IoTを狙うサイバー攻撃への対抗策を習得せよ! - セキュリティ・ミニキャンプ in 東北

情報処理推進機構（IPA）は11月17日、18日、岩手県盛岡市にて「セキュリティ・ミニキャンプin東北（盛岡）」を開催した。情報セキュリティに興味・関心のある若者の発掘・育成を目的に、年に1回東京で実施される「セキュリティ・キャンプ全国大会」に対し、その小規模版とも言えるミニキャンプは毎年、地方数カ所で開催される。東北地方での開催は、福島県会津若松市、宮城県仙台市、青森県青森市に続いて4回目だ。

本稿では、17日に行われた一般講座、18日に行われた専門講座の模様をダイジェストでお届けしたい。

会場からは岩手山を望むことができた

フィッシングメールになぜ引っかかるのか?

初日のオープニングでは、経済産業省の和田純典氏が登壇。「IoTの普及により、さまざまなものがネットワークにつながり始めた今、そこから得られた膨大なデータを人工知能が解析し、社会課題の解決や産業競争力の強化を図ろうという取り組みが既に始まっています。同時に、IoTを狙うサイバー攻撃も数多く行われており、今後さらに複雑化すると考えられます」と警鐘を鳴らす。だからこそ、IoTを取り巻く脅威に対応する情報セキュリティの人材育成がますます重要になるというわけだ。

まさに、今回の一般講座のメインテーマはIoT。和田氏は参加者に向け、「講義を通じて、IoTのセキュリティに精通していってください」と呼びかけた。

経済産業省 和田純典氏

続いて行われた一般講座では、サイバー攻撃の最新事情やサイバー犯罪の現状などがセキュリティ業界の有識者らによって語られた。なかでも興味深かったのは、岩手県立大学 ソフトウェア情報学部教授の高田豊雄氏の講義「ソーシャルエンジニアリングとその対策について」だ。

岩手県立大学 ソフトウェア情報学部教授の高田豊雄氏

高田氏は、過去に発生した重大なインシデントのきっかけがソーシャルエンジニアリングの手法を駆使したフィッシングメールだったことから、「なぜ引っかかったのか」を考察。その理由として、実在する組織や人物名、実際に用いられている略称が使われていたり、ありそうな内容だったりしたことに加え、「認知欲求度の高さ」があると説明した。

「認知欲求」とは、「認知的な努力に従事し、それを楽しむ内発的動議付けの大きさ」であり、課題に直面した際にいろいろ考えるのが好きなタイプは「認知欲求が高い」とされる。研究の結果、認知欲求の高い車好きな人に「この車わかる?」というメッセージと共に画像を添付したメールを送れば、ほぼ開いてしまうことがわかったという。こうしたことを踏まえ、高田氏は「それぞれの心理的脆弱性に応じた攻撃シナリオに基づく対話型動画教材の開発」を現在進行中であることを明らかにした。