情報セキュリティー・サイバー犯罪(その1)激化するサイバー攻撃 [科学技術]
今日は、情報セキュリティー・サイバー犯罪(その1)激化するサイバー攻撃 を取上げよう。
先ずは、10月24日付け日経Bpnet「大規模サイバー攻撃で大手ネットサービスが続々ダウン、「IoTの悪用」に震撼!」を紹介しよう(▽は小見出し)。
・10月21日、朝からの大規模なサイバー攻撃により、ツイッターやアマゾン、ペイパル、ネットフリックスなど、米東海岸地域の企業が提供する世界的規模のネットサービスが続々とダウンしたり接続しづらくなったりする障害が発生し、世界中に震撼が走った。日本でも、ツイッターで米国からの通信に遅れが生じるなどの影響が出た。
・障害の原因は、インターネットの“住所録”に相当する、ドメイン名とIPアドレスを対応させる「DNS(ドメインネームシステム)」のサービスを提供する米ダインに対して、大規模なDDoS(大規模分散型サービス妨害)攻撃が行われたことだった(参考:DNSサービスの「Dyn」に大規模DDoS攻撃、Twitterなどが影響受けダウン、ITpro)。
・DDoS攻撃とは、一般にマルウエア(ウイルスなどの不正プログラム)に感染させた多数のネットワーク機器から、標的となるサービスを提供しているサーバーに対して一斉にアクセスさせることで、サーバーをダウンさせたり動作を不安定にさせたりする攻撃手法である。
・ただ、今回特徴的だったのは、マルウエアを感染させる対象となったのが、従来もっぱら狙われていたパソコンではなく、ルーターやWebカメラ、プリンターなど「IoT(モノのインターネット)」系の機器だったことだ。パスワードが初期設定のままなど、管理が行き届いていないIoT機器が狙われたと見られている(参考:Mirai Botnet Linked to Dyn DNS DDoS Attacks、Flashpoint)。
▽日本でも「ツイッターが重い」で検索する人が急増
・攻撃は21日午前7時(米東部時間、日本は同日午後9時)に発生、約2時間後には一度復旧したものの、午後0時(同、日本は翌22日2時)に再度攻撃が始まった。二度目の攻撃は、最初の攻撃よりもより広い地域から攻撃を受けたという。攻撃には第3波もあったが、これは防御に成功したとのことだ。
・最終的に復旧したのは、攻撃開始から6時間後の午後1時(同、日本は午前3時)だった。この間、実に1000万近くものIPアドレスから攻撃があったという。日本でも「ツイッターが重い」という検索ワードが21日23時頃から翌5時にかけて急上昇した。ツイッターでも22日午前3時頃から「Twitter調子」「DDoS」が、朝には「サイバー攻撃」がトレンド入りした。
・今回、攻撃に利用されたマルウエアは「Mirai」と呼ばれているもの。米国のジャーナリスト、ブライアン・クレブス氏が運営するセキュリティ情報サイト「クレブス・オン・セキュリティ」が9月20日に、またフランスのプロバイダーOVHが9月22日にそれぞれDDoS攻撃を受けた際にも使われたとされる。
・クレブズ氏のサイトは「620Gbps」という、過去に記録されたことがない規模(1秒当たりの通信容量)のDDoS攻撃を受けた。一方のOVHも「1Tbps近いDDoSを受けた」と発表している。クレブス氏のサイトをホスティングしていた米通信インフラ企業アカマイ・テクノロジーズによると、この事件までに同社が経験した最大規模のDDoS攻撃は363Gbpsだったという(参考:セキュリティニュースサイトに史上最大規模のDDoS攻撃、1Tbpsのトラフィックも、ITmedia)。
▽「世の中のあらゆるものが悪用される」時代に突入
・Miraiは、とある英語のハッカーコミュニティに対して10月1日、「Anna-senpai」なるアカウントを持つ人物からソースコードがアップロードされたものだとされる。プログラムを起動すると、パスワードが初期設定や簡単なままで使われているIoT機器をスキャンし、次々と感染して「ボットネット(Botnet)」を形成。攻撃者がボットネットに命令を下すと、指定した目標に一斉に攻撃を仕掛ける(参考:史上最大級のDDoS攻撃に使われたマルウエア「Mirai」公開、作者がIoTを悪用、ITmedia)。
・クレブス氏によると、Miraiはメモリーに感染するタイプのため、感染した機器の電源をいったん切れば元に戻るだろうと説明している。また、感染前の対策としては、「インターネットに接続しているあらゆる機器の設定を初期設定のまま放置しないこと」が唯一の対策だという。 Mirai自体は必ずしも高度なプログラムではないが、ソースコードが公開されているため、今後さまざまに改造され、より高度な感染や攻撃が行われる危険性は高い。Miraiは、IoTの時代に行われた攻撃としては最も成功したマルウエアとなった。
・我々ができる対策は、ネットにつながるあらゆる機器に対して、「初期パスワードのままでは使わない」「脆弱性があったり暗号化されていなかったりするプロトコルは使わないように設定する」など、基本的な設定を漏れなく施すことしかない(参考:Krebs 氏に対する DDoS 攻撃で使用された「IoT」マルウエア Mirai がオープンソース化される、Sophos)。
・IoTが爆発的に普及していくこれからの時代、「身のまわりのあらゆるものがネットに接続するようになる可能性があり、それらが悪用される危険性がある」ということを常に念頭に置いておきたい。
http://www.nikkeibp.co.jp/atcl/column/16/ronten/102400015/?P=1
次に、10月25日付け日経ビジネスオンライン「“8歳児”のサイバー攻撃に負ける日本企業 “サイバー無策”のツケを払うのはこれからだ」を紹介しよう(▽は小見出し、――は聞き手の質問、+は回答の段落)。
・日経ビジネス10月31日号では「サイバー無策 企業を滅ぼす」と題する特集記事を掲載する。煽り気味のタイトルのようだが、決して誇張ではない。10月21日(金曜日)には米国で、大規模なサイバー攻撃が発生。ツイッターやペイパル、スポティファイなど日本でも馴染みのある米国のウェブサービスが一時、利用できない状況に追い込まれた。日本も決して対岸の火事ではいられない。
・しかし、日本企業は長年、そうした「リスク」を軽視してきた。国家は企業に対策を丸投げし、経営者は現場の担当に責任を押し付ける。そして多くの企業の現場では「ヒト・モノ・カネ」が十分に与えられず、無為に時間を過ごしてきた。その“サイバー無策”のツケを支払う時期を、日本企業は迎えようとしている。 連動インタビューの第1回目に登場するのは、サイバーディフェンス研究所の名和利男・上級分析官。航空自衛隊で防空システムなどを担当した専門家が、近年激増している“子供”のサイバー攻撃の背景を語る。
――サイバー攻撃の被害に遭う企業が後を絶ちません。攻撃の手口が巧妙化しており、対策が間に合わないという悲鳴が聞こえてきます。
名和:正直に答えると各方面から怒られそうですが、高度な攻撃だけでなく“子供”のサイバー攻撃にも耐えられないのが、多くの日本企業の実情だと思います。 8歳ぐらいの子供は、大人の行動を真似て悪いことをしたがりますよね。こうした幼稚な攻撃者が、最近、サイバー空間で激増しています。訓練を受けずに場当たり的にサイバー攻撃を仕掛けてくるため、ほとんどのケースは失敗します。しかし子供の力でも、繰り返し殴られるとやっぱり痛い。専門家からすれば「8歳児レベル」の非常に稚拙な攻撃でも、様々な企業から情報を盗むのに成功しています。
――なぜ“子供”がサイバー攻撃に手を出すのでしょうか。
名和:一言で言えば儲かるからです。 日本企業から盗んだ情報は、特に中国で高く売れます。漢字を使っているため理解しやすいうえ、貴重な情報が無防備に置かれているケースも多い。しかも情報は腐らず、売ってもなくなることがない。再生産するための工場設備すら必要ない。
+違法に入手した情報を売るだけで、毎月数十万円を稼いでいるハッカーはたくさんいます。裏社会における“成功者”に憧れて、サイバー攻撃に手を染める“子供”がどんどん増えているのです。
+見破られなかった攻撃手法を、数万円で販売する技術者も増えてきました。中国語で検索すれば、ハッキングのマニュアルが大量に探せるでしょう。見よう見まねで攻撃できるツールもすぐに手に入ります。
――子供ではなく、“大人”のサイバー攻撃も増えているのでしょうか。
名和:国家が関与しなければできないような、組織的な攻撃も相次いでいます。被害に遭った企業を調査すると、たまに芸術的としか表現できない攻撃手法を発見することがあります。複数の専門家が周到に準備を整え、一糸乱れず攻撃する。“子供”が場当たり的にやっているとは、到底考えられません。
+こうした“大人”のサイバー攻撃を、日本企業が防ぐのはまず不可能です。絶対にやられます。国家が意志を持ってサイバー空間で攻撃やテロを仕掛けてきた場合、それを防御する組織が日本にはないからです。
▽国が企業を「フルボッコ」
――自衛隊がいるのでは。
名和:物理空間では守ってくれるでしょう。しかし、サイバー空間ではどうでしょうか。 昨年、日本年金機構がサイバー攻撃を受け100万件超の個人情報が流出しました。今年はJTBが被害に遭っています。もし、これらの攻撃の背後にどこかの国がいた場合、JTBなどを守るのは日本政府の役割です。 ところが現実は違います。年金機構に関しては、政府が逆に「フルボッコ」にしてしまいました。フルボッコとは、フルパワーでボッコボコにするという「2ちゃんねる」用語ですね。年金機構のあら探しをするようなリポートを出して、再起不能な状態に追い込んでしまった印象です。
+国家レベルのサイバー攻撃に対抗するには、相応の体制が必要です。物理空間でも、民間企業が自衛のために戦闘機を持つことはできません。国が考えるしかないのです。 しかし今、日本政府がやっているのは、民間企業の自己防衛力を高めさせるための取り組みです。各省庁が必死になって様々な施策を掲げていますが、民間の手に余る攻撃への対処はほとんど議論されていません。
――民間に丸投げされても困ります。
名和:そうでしょうね。サイバー攻撃に対して“無策”なのは、民間の経営者も同じですから。特に60歳以上の経営者は、変化に対して強い拒否反応を示しているように見えます。 “ガラケー”を使っていた人が、スマートフォンへの乗り換えを頑として拒否する理屈と同じです。新しいことを学びたくない、分からないことは見て見ぬふりで済ませたい。セキュリティーに関して、そんな意識を持っている経営者はかなり多いと思います。
+日本企業は本来、もっとセキュリティー対策に投資すべきだったと思います。ところが目先の利益を優先して、問題を先送りしてしまった。危険を軽視してきたツケを、これから支払うことになるのでしょう。
▽業務委託先や下請け企業がリスク
――「ウチみたいな中小企業を狙うはずがない」と高をくくっている経営者もいます。
名和:最近、大手建設会社と打ち合わせをしたのですが、設計書の流出が一番怖いと話していました。仮に空港の設計情報が外部に漏れたら、テロ対策などを抜本的に考え直さないといけません。 そうした情報は、1次請け、2次請けを含めたサプライチェーンの様々なところに分散しています。中小企業だからといって、セキュリティーを無視できると考えるのは大間違いです。
+今の日本では、セキュリティー対策はペイしません。例えば2社で受注を争っている場合、セキュリティーを軽視して安値で応札した企業の方が有利になります。真面目に頑張ってセキュリティーに投資しても、ビジネス上のメリットが見込みづらいのです。
+市場経済に任せていては、日本のセキュリティー水準は向上しません。だからと言って、法律で厳しく網を掛けると経済の活力を奪いかねない。どうすれば企業経営者が真剣にセキュリティーを考えるようになるのか。当面は試行錯誤しながら、少しずつ進むしかありません。
http://business.nikkeibp.co.jp/atcl/interview/16/102100010/102100003/?P=1
第三に、上記特集の続きとして、同日付け同誌の「「ネット炎上」こそ最強のサイバー攻撃だ 日本企業がサイバー被害を「隠す」理由」を紹介しよう(▽は小見出し、――は聞き手の質問、+は回答の段落)。
・日本企業のサイバーセキュリティー対策が進まない背景には、「ネット炎上」への恐怖がある。被害実態やそのリスクを公表して炎上が始まると、関係部門は対応に忙殺され業務がストップしかねないからだ。それを心配しすぎるあまり、日本企業は被害の隠蔽に走るという。
・「サイバー無策 企業を滅ぼす」特集連動インタビューの第2回に登場するのは、ロシアのセキュリティーソフト大手カスペルスキーで日本法人の代表を務める川合林太郎社長。セキュリティー製品の“売り手”であるITベンダーにもサイバー無策の原因があると語る。
――日本国内の組織を“狙い撃ち”するサイバー攻撃が続いています。カスペルスキーは昨年、日本年金機構を襲った攻撃が「Blue Termite:ブルーターマイト」と呼ばれる組織的なものだと発表し、警鐘を鳴らしてきました。以降、日本企業の意識は変わったのでしょうか。
川合:様々な事実を基に、日本がかなり危険な状況に置かれていることを伝えたつもりなのですが、1年経っても何も変わっていません。日本企業にとって、サイバー攻撃は今なお“人ごと”に過ぎないんですよ。どうすれば自らの問題としてサイバー攻撃を捉えてもらえるのか。やや途方に暮れている状態です。
――経済産業省は昨年末、経営者向けのサイバーセキュリティーのガイドラインを発表しました。金融庁は銀行などを対象にしたサイバー防衛演習を強化しています。政府の危機感はそれなりに強いと思いますが。
川合:確かに政府の意識は変わりつつあります。様々な組織がサイバーセキュリティーへの取り組みを強化し、企業向けの対策マニュアルなどを提供しています。ところが残念なことに、こうしたマニュアルが難解なのです。セキュリティーの専門家が詳しい人に向けて書いているため、一般の社会人が読んで理解できるレベルになっていません。
+たとえは乱暴ですが、小学生に六法全書を渡したうえで「これを読んで世の中の仕組みと法律を理解しなさい」と言っているようなものです。技術的なバックグラウンドがない経営者が理解するのは難しいでしょう。 日本におけるサイバーセキュリティーの問題点は明確です。「末端」任せになっていることです。政府は企業に対策を丸投げするし、経営者も現場に判断を委ねている。「攻撃を受けないように工夫しろ」「システムの脆弱性がないか常に監視しろ」と義務ばかり押し付ける一方で、「予算やルールは現場で考えるのが当たり前」と突き放す。これでは、セキュリティーを強化しようというモチベーションは高まりませんよね。
+政府が企業経営者にサイバーセキュリティーを考えさせたいなら、何らかのメリットを示す必要があります。ある程度の対策を講じている企業は、銀行からお金が借りやすくなったり、(情報漏洩などの損害をカバーする)保険の料率が下がったりするなど、金銭的なインセンティブが重要です。これまでのように脅威を指摘し続けるだけでは、経営者の行動を変えるのは難しい。
▽リスクを開示すると逆効果に
――「北風と太陽」の寓話みたいですね。
川合:海外と比べると、日本企業の経営者はサイバー攻撃にともなう企業イメージの悪化を非常に気にしますね。これも、日本のサイバーセキュリティー強化を阻む一因になっています。 米国企業はサイバー防衛対策の開示に積極的です。サイバー攻撃の被害実態やその可能性を財務関係書類に記載する義務がありますし、リスクを開示したからと言って評判が下がることはありません。むしろ「きちんと対策を講じている」と評価されるのが通常です。
+日本では対照的に、可能な限り隠蔽しようとします。個人情報漏洩のように公表義務が課されている場合は別ですが、被害の事例を共有しようという意識に乏しい。サイバー被害に遭った事実やそのリスクを開示すると、それがかえって「バッシング」や「ネット炎上」を招きかねないからです。このネット炎上こそが、日本における最も恐ろしいサイバー攻撃だと私は考えています。
+炎上が始まってバッシングの論調が高まると、標的になった企業の業務は止まります。サポートセンターは苦情の電話やメールへの対応にかかりっきりになりますし、広報担当者も忙殺される。営業担当者も本来の仕事を後回しにして、お詫び行脚をしなければならない。企業の活力を奪うという点で、ネット炎上は非常に厄介なサイバー攻撃だと言えるでしょう。
――監視の目が強まれば、企業のサイバーセキュリティー対策が進みそうです。
川合:ところが実態は逆なんです。 私の知り合いに「ペネトレーション(侵入)テスト」を手掛ける企業の技術者がいます。情報システムに脆弱性が潜んでいないか、攻撃者の視点で侵入を試みて弱点を探すサービスです。 「無料でいいので試してみませんか」と提案すると、多くの企業はこう答えるのだそうです。「課題が見つかると対策を求められる。そんな面倒なことはしたくない」。テストの結果次第では新たなシステム投資を迫られるかもしれないし、今までの働き方を変えざるを得なくなります。
+先手を打って対策をしてサイバー攻撃のリスクを軽減しても、米国のように評価されることはありません。仮に対策をしていても、事故が起きればひどいバッシングにさらされる。ならば、余計な仕事を増やさないのが得策だ。そう考える日本企業は意外と多いのです。
▽セキュリティーは「格差社会」
――しかし、セキュリティーに投資しない限り、新たな脅威には対抗できません。
川合:その通りなのですが、ITベンダーに対して不信感を抱く企業は少なくありません。 セキュリティーの分野では、売り手であるITベンダーと買い手となる一般企業との間に、圧倒的な情報格差があります。「この製品を導入しないと危険ですよ」と言われると、反論するのは難しい。これをいいことに、一部のITベンダーはこれまで、脅威をことさらに喧伝して高価な製品を売りつけてきました。“売り手の理屈”からすれば、それが正しい戦略なのでしょう。
+しかし、高度な製品を使いこなせる企業はほんの一握り。多くの企業では過去の投資が「宝の持ち腐れ」になっています。こうした経験が、企業経営者の投資意欲を削いでいるのです。
――カスペルスキーも、そうしたITベンダーの一社ですよね。
+川合:今の状況は、我々にとってデメリットでしかありません。当社の強みはパソコンやスマートフォンに導入するソフトウエア。高く売りつけて大きな利幅が稼げるような商材は扱っていないため、先述した情報格差を“悪用”して稼ぐことはできません。
+私が日本企業の皆さんに訴えたいのは、セキュリティーに関する思考停止から脱却しましょう、ということです。現状を放置していてもいいことは何もありません。日本全体のサイバー防衛レベルは高まらないし、限られたIT投資予算が“なんちゃって”セキュリティー製品に使われ続けることになります。
+真剣に比較してもらえれば、当社製品の優位性は分かっていただけると自負しています。比較した結果として、当社製品が使われなくてもいいんです。その過程で日本企業のセキュリティー意識が高まれば、状況は一歩前に進みます。日本市場を開拓したいモスクワの本社は不満を抱くでしょうけどね。
http://business.nikkeibp.co.jp/atcl/interview/16/102100010/102100004/?P=1
第四に、さらに上記特集の続きとして、同日付け同誌の「工場や発電所がサイバー攻撃の「次なる標的」 制御システムの第一人者、電気通信大の新誠一教授に聞く」を紹介しよう(▽は小見出し、――は聞き手の質問、+は回答の段落)。
・サイバー攻撃で狙われるのは、個人情報や企業機密といった「データ」だけではない。IoT(モノのインターネット)の進展により様々な「物体」がネットにつながり始めたことで、工場や発電所のような設備までが攻撃の対象となった。ウクライナでは実際に、サイバー攻撃により停電する事態が発生した。
・「サイバー無策 企業を滅ぼす」特集連動インタビューの第3回は、制御システムセキュリティーの第一人者である電気通信大学の新誠一教授。重要インフラがサイバー攻撃を受けるようになった一方で、日本独自の対策も始まったと語る。
――2015年末にウクライナの電力網がサイバー攻撃を受け、大規模停電が発生しました。発電所や交通システムといった重要インフラが、新たな脅威にさらされていることが鮮明になりました。
新:ウクライナは特殊ケースだと言う人もいますが、重要インフラへの攻撃は日本でも起こり得ると覚悟しておいた方がよいでしょう。 企業の人事・会計情報や業務上の機密を狙った「情報システム」へのサイバー攻撃が激化しています。1日に数回といった単位ではなく数万回、企業によっては数十万回というレベルで攻撃を受けています。そうした攻撃が最近、発電所や工場などをつかさどる「制御システム」に向けられるようになりました。
+工場の設計図や建物内の設備台帳、ネットワークの管理マニュアルなどはほとんどが電子化され、電力事業者や設備納入業者の情報システム内に格納されています。ここから機密が漏洩すると、さらなる攻撃の引き金になります。 建物内のどこにルーターが設置され、どんな設定になっているかが“丸裸”になると攻撃しやすい。そのため、悪意ある攻撃者はまず情報システムを陥落させ、次に制御システムを狙うわけです。
――「当社の工場はインターネットに接続していないから安全だ」という意見は、製造業を取材するとよく耳にします。
新:そういう主張を聞くたびに、片っ端から蹴飛ばしたくなりますよ(笑)。もしそんな発言をする無責任な経営者がいたら、いつでも連れてきて下さい。 工場内では今、多くのパソコンが稼働しています。それがないと仕事になりませんから。そうしたパソコンは「アップデート」のために、必ずインターネットに接続します。それが一つの侵入経路になるのです。私が訪れたある工場では、外部の人間が接続できる無線LAN環境が整備されていました。
+インターネットとの接点にファイアウオールなどを設置し、安全を保っていると反論されるのですが、きちんと運用されているかは不透明です。電源が落ちたら、セキュリティーの設定が初期状態に戻ってしまう製品すらあります。
――誰が制御システムを攻撃しているのでしょうか。
新:オーストラリアではかつて、下水道を管理していた職員が解雇された腹いせでシステムに侵入し、汚水をばらまくという事件が起きました。米国では子供が鉄道システムを乗っ取って、信号を変えてしまうというインシデント(重大事象)がありました。韓国では、マスメディアのシステムがダウンさせられたり、GPS信号が攪乱されたりといった被害が出ています。
▽原因を即座に特定するのは困難
――日本の電力システムや重要インフラがサイバー攻撃を受けたという話は、あまり聞こえてきません。 新:電力やガス、航空、金融といった重要インフラはそれぞれ所管省庁が決まっています。何らかのトラブルによって健康や安全、環境に問題が生じた場合、法令に基づき報告が求められます。仮に停電が起きた場合は経済産業省に、航空関連でトラブルがあったら国土交通省に情報が集約されることになります。
+事故が起きるたびに新聞やテレビで報じられますが、問題が発生した時点で全ての原因が特定できるわけではありません。機械のトラブルなのかソフトの設定ミスなのか、それともサイバー攻撃に起因するのかを判別するには時間が必要です。早くても1週間かかるでしょうし、何年経っても分からないということすらあります。 問題が特定されたからといって、それが報道されるとは限りません。政府や重要インフラ事業者も、いたずらに不安を煽るようなことを発表したくはないですからね。
――水面下では多くのサイバー攻撃にさらされている、と。
新:そうした可能性を踏まえ、政府は着実に手を打っています。 経産省は昨年、企業経営者向けに「サイバーセキュリティー経営ガイドライン」を策定しました。今年4月に電力小売りが自由化されましたが、新電力が既存の電力網に接続するには、電力制御に関するガイドラインを満たす必要があります。さらにIoT(モノのインターネット)やスマートメーターに関するセキュリティーのガイドラインも、相次ぎ登場しています。
+こうしたセキュリティーのガイドラインは、企業経営を大きく左右します。ガイドラインを無視して事故を起こした事業者は、その点を厳しく追及されるはずです。また今後は、サイバー攻撃対策を怠る企業は入札に参加できないなど、機会損失に見舞われることになるでしょう。こうした流れに対応できない経営者は、責任を問われかねません。
+情報システムに関しては、JIPDEC(日本情報経済社会推進協会)が主導するセキュリティーの認証制度が浸透しています。「ISMS(情報セキュリティーマネジメントシステム)認証」と呼ばれるもので、既に4000社以上が受けています。 2014年からはこの枠組みを、制御システムにも広げました。2016年3月には、東京ガスが日立LNG基地のセキュリティーについて「CSMS(サイバーセキュリティーマネジメントシステム)認証」を取得しました。日本独自の取り組みとして海外からも注目されています。
▽9つの模擬プラントで防衛訓練
――サイバー攻撃はどんどん高度化しています。軍隊が防衛を主導できない日本は、最初からハンディを背負っていると指摘する専門家がいます。
新:海外の軍隊のサイバー部隊については、機密情報が絡むので実態はよく分かりません。しかし民間では、日本のサイバー防衛対策は世界のトップレベルにあると考えています。宮城県多賀城市に構えた「制御システムセキュリティーセンター(CSSC)」がその象徴です。上下水道や発電所、組み立て工場など9つの模擬プラントを設置し、サイバー攻撃を受けたらシステムがどのような挙動を示すのか訓練を重ねています。
+CSSCを設置した狙いの一つは、情報システムと制御システムの両方に精通した人材を育てることです。マルウエア(悪意を持ったソフトウエアの総称)対策やファイアウオールの設定は、工場の現場で働く人にとっては縁遠い。一方で、人命に関わる安全対策は情報システムの経験だけでは学べない。両方のスキルを身に付けた人材が、今後は重要になっていきます。
+軍隊ではなく民間の設備で実施しているからこそ、様々な情報が共有できるという利点があります。サイバー防衛の分野で、日本が戦わずして負けているという論調に賛同することはできません。
http://business.nikkeibp.co.jp/atcl/interview/16/102100010/102400006/?P=1
第一の記事にある、『今回特徴的だったのは、マルウエアを感染させる対象となったのが、従来もっぱら狙われていたパソコンではなく、ルーターやWebカメラ、プリンターなど「IoT」系の機器だったことだ』、というのは恐ろしいことだ。「IoT」時代の到来と浮かれてはいられないようだ。
第二の記事で指摘している『「8歳児レベル」の非常に稚拙な攻撃でも、様々な企業から情報を盗むのに成功しています』、『違法に入手した情報を売るだけで、毎月数十万円を稼いでいるハッカーはたくさんいます』、というのも大変な時代になったことを改めて痛感させられた。『年金機構に関しては、政府が逆に「フルボッコ」にしてしまいました』、というのも困ったことだ。年金機構の対応がお粗末だったことは確かだが、政府は年金機構をスケープゴートにして責任転嫁をしただけだ。
第三の記事で指摘している (カペルスキーが、)『日本がかなり危険な状況に置かれていることを伝えたつもりなのですが、1年経っても何も変わっていません』、『日本では対照的に、可能な限り隠蔽しようとします。個人情報漏洩のように公表義務が課されている場合は別ですが、被害の事例を共有しようという意識に乏しい。サイバー被害に遭った事実やそのリスクを開示すると、それがかえって「バッシング」や「ネット炎上」を招きかねないからです』、というのも困ったことだ。『政府は企業に対策を丸投げするし、経営者も現場に判断を委ねている』、という末端任せの姿勢は確かに大きな問題だ。
第四の記事にある、『攻撃が最近、発電所や工場などをつかさどる「制御システム」に向けられるようになりました』、『米国では子供が鉄道システムを乗っ取って、信号を変えてしまうというインシデント(重大事象)がありました』、というのも恐ろしい話だ。新教授は、『日本のサイバー防衛対策は世界のトップレベルにあると考えています』、と安心させるようなことを言っているが、自分がそのプロジェクトに係わっている(?)が故の、政治的発言ではないかという気もする。
いずれにしろ、便利さの代償として、厄介な問題を抱えたものだ。
先ずは、10月24日付け日経Bpnet「大規模サイバー攻撃で大手ネットサービスが続々ダウン、「IoTの悪用」に震撼!」を紹介しよう(▽は小見出し)。
・10月21日、朝からの大規模なサイバー攻撃により、ツイッターやアマゾン、ペイパル、ネットフリックスなど、米東海岸地域の企業が提供する世界的規模のネットサービスが続々とダウンしたり接続しづらくなったりする障害が発生し、世界中に震撼が走った。日本でも、ツイッターで米国からの通信に遅れが生じるなどの影響が出た。
・障害の原因は、インターネットの“住所録”に相当する、ドメイン名とIPアドレスを対応させる「DNS(ドメインネームシステム)」のサービスを提供する米ダインに対して、大規模なDDoS(大規模分散型サービス妨害)攻撃が行われたことだった(参考:DNSサービスの「Dyn」に大規模DDoS攻撃、Twitterなどが影響受けダウン、ITpro)。
・DDoS攻撃とは、一般にマルウエア(ウイルスなどの不正プログラム)に感染させた多数のネットワーク機器から、標的となるサービスを提供しているサーバーに対して一斉にアクセスさせることで、サーバーをダウンさせたり動作を不安定にさせたりする攻撃手法である。
・ただ、今回特徴的だったのは、マルウエアを感染させる対象となったのが、従来もっぱら狙われていたパソコンではなく、ルーターやWebカメラ、プリンターなど「IoT(モノのインターネット)」系の機器だったことだ。パスワードが初期設定のままなど、管理が行き届いていないIoT機器が狙われたと見られている(参考:Mirai Botnet Linked to Dyn DNS DDoS Attacks、Flashpoint)。
▽日本でも「ツイッターが重い」で検索する人が急増
・攻撃は21日午前7時(米東部時間、日本は同日午後9時)に発生、約2時間後には一度復旧したものの、午後0時(同、日本は翌22日2時)に再度攻撃が始まった。二度目の攻撃は、最初の攻撃よりもより広い地域から攻撃を受けたという。攻撃には第3波もあったが、これは防御に成功したとのことだ。
・最終的に復旧したのは、攻撃開始から6時間後の午後1時(同、日本は午前3時)だった。この間、実に1000万近くものIPアドレスから攻撃があったという。日本でも「ツイッターが重い」という検索ワードが21日23時頃から翌5時にかけて急上昇した。ツイッターでも22日午前3時頃から「Twitter調子」「DDoS」が、朝には「サイバー攻撃」がトレンド入りした。
・今回、攻撃に利用されたマルウエアは「Mirai」と呼ばれているもの。米国のジャーナリスト、ブライアン・クレブス氏が運営するセキュリティ情報サイト「クレブス・オン・セキュリティ」が9月20日に、またフランスのプロバイダーOVHが9月22日にそれぞれDDoS攻撃を受けた際にも使われたとされる。
・クレブズ氏のサイトは「620Gbps」という、過去に記録されたことがない規模(1秒当たりの通信容量)のDDoS攻撃を受けた。一方のOVHも「1Tbps近いDDoSを受けた」と発表している。クレブス氏のサイトをホスティングしていた米通信インフラ企業アカマイ・テクノロジーズによると、この事件までに同社が経験した最大規模のDDoS攻撃は363Gbpsだったという(参考:セキュリティニュースサイトに史上最大規模のDDoS攻撃、1Tbpsのトラフィックも、ITmedia)。
▽「世の中のあらゆるものが悪用される」時代に突入
・Miraiは、とある英語のハッカーコミュニティに対して10月1日、「Anna-senpai」なるアカウントを持つ人物からソースコードがアップロードされたものだとされる。プログラムを起動すると、パスワードが初期設定や簡単なままで使われているIoT機器をスキャンし、次々と感染して「ボットネット(Botnet)」を形成。攻撃者がボットネットに命令を下すと、指定した目標に一斉に攻撃を仕掛ける(参考:史上最大級のDDoS攻撃に使われたマルウエア「Mirai」公開、作者がIoTを悪用、ITmedia)。
・クレブス氏によると、Miraiはメモリーに感染するタイプのため、感染した機器の電源をいったん切れば元に戻るだろうと説明している。また、感染前の対策としては、「インターネットに接続しているあらゆる機器の設定を初期設定のまま放置しないこと」が唯一の対策だという。 Mirai自体は必ずしも高度なプログラムではないが、ソースコードが公開されているため、今後さまざまに改造され、より高度な感染や攻撃が行われる危険性は高い。Miraiは、IoTの時代に行われた攻撃としては最も成功したマルウエアとなった。
・我々ができる対策は、ネットにつながるあらゆる機器に対して、「初期パスワードのままでは使わない」「脆弱性があったり暗号化されていなかったりするプロトコルは使わないように設定する」など、基本的な設定を漏れなく施すことしかない(参考:Krebs 氏に対する DDoS 攻撃で使用された「IoT」マルウエア Mirai がオープンソース化される、Sophos)。
・IoTが爆発的に普及していくこれからの時代、「身のまわりのあらゆるものがネットに接続するようになる可能性があり、それらが悪用される危険性がある」ということを常に念頭に置いておきたい。
http://www.nikkeibp.co.jp/atcl/column/16/ronten/102400015/?P=1
次に、10月25日付け日経ビジネスオンライン「“8歳児”のサイバー攻撃に負ける日本企業 “サイバー無策”のツケを払うのはこれからだ」を紹介しよう(▽は小見出し、――は聞き手の質問、+は回答の段落)。
・日経ビジネス10月31日号では「サイバー無策 企業を滅ぼす」と題する特集記事を掲載する。煽り気味のタイトルのようだが、決して誇張ではない。10月21日(金曜日)には米国で、大規模なサイバー攻撃が発生。ツイッターやペイパル、スポティファイなど日本でも馴染みのある米国のウェブサービスが一時、利用できない状況に追い込まれた。日本も決して対岸の火事ではいられない。
・しかし、日本企業は長年、そうした「リスク」を軽視してきた。国家は企業に対策を丸投げし、経営者は現場の担当に責任を押し付ける。そして多くの企業の現場では「ヒト・モノ・カネ」が十分に与えられず、無為に時間を過ごしてきた。その“サイバー無策”のツケを支払う時期を、日本企業は迎えようとしている。 連動インタビューの第1回目に登場するのは、サイバーディフェンス研究所の名和利男・上級分析官。航空自衛隊で防空システムなどを担当した専門家が、近年激増している“子供”のサイバー攻撃の背景を語る。
――サイバー攻撃の被害に遭う企業が後を絶ちません。攻撃の手口が巧妙化しており、対策が間に合わないという悲鳴が聞こえてきます。
名和:正直に答えると各方面から怒られそうですが、高度な攻撃だけでなく“子供”のサイバー攻撃にも耐えられないのが、多くの日本企業の実情だと思います。 8歳ぐらいの子供は、大人の行動を真似て悪いことをしたがりますよね。こうした幼稚な攻撃者が、最近、サイバー空間で激増しています。訓練を受けずに場当たり的にサイバー攻撃を仕掛けてくるため、ほとんどのケースは失敗します。しかし子供の力でも、繰り返し殴られるとやっぱり痛い。専門家からすれば「8歳児レベル」の非常に稚拙な攻撃でも、様々な企業から情報を盗むのに成功しています。
――なぜ“子供”がサイバー攻撃に手を出すのでしょうか。
名和:一言で言えば儲かるからです。 日本企業から盗んだ情報は、特に中国で高く売れます。漢字を使っているため理解しやすいうえ、貴重な情報が無防備に置かれているケースも多い。しかも情報は腐らず、売ってもなくなることがない。再生産するための工場設備すら必要ない。
+違法に入手した情報を売るだけで、毎月数十万円を稼いでいるハッカーはたくさんいます。裏社会における“成功者”に憧れて、サイバー攻撃に手を染める“子供”がどんどん増えているのです。
+見破られなかった攻撃手法を、数万円で販売する技術者も増えてきました。中国語で検索すれば、ハッキングのマニュアルが大量に探せるでしょう。見よう見まねで攻撃できるツールもすぐに手に入ります。
――子供ではなく、“大人”のサイバー攻撃も増えているのでしょうか。
名和:国家が関与しなければできないような、組織的な攻撃も相次いでいます。被害に遭った企業を調査すると、たまに芸術的としか表現できない攻撃手法を発見することがあります。複数の専門家が周到に準備を整え、一糸乱れず攻撃する。“子供”が場当たり的にやっているとは、到底考えられません。
+こうした“大人”のサイバー攻撃を、日本企業が防ぐのはまず不可能です。絶対にやられます。国家が意志を持ってサイバー空間で攻撃やテロを仕掛けてきた場合、それを防御する組織が日本にはないからです。
▽国が企業を「フルボッコ」
――自衛隊がいるのでは。
名和:物理空間では守ってくれるでしょう。しかし、サイバー空間ではどうでしょうか。 昨年、日本年金機構がサイバー攻撃を受け100万件超の個人情報が流出しました。今年はJTBが被害に遭っています。もし、これらの攻撃の背後にどこかの国がいた場合、JTBなどを守るのは日本政府の役割です。 ところが現実は違います。年金機構に関しては、政府が逆に「フルボッコ」にしてしまいました。フルボッコとは、フルパワーでボッコボコにするという「2ちゃんねる」用語ですね。年金機構のあら探しをするようなリポートを出して、再起不能な状態に追い込んでしまった印象です。
+国家レベルのサイバー攻撃に対抗するには、相応の体制が必要です。物理空間でも、民間企業が自衛のために戦闘機を持つことはできません。国が考えるしかないのです。 しかし今、日本政府がやっているのは、民間企業の自己防衛力を高めさせるための取り組みです。各省庁が必死になって様々な施策を掲げていますが、民間の手に余る攻撃への対処はほとんど議論されていません。
――民間に丸投げされても困ります。
名和:そうでしょうね。サイバー攻撃に対して“無策”なのは、民間の経営者も同じですから。特に60歳以上の経営者は、変化に対して強い拒否反応を示しているように見えます。 “ガラケー”を使っていた人が、スマートフォンへの乗り換えを頑として拒否する理屈と同じです。新しいことを学びたくない、分からないことは見て見ぬふりで済ませたい。セキュリティーに関して、そんな意識を持っている経営者はかなり多いと思います。
+日本企業は本来、もっとセキュリティー対策に投資すべきだったと思います。ところが目先の利益を優先して、問題を先送りしてしまった。危険を軽視してきたツケを、これから支払うことになるのでしょう。
▽業務委託先や下請け企業がリスク
――「ウチみたいな中小企業を狙うはずがない」と高をくくっている経営者もいます。
名和:最近、大手建設会社と打ち合わせをしたのですが、設計書の流出が一番怖いと話していました。仮に空港の設計情報が外部に漏れたら、テロ対策などを抜本的に考え直さないといけません。 そうした情報は、1次請け、2次請けを含めたサプライチェーンの様々なところに分散しています。中小企業だからといって、セキュリティーを無視できると考えるのは大間違いです。
+今の日本では、セキュリティー対策はペイしません。例えば2社で受注を争っている場合、セキュリティーを軽視して安値で応札した企業の方が有利になります。真面目に頑張ってセキュリティーに投資しても、ビジネス上のメリットが見込みづらいのです。
+市場経済に任せていては、日本のセキュリティー水準は向上しません。だからと言って、法律で厳しく網を掛けると経済の活力を奪いかねない。どうすれば企業経営者が真剣にセキュリティーを考えるようになるのか。当面は試行錯誤しながら、少しずつ進むしかありません。
http://business.nikkeibp.co.jp/atcl/interview/16/102100010/102100003/?P=1
第三に、上記特集の続きとして、同日付け同誌の「「ネット炎上」こそ最強のサイバー攻撃だ 日本企業がサイバー被害を「隠す」理由」を紹介しよう(▽は小見出し、――は聞き手の質問、+は回答の段落)。
・日本企業のサイバーセキュリティー対策が進まない背景には、「ネット炎上」への恐怖がある。被害実態やそのリスクを公表して炎上が始まると、関係部門は対応に忙殺され業務がストップしかねないからだ。それを心配しすぎるあまり、日本企業は被害の隠蔽に走るという。
・「サイバー無策 企業を滅ぼす」特集連動インタビューの第2回に登場するのは、ロシアのセキュリティーソフト大手カスペルスキーで日本法人の代表を務める川合林太郎社長。セキュリティー製品の“売り手”であるITベンダーにもサイバー無策の原因があると語る。
――日本国内の組織を“狙い撃ち”するサイバー攻撃が続いています。カスペルスキーは昨年、日本年金機構を襲った攻撃が「Blue Termite:ブルーターマイト」と呼ばれる組織的なものだと発表し、警鐘を鳴らしてきました。以降、日本企業の意識は変わったのでしょうか。
川合:様々な事実を基に、日本がかなり危険な状況に置かれていることを伝えたつもりなのですが、1年経っても何も変わっていません。日本企業にとって、サイバー攻撃は今なお“人ごと”に過ぎないんですよ。どうすれば自らの問題としてサイバー攻撃を捉えてもらえるのか。やや途方に暮れている状態です。
――経済産業省は昨年末、経営者向けのサイバーセキュリティーのガイドラインを発表しました。金融庁は銀行などを対象にしたサイバー防衛演習を強化しています。政府の危機感はそれなりに強いと思いますが。
川合:確かに政府の意識は変わりつつあります。様々な組織がサイバーセキュリティーへの取り組みを強化し、企業向けの対策マニュアルなどを提供しています。ところが残念なことに、こうしたマニュアルが難解なのです。セキュリティーの専門家が詳しい人に向けて書いているため、一般の社会人が読んで理解できるレベルになっていません。
+たとえは乱暴ですが、小学生に六法全書を渡したうえで「これを読んで世の中の仕組みと法律を理解しなさい」と言っているようなものです。技術的なバックグラウンドがない経営者が理解するのは難しいでしょう。 日本におけるサイバーセキュリティーの問題点は明確です。「末端」任せになっていることです。政府は企業に対策を丸投げするし、経営者も現場に判断を委ねている。「攻撃を受けないように工夫しろ」「システムの脆弱性がないか常に監視しろ」と義務ばかり押し付ける一方で、「予算やルールは現場で考えるのが当たり前」と突き放す。これでは、セキュリティーを強化しようというモチベーションは高まりませんよね。
+政府が企業経営者にサイバーセキュリティーを考えさせたいなら、何らかのメリットを示す必要があります。ある程度の対策を講じている企業は、銀行からお金が借りやすくなったり、(情報漏洩などの損害をカバーする)保険の料率が下がったりするなど、金銭的なインセンティブが重要です。これまでのように脅威を指摘し続けるだけでは、経営者の行動を変えるのは難しい。
▽リスクを開示すると逆効果に
――「北風と太陽」の寓話みたいですね。
川合:海外と比べると、日本企業の経営者はサイバー攻撃にともなう企業イメージの悪化を非常に気にしますね。これも、日本のサイバーセキュリティー強化を阻む一因になっています。 米国企業はサイバー防衛対策の開示に積極的です。サイバー攻撃の被害実態やその可能性を財務関係書類に記載する義務がありますし、リスクを開示したからと言って評判が下がることはありません。むしろ「きちんと対策を講じている」と評価されるのが通常です。
+日本では対照的に、可能な限り隠蔽しようとします。個人情報漏洩のように公表義務が課されている場合は別ですが、被害の事例を共有しようという意識に乏しい。サイバー被害に遭った事実やそのリスクを開示すると、それがかえって「バッシング」や「ネット炎上」を招きかねないからです。このネット炎上こそが、日本における最も恐ろしいサイバー攻撃だと私は考えています。
+炎上が始まってバッシングの論調が高まると、標的になった企業の業務は止まります。サポートセンターは苦情の電話やメールへの対応にかかりっきりになりますし、広報担当者も忙殺される。営業担当者も本来の仕事を後回しにして、お詫び行脚をしなければならない。企業の活力を奪うという点で、ネット炎上は非常に厄介なサイバー攻撃だと言えるでしょう。
――監視の目が強まれば、企業のサイバーセキュリティー対策が進みそうです。
川合:ところが実態は逆なんです。 私の知り合いに「ペネトレーション(侵入)テスト」を手掛ける企業の技術者がいます。情報システムに脆弱性が潜んでいないか、攻撃者の視点で侵入を試みて弱点を探すサービスです。 「無料でいいので試してみませんか」と提案すると、多くの企業はこう答えるのだそうです。「課題が見つかると対策を求められる。そんな面倒なことはしたくない」。テストの結果次第では新たなシステム投資を迫られるかもしれないし、今までの働き方を変えざるを得なくなります。
+先手を打って対策をしてサイバー攻撃のリスクを軽減しても、米国のように評価されることはありません。仮に対策をしていても、事故が起きればひどいバッシングにさらされる。ならば、余計な仕事を増やさないのが得策だ。そう考える日本企業は意外と多いのです。
▽セキュリティーは「格差社会」
――しかし、セキュリティーに投資しない限り、新たな脅威には対抗できません。
川合:その通りなのですが、ITベンダーに対して不信感を抱く企業は少なくありません。 セキュリティーの分野では、売り手であるITベンダーと買い手となる一般企業との間に、圧倒的な情報格差があります。「この製品を導入しないと危険ですよ」と言われると、反論するのは難しい。これをいいことに、一部のITベンダーはこれまで、脅威をことさらに喧伝して高価な製品を売りつけてきました。“売り手の理屈”からすれば、それが正しい戦略なのでしょう。
+しかし、高度な製品を使いこなせる企業はほんの一握り。多くの企業では過去の投資が「宝の持ち腐れ」になっています。こうした経験が、企業経営者の投資意欲を削いでいるのです。
――カスペルスキーも、そうしたITベンダーの一社ですよね。
+川合:今の状況は、我々にとってデメリットでしかありません。当社の強みはパソコンやスマートフォンに導入するソフトウエア。高く売りつけて大きな利幅が稼げるような商材は扱っていないため、先述した情報格差を“悪用”して稼ぐことはできません。
+私が日本企業の皆さんに訴えたいのは、セキュリティーに関する思考停止から脱却しましょう、ということです。現状を放置していてもいいことは何もありません。日本全体のサイバー防衛レベルは高まらないし、限られたIT投資予算が“なんちゃって”セキュリティー製品に使われ続けることになります。
+真剣に比較してもらえれば、当社製品の優位性は分かっていただけると自負しています。比較した結果として、当社製品が使われなくてもいいんです。その過程で日本企業のセキュリティー意識が高まれば、状況は一歩前に進みます。日本市場を開拓したいモスクワの本社は不満を抱くでしょうけどね。
http://business.nikkeibp.co.jp/atcl/interview/16/102100010/102100004/?P=1
第四に、さらに上記特集の続きとして、同日付け同誌の「工場や発電所がサイバー攻撃の「次なる標的」 制御システムの第一人者、電気通信大の新誠一教授に聞く」を紹介しよう(▽は小見出し、――は聞き手の質問、+は回答の段落)。
・サイバー攻撃で狙われるのは、個人情報や企業機密といった「データ」だけではない。IoT(モノのインターネット)の進展により様々な「物体」がネットにつながり始めたことで、工場や発電所のような設備までが攻撃の対象となった。ウクライナでは実際に、サイバー攻撃により停電する事態が発生した。
・「サイバー無策 企業を滅ぼす」特集連動インタビューの第3回は、制御システムセキュリティーの第一人者である電気通信大学の新誠一教授。重要インフラがサイバー攻撃を受けるようになった一方で、日本独自の対策も始まったと語る。
――2015年末にウクライナの電力網がサイバー攻撃を受け、大規模停電が発生しました。発電所や交通システムといった重要インフラが、新たな脅威にさらされていることが鮮明になりました。
新:ウクライナは特殊ケースだと言う人もいますが、重要インフラへの攻撃は日本でも起こり得ると覚悟しておいた方がよいでしょう。 企業の人事・会計情報や業務上の機密を狙った「情報システム」へのサイバー攻撃が激化しています。1日に数回といった単位ではなく数万回、企業によっては数十万回というレベルで攻撃を受けています。そうした攻撃が最近、発電所や工場などをつかさどる「制御システム」に向けられるようになりました。
+工場の設計図や建物内の設備台帳、ネットワークの管理マニュアルなどはほとんどが電子化され、電力事業者や設備納入業者の情報システム内に格納されています。ここから機密が漏洩すると、さらなる攻撃の引き金になります。 建物内のどこにルーターが設置され、どんな設定になっているかが“丸裸”になると攻撃しやすい。そのため、悪意ある攻撃者はまず情報システムを陥落させ、次に制御システムを狙うわけです。
――「当社の工場はインターネットに接続していないから安全だ」という意見は、製造業を取材するとよく耳にします。
新:そういう主張を聞くたびに、片っ端から蹴飛ばしたくなりますよ(笑)。もしそんな発言をする無責任な経営者がいたら、いつでも連れてきて下さい。 工場内では今、多くのパソコンが稼働しています。それがないと仕事になりませんから。そうしたパソコンは「アップデート」のために、必ずインターネットに接続します。それが一つの侵入経路になるのです。私が訪れたある工場では、外部の人間が接続できる無線LAN環境が整備されていました。
+インターネットとの接点にファイアウオールなどを設置し、安全を保っていると反論されるのですが、きちんと運用されているかは不透明です。電源が落ちたら、セキュリティーの設定が初期状態に戻ってしまう製品すらあります。
――誰が制御システムを攻撃しているのでしょうか。
新:オーストラリアではかつて、下水道を管理していた職員が解雇された腹いせでシステムに侵入し、汚水をばらまくという事件が起きました。米国では子供が鉄道システムを乗っ取って、信号を変えてしまうというインシデント(重大事象)がありました。韓国では、マスメディアのシステムがダウンさせられたり、GPS信号が攪乱されたりといった被害が出ています。
▽原因を即座に特定するのは困難
――日本の電力システムや重要インフラがサイバー攻撃を受けたという話は、あまり聞こえてきません。 新:電力やガス、航空、金融といった重要インフラはそれぞれ所管省庁が決まっています。何らかのトラブルによって健康や安全、環境に問題が生じた場合、法令に基づき報告が求められます。仮に停電が起きた場合は経済産業省に、航空関連でトラブルがあったら国土交通省に情報が集約されることになります。
+事故が起きるたびに新聞やテレビで報じられますが、問題が発生した時点で全ての原因が特定できるわけではありません。機械のトラブルなのかソフトの設定ミスなのか、それともサイバー攻撃に起因するのかを判別するには時間が必要です。早くても1週間かかるでしょうし、何年経っても分からないということすらあります。 問題が特定されたからといって、それが報道されるとは限りません。政府や重要インフラ事業者も、いたずらに不安を煽るようなことを発表したくはないですからね。
――水面下では多くのサイバー攻撃にさらされている、と。
新:そうした可能性を踏まえ、政府は着実に手を打っています。 経産省は昨年、企業経営者向けに「サイバーセキュリティー経営ガイドライン」を策定しました。今年4月に電力小売りが自由化されましたが、新電力が既存の電力網に接続するには、電力制御に関するガイドラインを満たす必要があります。さらにIoT(モノのインターネット)やスマートメーターに関するセキュリティーのガイドラインも、相次ぎ登場しています。
+こうしたセキュリティーのガイドラインは、企業経営を大きく左右します。ガイドラインを無視して事故を起こした事業者は、その点を厳しく追及されるはずです。また今後は、サイバー攻撃対策を怠る企業は入札に参加できないなど、機会損失に見舞われることになるでしょう。こうした流れに対応できない経営者は、責任を問われかねません。
+情報システムに関しては、JIPDEC(日本情報経済社会推進協会)が主導するセキュリティーの認証制度が浸透しています。「ISMS(情報セキュリティーマネジメントシステム)認証」と呼ばれるもので、既に4000社以上が受けています。 2014年からはこの枠組みを、制御システムにも広げました。2016年3月には、東京ガスが日立LNG基地のセキュリティーについて「CSMS(サイバーセキュリティーマネジメントシステム)認証」を取得しました。日本独自の取り組みとして海外からも注目されています。
▽9つの模擬プラントで防衛訓練
――サイバー攻撃はどんどん高度化しています。軍隊が防衛を主導できない日本は、最初からハンディを背負っていると指摘する専門家がいます。
新:海外の軍隊のサイバー部隊については、機密情報が絡むので実態はよく分かりません。しかし民間では、日本のサイバー防衛対策は世界のトップレベルにあると考えています。宮城県多賀城市に構えた「制御システムセキュリティーセンター(CSSC)」がその象徴です。上下水道や発電所、組み立て工場など9つの模擬プラントを設置し、サイバー攻撃を受けたらシステムがどのような挙動を示すのか訓練を重ねています。
+CSSCを設置した狙いの一つは、情報システムと制御システムの両方に精通した人材を育てることです。マルウエア(悪意を持ったソフトウエアの総称)対策やファイアウオールの設定は、工場の現場で働く人にとっては縁遠い。一方で、人命に関わる安全対策は情報システムの経験だけでは学べない。両方のスキルを身に付けた人材が、今後は重要になっていきます。
+軍隊ではなく民間の設備で実施しているからこそ、様々な情報が共有できるという利点があります。サイバー防衛の分野で、日本が戦わずして負けているという論調に賛同することはできません。
http://business.nikkeibp.co.jp/atcl/interview/16/102100010/102400006/?P=1
第一の記事にある、『今回特徴的だったのは、マルウエアを感染させる対象となったのが、従来もっぱら狙われていたパソコンではなく、ルーターやWebカメラ、プリンターなど「IoT」系の機器だったことだ』、というのは恐ろしいことだ。「IoT」時代の到来と浮かれてはいられないようだ。
第二の記事で指摘している『「8歳児レベル」の非常に稚拙な攻撃でも、様々な企業から情報を盗むのに成功しています』、『違法に入手した情報を売るだけで、毎月数十万円を稼いでいるハッカーはたくさんいます』、というのも大変な時代になったことを改めて痛感させられた。『年金機構に関しては、政府が逆に「フルボッコ」にしてしまいました』、というのも困ったことだ。年金機構の対応がお粗末だったことは確かだが、政府は年金機構をスケープゴートにして責任転嫁をしただけだ。
第三の記事で指摘している (カペルスキーが、)『日本がかなり危険な状況に置かれていることを伝えたつもりなのですが、1年経っても何も変わっていません』、『日本では対照的に、可能な限り隠蔽しようとします。個人情報漏洩のように公表義務が課されている場合は別ですが、被害の事例を共有しようという意識に乏しい。サイバー被害に遭った事実やそのリスクを開示すると、それがかえって「バッシング」や「ネット炎上」を招きかねないからです』、というのも困ったことだ。『政府は企業に対策を丸投げするし、経営者も現場に判断を委ねている』、という末端任せの姿勢は確かに大きな問題だ。
第四の記事にある、『攻撃が最近、発電所や工場などをつかさどる「制御システム」に向けられるようになりました』、『米国では子供が鉄道システムを乗っ取って、信号を変えてしまうというインシデント(重大事象)がありました』、というのも恐ろしい話だ。新教授は、『日本のサイバー防衛対策は世界のトップレベルにあると考えています』、と安心させるようなことを言っているが、自分がそのプロジェクトに係わっている(?)が故の、政治的発言ではないかという気もする。
いずれにしろ、便利さの代償として、厄介な問題を抱えたものだ。
タグ:情報セキュリティー 一部のITベンダーはこれまで、脅威をことさらに喧伝して高価な製品を売りつけてきました セキュリティーのガイドライン 日本におけるサイバーセキュリティーの問題点は明確です。「末端」任せになっていることです 銀行などを対象にしたサイバー防衛演習を強化 セキュリティーの認証制度 ウクライナの電力網がサイバー攻撃を受け、大規模停電が発生 日本年金機構がサイバー攻撃を受け100万件超の個人情報が流出 府は企業に対策を丸投げするし、経営者も現場に判断を委ねている 技術的なバックグラウンドがない経営者が理解するのは難しいでしょう 制御システムにも広げました 経営者向けのサイバーセキュリティーのガイドライン 金融庁 日本企業にとって、サイバー攻撃は今なお“人ごと”に過ぎないんですよ 経済産業省 JIPDEC 日本がかなり危険な状況に置かれていることを伝えたつもりなのですが、1年経っても何も変わっていません 日本法人の代表を務める川合林太郎社長 カスペルスキー 「ネット炎上」こそ最強のサイバー攻撃だ 日本企業がサイバー被害を「隠す」理由 制御システムセキュリティーセンター(CSSC) 日本のサイバー防衛対策は世界のトップレベルにあると考えています 仮に空港の設計情報が外部に漏れたら、テロ対策などを抜本的に考え直さないといけません 国家レベルのサイバー攻撃に対抗するには、相応の体制が必要 業務委託先や下請け企業がリスク 年金機構に関しては、政府が逆に「フルボッコ」にしてしまいました 工場や発電所がサイバー攻撃の「次なる標的」 制御システムの第一人者、電気通信大の新誠一教授に聞く JTBが被害 見破られなかった攻撃手法を、数万円で販売する技術者も増えてきました 国家が関与しなければできないような、組織的な攻撃も相次いでいます 日本企業から盗んだ情報は、特に中国で高く売れます 「8歳児レベル」の非常に稚拙な攻撃でも、様々な企業から情報を盗むのに成功しています 違法に入手した情報を売るだけで、毎月数十万円を稼いでいるハッカーはたくさんいます 日本企業は長年、そうした「リスク」を軽視 “8歳児”のサイバー攻撃に負ける日本企業 “サイバー無策”のツケを払うのはこれからだ 日経ビジネスオンライン 大規模サイバー攻撃で大手ネットサービスが続々ダウン、「IoTの悪用」に震撼! 国家は企業に対策を丸投げし、経営者は現場の担当に責任を押し付ける。そして多くの企業の現場では「ヒト・モノ・カネ」が十分に与えられず、無為に時間を過ごしてきた “サイバー無策”のツケを支払う時期を、日本企業は迎えようとしている IoT IoTの時代に行われた攻撃としては最も成功したマルウエア Mirai 日経BPnet 米ダインに対して、大規模なDDoS(大規模分散型サービス妨害)攻撃 今回特徴的だったのは、マルウエアを感染させる対象となったのが、従来もっぱら狙われていたパソコンではなく、ルーターやWebカメラ、プリンターなど「IoT(モノのインターネット)」系の機器だったことだ ツイッターやアマゾン、ペイパル、ネットフリックスなど、米東海岸地域の企業が提供する世界的規模のネットサービスが続々とダウンしたり接続しづらくなったりする障害が発生 (その1)激化するサイバー攻撃 サイバー犯罪
2016-11-01 20:38
nice!(0)
コメント(1)
トラックバック(0)
現在の機械工学における構造材料の耐久性に対する主な問題点は強度ではなく、摩擦にある。島根大学の客員教授である久保田邦親博士らが境界潤滑(機械工学における摩擦の中心的モード)の原理をついに解明。名称は炭素結晶の競合モデル/CCSCモデル「通称、ナノダイヤモンド理論」は開発合金Xの高面圧摺動特性を説明できるだけでなく、その他の境界潤滑現象にかかわる広い説明が可能な本質的理論で、更なる機械の高性能化に展望が開かれたとする識者もある。幅広い分野に応用でき今後48Vハイブリッドエンジンのコンパクト化(ピストンピンなど)の開発指針となってゆくことも期待されている。
by 世紀の夢(ノーベル賞級のグローバルインパクト) (2017-10-25 07:39)