「標的型攻撃」という言葉にとらわれ過ぎて過剰に恐怖心を抱きがちだが、怖い攻撃とそれほど怖くない攻撃がある。どのような攻撃なのかを見極めて、適切な対策をすべき──。

 2016年10月19日から10月21日にかけて東京ビッグサイトで開催している「ITpro EXPO 2016」のメインシアターで、日経NETWORKの齊藤 貴之副編集長は、特定の組織を狙う標的型攻撃について、攻撃の特徴と代表的な対策を解説した。

日経NETWORKの齊藤 貴之副編集長
[画像のクリックで拡大表示]

 まず標的型攻撃という言葉が、警察や報道機関などで、あらゆるサイバー攻撃にあてはめられ、ベンダーはセキュリティ製品やサービスのほとんどを「標的型攻撃対策」と呼ぶようになった。これが、ユーザーが適切な製品選択をしにくくしている要因だと指摘。どういった攻撃者がどんな目的で攻撃してくるかによって、攻撃手法が大きく変わる。攻撃者像や目的を知ることで、「どんな製品やサービスで何を守ればよいかがわかってくる。そうすれば、効果的な標的型攻撃対策が可能になる」と齊藤副編集長は話す。

 そこで齊藤副編集長は、最近の標的型攻撃の攻撃者像や目的から、(1)目的遂行型、(2)期間限定型、(3)単発型の三つに分類。それぞれについて具体的なインシデントを紹介した。

多くの観客が集まったメインシアター
[画像のクリックで拡大表示]

 (1)の目的遂行型は、攻撃者が情報の取得など明確な目的を持って特定の組織を攻撃するタイプである。例として、パイプドビッツのクラウドサービスからの個人情報漏洩と、日本年金機構のLANからの個人情報漏洩について、攻撃の流れや対策を説明した。

 (2)の期間限定型では、主義・主張ごとにネットで参加者を募り、標的を攻撃するアノニマスの攻撃を例に挙げた。アノニマスは、Webサイトを攻撃してサービスを停止させたり、改ざんしたりする。こうした攻撃の例として、イルカ追い込み漁への抗議活動である「OpKillingBay」(オペレーションキリングベイ)における2015年の攻撃内容を紹介した。

 (3)の単発型は、愉快犯など個人的な理由で実行する攻撃のこと。逆恨みや面白半分に実施するもので、未成年が犯人のこともある。数百円から利用可能なDoS攻撃代行サービスなどが利用されるなど、スキルが無くても簡単に攻撃できてしまう。この攻撃の例として、佐賀県公立学校の校内LANから個人情報が漏洩したインシデントを解説した。

標的型攻撃を三つに分類して解説
[画像のクリックで拡大表示]

 最後に注意点として、安価なツールやサービスを使っても本格的な攻撃ができることから「何もをしても無駄だ」とあきらめてしまうと、被害に遭う可能性が飛躍的に高まると指摘。「攻撃者は、セキュリティの甘いところから突いてくる。セキュリティ対策は高度な対策ばかりに目を奪われがちだが、下からの積み重ねが大事。セキュリティパッチの適切な更新や、重要情報、パスワードなどの運用方法の見直しなど、セキュリティの基本から始めてほしい」と締めくくった。