電子政府の実現に向けて諸官庁でサイバーテロ対策が進んでいる。 サイバーテロ対策が、徹底されれば、我々中小企業やSOHO、個人は安心して、インターネットを利用することができるようになるのだろうか? 答えは NO である。 日本におけるサイバーテロ対策は、決して中小企業やSOHO、個人を守ってはくれない。 サイバー上での悪意をもった攻撃には、大きく2つに分けられるが、わが国のサイバーテロ対策は、その一方にしか対応していない。ほとんどの中小企業やSOHO、個人への攻撃は、サイバーテロ対策が対応していない方なのである。●サイバー攻撃の2つのパターン「ご指名の攻撃」と「ご指名ではない攻撃」 サイバー攻撃は、その攻撃の方法から「ご指名」と「ご指名でない攻撃」に分けることができる。「ご指名の攻撃」とは、ターゲットが明確である攻撃である。「ご指名ではない攻撃」は、特にターゲットがあらかじめ決まっているわけではなく、ランダムあるいは弱いところを攻撃する。「ご指名の攻撃」は、ターゲットが絞られている分、ソーシャルエンジニアリングを含め、あらゆる攻撃方法を用いることが想定される。物理的な攻撃、高度な技術を用いた攻撃なども想定される。国家的に重要なインフラをねらうケースは、こちらであろう。 これに対して「ご指名ではない攻撃」は、ほとんどの場合、無差別であり、高度な技術を駆使するというよりは、大量の攻撃を行って弱い個所をつぶしてゆく攻撃になりがちである。 また、「ご指名ではない攻撃」は、自己増殖機能をもったワームを利用することも多く、大量無差別攻撃に拡大する傾向をもっている。ほとんどのweb改竄事件は、こちらのパターンである。 Nimda や Code Red などのワーム、H.U.Cなどのクラッカーグループは、典型的な「ご指名ではない攻撃」である。「ご指名ではない攻撃」が、どれほど深刻な被害を企業や個人に与えるかは、H.U.CやCode Red、Nimdaの時に、充分思い知らされた。 しかし、こうした攻撃に対抗するための公的な専門組織は、わが国には存在していないし、筆者の知る限りでは、計画もされていない。なお、あとで説明するが、サイバーテロ対策と称するものは、「ご指名ではない攻撃」には、まったく無力である。●大量の「ご指名ではない攻撃」にさらされる中小企業、SOHO、個人「ご指名ではない攻撃」に対しては、きわめて間接的な形でしか、公的機関は、支援を行ってくれない。 犯罪を立証できるものであれば、警察が対応してくれるが、中小企業やSOHO、個人にとって、遭遇することの多い「ご指名ではない攻撃」は、そうではないケースの方が圧倒的に多い。 Nimda や Code Red は、後者の代表的な例である。H.U.C の攻撃の際は、かなり調査が行われたようであるが、だからといって、被害を受けた個別の中小企業やSOHO、個人を、どうにかしてくれるわけではない。 被害を受けた多くは、警察などの公的機関の保護を受けることもできないし(保護を求めることはできるだろうが、おそらく警察はあなたのPCを救ってはくれないだろう)、ほとんどの場合、損害賠償を請求することも困難である。 Nimda 感染の時には、msn やオリコのサイトを見て感染した利用者もいる。 Nimda の場合は、利用者のパソコンに、データを不正に送りこんで、感染を広げている。同じことを人間が手動でやれば、立派な犯罪である。しかし、msn やオリコが不正アクセスにより刑事責任を問われることはなかったし、民事訴訟もおきていないようである。つまり、これは、加害者は、責任を問われない(社会的イメージ悪化程度)、誰も被害者を助けてくれないということを如実に物語っている。●「ご指名ではない攻撃」を防ぐ方法 啓蒙と事件時の情報収集、分析、配信「ご指名ではない攻撃」は、Nimda や Code Red のように急速に拡大する面があるが、個別のケースでは防御は容易である。 単純に、最新のパッチをあてたり、 Secure IIS のような自動防御ツールを導入しておけば、防御することができる。実際に、CodeRed 、Nimda の発生時には、SecureIIS 導入サーバは、感染しなかった。【SecureIIS Web(1)】〜IISへの攻撃を自動的にシャットアウト〜(執筆:Port139 伊原秀明)(2001.10.4)https://www.netsecurity.ne.jp/article/7/2964.htmlhttp://vagabond.co.jp/c2/scan/secureiisweb.html しかし、すべてのサーバ管理者が、セキュリティに気を使っているわけではない。一定の確率で、管理者としての適性に欠ける人物がいる。いわゆる「サーバ・モンキー」である。能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子(2001.10.23)https://www.netsecurity.ne.jp/article/1/3097.html「ご指名ではない攻撃」の対策の本質はここにある。 問題の個別には容易に対処できても「ご指名ではない攻撃」が、大量無差別攻撃として行われた場合、どうしても一定の確率で被害が発生してしまう。できることは、その確率をさげるである。 確率をさげるためには、地道な啓蒙活動、教育、使いやすく、導入しやすい安価なツールの提供などしかない。 また、CodeRed 、Nimda のような問題発生時に、迅速に情報収集を行い、適切な対処方法を発信することも不可欠である。 現在のほとんどのツールは、既知の脅威にしか対抗できない。未知の攻撃に対しては、啓蒙、教育だけでは、カバーできない。 msn やオリコといった「絶対安全そうなサイト」に受動的攻撃が埋め込まれる時代なのである。きちんとセキュリティに気を使っていても、被害を受ける可能性はある。被害を受ける/受けないは、「運」だけである。「運」の悪い被害者を減らす方法はある。問題発生時に、迅速に情報収集を行い、分析し、適切な対策の配信を行うことにより、被害を減らすことができる。 こうした当たり前のことを幅広く徹底することは、当たり前であるがために難しい。長期間にわたる啓蒙と地道な情報収集、整理、分析、配信体制の確立。これは、民間の自助努力では、とうてい実現できないと筆者は思う。「インパク」にムダ使いする金の一部でも回して欲しいとせつに願う。それで救われる中小企業やSOHO、個人はふやせるはずだ。(続く)(詳しくはScan本誌をご覧下さい)http://www.vagabond.co.jp/vv/m-sc.htm
