内閣官房内閣サイバーセキュリティセンターと在日米国商工会議所は10月31日、学生や若手社会人を対象にしたセキュリティイベント「サイバー・ハロウィン キャリアトーク」を開催した。筑波大学非常勤講師の蔵本 雄一氏による基調講演「サイバー攻撃を見て知って正しく怖がろう」の様子をお伝えする。
「侵入」を前提としたサイバー攻撃対策を
蔵本氏は冒頭、サイバーセキュリティの考え方について「相対する敵がいるため、相手を研究することが重要」と語り、攻撃者がどのような意図で攻撃を行っているのか分析し、そこから「彼らが嫌がる防御策」を考えることが重要と説く。
例として蔵本氏が挙げたのは、昨年から今年にかけて猛威を振るっている「ランサムウェア」。この手口について「ファイルを暗号化したから金を支払え」という高圧的な手法をイメージしがちだが、実際には「本当に金を払えば復号化できる」と思わせるため、「お試しで1ファイルだけタダで復号する」という手口を用いるケースがある。
また、「支払い(bitcoin)のやり方」「よくある質問」などのチュートリアルも用意して「並のシェアウェア以上に丁寧な対応」(蔵本氏)を行い、心理的に金銭を支払うように仕向けている。
数年前まで「サイバー犯罪」と言えば威力誇示が主な目的となっていたが、現在はランサムウェアをはじめとしてお金儲けにシフトしている。こうした状況を踏まえた対策としては、サイバー犯罪を抑止するために「犯罪を成功させるためのコストを上げ、うまみ(利潤)を減らす」ことが重要になる。
ただし、「金銭の支払い」だけが彼らの攻撃理由ではないと蔵本氏は指摘。例えば、会社の財産である機密情報や知的資産(IP)もブラックマーケットで金銭に換えられるほか、脆弱なセキュリティ体制の企業のPCを「踏み台」にする遠隔操作マルウェアを送り込む例もある。これらの攻撃はセキュリティソフトが侵入を検知できず、「すでに侵入されていた」という事後検証の結果が出ることも多い。
![]() |
![]() |
マルウェアと言っても以前は自己顕示や技術力の誇示という個人犯から金銭を目的とした組織的なものに変化した |
すでに9割の企業は侵入されているとの調査結果も。侵入に気付くまで8カ月かかる理由は「アンチウイルスのパターンファイルに引っかからないため」 |
では、この時代に即した「セキュリティ対策」とは何か。蔵本氏は、従来のセキュリティ対策が「防御力向上:やられないようにする」にフォーカスしていたのに対して、「検知分析:やられていることをすぐに検知する」や「被害軽減:やられても被害を小さくする」「事後対応:やられた後でも、情報を保護する」といった侵入前提の対策を中心に据えるように指南する。
「車に例えると、いくら安全に運転していても、予期せぬもらい事故は防げない。そのためにも、シートベルトを締めて、エアバックの点検が必要。これと同じように、サイバー攻撃でも『どのように被害を最小限に食い止めるか』を議論する必要がある」(蔵本氏)
この最新のセキュリティ状況を反映した対策としては「着弾点となるPCの保護」と「攻撃拡大の要因となるIDの保護」「第三者が読めないようにデータを保護」の3点が重要であるとまとめていた。
※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。
もっと知りたい!こちらもオススメ

【連載】 この人に聞きたい! 辻伸弘のセキュリティサイドライト 【第4回】女性エンジニアの増加は女性自身の手で - NTT研究員が「CTF for GIRLS」を立ち上げた理由
第4回はセキュリティ技術を競う「CTF(Capture The Flag)」をベースに、女性セキュリティエンジニアのコミュニティ形成を目的とした「CTF for GIRLS」を立ち上げ、女性向けCTFワークショップやCTF大会の開催を行っている日本電信電話(NTT) セキュアプラットフォーム研究所の中島 明日香氏との対談です。
関連リンク
ダウンロードBOXに入れる
記事をダウンロードBOXに追加します。よろしいですか?
ブックマーク
記事をブックマークに追加します。よろしいですか?
-
[2021/01/15 08:00] サーバ/ストレージ
-
[2021/01/14 09:00] 開発ソフトウェア
-
$side_seminar_count = $i+1; ?>
-
1/26(火)15:00~17:00
予期せぬ攻撃にも動じないために「セキュリティレジリエンス向上の具体策」
$side_seminar_count = $i+1; ?>
-
1/27(水)15:00~16:50
Kubernetes時代のインフラ構築指針~オンプレミス回帰のその先へ~
$side_seminar_count = $i+1; ?>
-
2021年1月27日(水)14:00~15:00
DXの実現につながるビジネスモデル「サブスクリプション」 実現・運用・収益化のコツ
$side_seminar_count = $i+1; ?>
-
2021年1月27日(水) 13:30~15:30
Palo Alto Networks Forum vol.5 Virtual
$side_seminar_count = $i+1; ?>
-
2021年1月28日(木)11:00~17:30
建設業界のDX促進の方法論 ~安全・安心を維持し事業改善を~
今注目のIT用語の意味を事典でチェック!