大量無差別攻撃に無防備なサイバーテロ対策 その2 | ScanNetSecurity
2024.04.20(土)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

大量無差別攻撃に無防備なサイバーテロ対策 その2

●内閣官房情報セキュリティ対策推進室とIPA中心の「ご指名ではない攻撃」対策体制

特集 特集
●内閣官房情報セキュリティ対策推進室とIPA中心の「ご指名ではない攻撃」対策体制

 現在の「ご指名ではない攻撃」対策は、どうなっているのだろうか?
 啓蒙活動は、地道にさまざまな情報発信が行われつつある。また、さまざまなPC、IT系雑誌が、こぞってセキュリティの記事を掲載していることも啓蒙に一役買っている。とはいえ公的機関が行っているセキュリティに関する啓蒙活動に実際に触れたことのある人は、少ないのが現状である。まだまだ、不足している。
「インパク」の大々的なプロモーションに比べると、手を抜いているとしか思えない。

 ちなみに、「インパク」は、国民の多くが予想したとおり、あまりインターネット関連産業の活性化には、役立たなかった模様である。
 2001/09/27発行の「全国インターネットサービスプロバイダ実態調査」に掲載されている、ISP 225社のアンケート調査結果では、アクセス増加や会員増加の効果は、ほとんどゼロであった。

「全国インターネットサービスプロバイダ実態調査」
http://vagabond.co.jp/vv/ps-isp01.htm

閑話休題。

 啓蒙活動が「インパク」などのムダ使いに比べて、きわめて優先度が低く、不十分なことは、容易に推測できる。

 問題発生時の情報収集、分析、配信体制は、どうだろうか?
 CodeRed 、Nimda のような事件の時の情報収集、整理・分析、対策発信・徹底という3つの段階でみてみる。
 主として「情報収集」の部分を担っているのはIPAなど経済産業省の外郭団体と考えられる。IPAなどの収集した情報は、内閣官房情報セキュリティ対策推進室で整理され、各種公的機関に対して配信される。
 実際には、情報収集ルートは、jpcert(経済産業省が資金支援)など他にもあるし、軍事評論家として著名な 江畑 謙介氏が参加する情報セキュリティ調査会などもあるのだが、単純化するとこんな感じではないかと考えられる。
 しかしながら、IPAは、民間企業からの出向者の集まりであり、数年たつと担当者はもとの企業に帰ってしまう。そのため、セキュリティに関する知識やノウハウが蓄積しにくいという現実がある。官公庁の担当者は、2年で異動してしまう職場である。個別に優秀な方がいるとしても、全体的には経験不足の担当者が情報収集、分析にあたっているという感はいなめない。
 企業でシステムを守らなければならない立場から見ると、このルートでの情報は遅く不十分である。H.U.Cの対日攻撃の時は、民間のボランティア活動の方がはるかに役立った。

対 日本サイトアタック情報掲示板(代表的なボランティア活動組織)
に寄せられた情報のまとめ(2001.3.2)
https://www.netsecurity.ne.jp/article/1/1731.html

 例えば、9月21日付けで内閣官房情報セキュリティ対策推進室が流した Nimda の第2報には、アンチウィルス各社がすでに情報掲載を行っているにもかかわらず、シマンテック社だけのURLが掲載されていた。別な時には、トレンドマイクロ社だけ掲載されていたこともある。なぜか、タイミングと内容がちぐはぐなのである。内部の基準で複数の情報を弁別しているのかも知れないが、そうであれば情報の受信者に、特定のベンダしかとりあげない基準も明示して欲しいものである。

●脆弱な「ご指名ではない攻撃」対策体制

 問題は対応の速度や質だけではない。深夜、土曜と日曜に機能していないという時点で危機対応の組織として致命的な欠陥をかかえている。クラッカーは、週末でも活動を休むわけではないし、自動的に攻撃、繁殖を続けるワームは、24時間、365日、活動している。
 現在の体制が、深夜、土曜、日曜に機能していないことは、筆者の推定であるが、おそらくあたっているであろう。
 ベリサイン、ボルチモアという認証の代表的なベンダが、改竄被害を受けた時には、情報収集体制は、機能していなかったと推定される。そうでなければ、休み明けまで対処が遅れるようなことはなかったであろう。
 認証ベンダが、そろって連続改竄、対応遅れというのも情けないが、公的機関でチェックも指導しないというのも信じられない話しである。
 認証システム大手2社の事件では、当事者である2社は、もちろんだが、公的機関の情報収集、対処の遅さも責められるべきである。
 これで電子政府を実現しようというのは、無理があると思うのは筆者だけではあるまい。

日本ベリサイン、再び改竄被害 数日で複数回の改竄(2001.8.6)
https://www.netsecurity.ne.jp/article/1/2590.html
日本ボルチモア テクノロジーズ連続改竄事件の事後対応の問題点(2001.10.9)
https://www.netsecurity.ne.jp/article/9/2978.html

 内閣官房情報セキュリティ対策推進室とIPAのご担当者を責めるつもりは、毛頭ない。担当レベルでは、一所懸命対応に努力してくれているとは思う。
 そもそもの組織のあり方に無理があるため、対応の遅さや情報の不十分さが目立つ結果になってしまっている。
 また、内閣官房情報セキュリティ対策推進室は、民間企業や民間人を助けることが本来の目的ではない。

 このように見てくると「ご指名ではない攻撃」への対応体制は、脆弱(というよりも体制がないのを無理矢理現場対応でしのいでいる)といわざるを得ない。


●「ご指名ではない攻撃」=大量無差別攻撃に脆弱な本当の理由

 政府では、今後の課題として、サイバーテロ対策を掲げている。
このような脆弱な体制がそのまま続くわけがない。筆者をふくめ多くの方は、そう思いたいところだろう。
 しかし、サイバーテロ対策には、「ご指名ではない攻撃」への対処は含まれていない。これが、大量無差別攻撃への脆弱性を放置している本当の原因ではないかと思われる。

 そもそも、サイバーテロとは、どのように定義されている言葉なのだろうか?われわれが、イメージする一般的な定義は、おそらく下記に近いものであろう。

サイバーテロとは(富士通総研 サイバービジネスの法則集)
http://www.fri.fujitsu.com/hypertext/fri/cyber/hotkey/cyberterro/cyberterro.html

 web改竄など中小企業やSOHO、個人への攻撃へも含んだインターネット上での攻撃を指すとイメージしている人は多いと思う。

 総務省(旧郵政省)の定義するサイバーテロとは、国家の重要システムをターゲットにしたものに限定されている。こちらでは、明確に、個人が被害を受けるものとは異なるとしている。

「情報通信ネットワーク安全・信頼性基準の整備」(郵政省 2001/03/22)
http://www.yusei.go.jp/pressrelease/japanese/sogo_tsusin/010322_4.html

 現在、日本政府のネットセキュリティ対策は、横断的な組織が作られているので、この総務省の定義は、共有されているものと考えてよいだろう(というか、共有されていないと意味がない)。個人や中小企業への攻撃は、サイバーテロとは呼ばないのが、わが国の官公庁における定義といえる。
 古くはH.U.C、最近では Code Red など、特定の目的をもった攻撃と推定されるものもサイバーテロの定義からはずれることになる。
 サイバーテロ対策をうたっている「ネットワーク情報セキュリティマネージャー」のカリキュラムが、中小企業では導入が不可能な高価セキュリティ製品(製品そのものが高価である上に、製品と同じかそれ以上の費用のかかるトレーニングなどが必要なのである)を用いているのも、その定義に基づいてカリキュラムが組まれているためと考えれば納得できる。

●わが国のセキュリティ対策体制そのものが巨大なセキュリティホール

 このサイバーテロの定義にあてはまる攻撃は「ご指名の攻撃」である。すでに、のべたように「ご指名の攻撃」と「ご指名ではない攻撃」では対策が異なる。
 したがって、サイバーテロ対策がいかに進んでも「ご指名ではない攻撃」にさらされる個人、SOHO、中小企業は救われないことになる。

 ナショナルセキュリティの観点では、重要なインフラや政府諸機関を守るのは、重要であろう。中小企業やSOHO、個人の対策よりも優先度をあげることも理解できなくはない。
 だからといって、中小企業やSOHO、個人を危険な状態に放置しておいてよいわけではない。
 個人、SOHO、中小企業の保有する大量のサーバが、踏み台にされ、利用されることは、ナショナルセキュリティ上も大きな脅威となる。DDos攻撃といった直接的な利用もあれば、公的機関の業務を子請け、孫請けしている業者から機密がもれたりトラップをしかけられることもある。過去にオウム真理教の関係会社の作成したソフトを使っていた公的機関もあった。その可能性は決して低くない。

「ご指名の攻撃」「ご指名ではない攻撃」は、いずれの対策も必要であり、どちらかがおろそかになれば、それが、もう一方にとっての脅威になる。
関係官庁、公的機関の方々には、現在のような「ご指名の攻撃」偏重のセキュリティ対策をバランスのとれたものに、修正して欲しいものである。
 このままでは、わが国のセキュリティ対策体制そのものがセキュリティホールといわれかねない。


注)なお、警察庁の定義するサイバーテロは、組織の性格上、われわれがイメージするサイバーテロに近いようだが、残念ながらその定義のドキュメントを見つけることはできなかった。

[ Prisoner Langley ]

(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性 画像

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性
Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ 画像

Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ
Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理 画像

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理
Windows DNS の脆弱性情報が公開 画像

Windows DNS の脆弱性情報が公開
バッファロー製無線 LAN ルータに複数の脆弱性 画像

バッファロー製無線 LAN ルータに複数の脆弱性
Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性 画像

Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性

インシデント・事故 記事一覧へ

東京高速道路のメールアカウントを不正利用、大量のメールを送信 画像

東京高速道路のメールアカウントを不正利用、大量のメールを送信
組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に 画像

組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に
インフォマート 公式 Facebook ページに不正ログイン 画像

インフォマート 公式 Facebook ページに不正ログイン
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず 画像

フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し 画像

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性 画像

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

調査・レポート・白書・ガイドライン 記事一覧へ

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向 画像

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査 画像

被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査
プルーフポイント、マルウェア配布する YouTube チャンネル特定 画像

プルーフポイント、マルウェア配布する YouTube チャンネル特定
IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査 画像

IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査
初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応 画像

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応
復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査 画像

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査

研修・セミナー・カンファレンス 記事一覧へ

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催
中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝 画像

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート 画像

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応 画像

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応
セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン 画像

セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン
賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位 画像

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位
警察庁、サイバー事案通報の統一窓口を設置 画像

警察庁、サイバー事案通報の統一窓口を設置
脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応 画像

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応
ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供 画像

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×