これらのインシデント報道は、その事実だけを切り取るとお気の毒としか言いようがない。ただ、多くのサイバーエスピオナージ(スパイ活動)やハクティビズム(社会的・政治的なサイバー攻撃活動)は何らかの政治・社会的なイベントと関係している。
たとえば、前述のベトナムの航空会社のインシデントは「南シナ海における国際司法の判決」がサイバー攻撃の引き金となっており、セキュリティイベントのひとつとしてとらえられる。つまり、社会的背景におけるイベント → それにひもづくサイバー空間での調査活動 → サイバー攻撃による情報窃取やシステム破壊という大きな流れがあるのだ。
この見解は世界でも共通の認識のようだ。先日、日本で開催された情報セキュリティ国際会議でのことだ。この会議に参加していた海外の研究者と交流を深めていたところ、最近の某国の攻撃者のプロファイリングが話題となった。そんなとき、若手ハッカーの王くん(仮名)が、ノートパソコン上でカスタマイズされた有名セキュリティツールを起動し、最近の政治にかかわるキーワードを入力した。すると、彼のディスプレーには報道に関係した国からのサイバースパイ活動に利用されたと推測されるマルウエアが複数表示された。
いずれも新聞報道から2~3日以内のもの。彼によれば「あいつら(某国の攻撃者)はつねに日本や周辺国のニュースを眺めている」のだそうだ。このケースでもわかるように、少なくとも社会情勢とサイバー攻撃は関連づいており、組織は社会的背景を意識してのセキュリティ対策が必要となっていることがわかるだろう。
「新種のマルウエア」は、既知であることが多い
2. インシデントに発展するまでの対応の悪さが問題
政治・社会的な報道にひもづいたサイバー攻撃の事例を紹介したが、多くの組織が一度に関係することは少ない。どちらかというと、バラマキ型や特定の業種を継続的に攻撃しているサイバー攻撃のほうが多いだろう。これらの攻撃情報は、JPCERTなどの公的機関のほかに、セキュリティベンダーなどからの情報で知ることができる。そして、実際に筆者らの元にインシデント対応の支援要請があるのも、これらの部類だ。
私たちがクライアント先に駆けつけた際に、頻繁に耳にするお約束のコメントがある。
「新種のマルウエアのようです。契約しているセキュリティベンダーさんも“未知”だと言っています」
「情報が持ち出された被害パソコンは、重要な情報は入っていません」
残念だが、前者のケースはほとんど“既知”のものであるし、後者も重要情報が入っていないパソコンなど、ほとんどない。攻撃者にとってはメールでさえ重要情報だ。
ただ、この点は担当者を責めるべき点ではなく、問題はその過程にある。致命的なインシデントに発展している大きな原因のひとつは、軽微な状態(セキュリティイベント)にある時点での対応方針が中途半端であることがある。
次ページが続きます:
【焦って対応をしなくても良いことが多い】
