氏は、「CERT-MXは連邦警察科学部門の傘下に属しているが、CSIRTが警察の直下に置かれているのは初めて見た」と語っていた。

内田氏がCERT担当者にメキシコの深刻なセキュリティの脅威を聞いたところ、「フィッシング」「SNSが関連した犯罪(リベンジポルノ、児童ポルノの売買など)」「重要インフラに対する攻撃」という回答があったという。