アジア太平洋地域はセキュリティ対策に遅れあり、CSIRT立ち上げだけでなくそれがきちんと機能するかを事前評価すべし
ファイア・アイ株式会社
執行役員 副社長 岩間優仁氏
「アジア太平洋地域では、サイバー攻撃が増えています」と語るのはファイア・アイ株式会社 執行役員 副社長 岩間優仁氏。ファイア・アイでは中国の攻撃グループの動向を監視している。中国からの攻撃の数は減っているが、確認している72の攻撃グループの数は2013年から減っていない。そんな攻撃グループの中でも、中国人民解放軍がバックにいると思われる13のグループは、攻撃のツールを変え攻撃手法を工夫し活動を活発にしているという。
もう1つの傾向として見て取れるのが、北朝鮮からの攻撃だ。主には韓国に向けてのサイバー攻撃が確認されているが、米国や日本に向けたものもあり、不正送金などが行われている。
「2013年にブラックソウルという北朝鮮が韓国を攻撃していたのとまったく同じマルウェアが使われていたり、中の暗号化が同じ別のマルウェアだったりと、北朝鮮の関与が疑われる攻撃が増えています」と岩間氏。北朝鮮に対しては金融制裁などで、外貨を稼ぐことが難しい状況がある。お金を他の方法でどうやって得るのか、その1つの方法としてサイバー攻撃を使っているというわけだ。その際のターゲットには日本も入っている。
もう1つ特長的なのが、2015年から2016年にかけランサムウェアが増えていることが挙げられる。ターゲットとして一番多いのは米国で、日本、韓国と続く。クレジットカード情報を盗み、それを使ってお金にするにはたくさんのプロセスが必要だ。換金するまでには時間もかかり、簡単にはお金にできない。一方でランサムウェアは、ビットコインを要求するなどで、それが手に入れば簡単に換金できる攻撃となっている。なので、組織力のないようなところでもランサムウェアを使った攻撃は有効であり、アジア地域内でもランサムウェアの攻撃が増えているようだ。
アジア太平洋地域の組織はセキュリティ対策のスキルも人材も不足がち
ファイア・アイの公表しているセキュリティに関するレポート「M-Trends」を見ると、アジア太平洋とその他地域のセキュリティ対策状況の違いが明らかになる。1つは、攻撃されセキュリティ侵害が起きてから、それが発覚するまでにかかる時間だ。全世界の平均が146日なのに対し、アジア太平洋地域は520日もかかっている。さらには外部からの指摘で始めて気付くことがほとんどなのだ。全世界平均の日数を下げているのは米国であり、これは米国の組織が近年セキュリティ対策を積極的に施した結果だそうだ。
一方でアジア太平洋地域やヨーロッパなどは対策が遅れている。多くのアジア太平洋地域の組織では、セキュリティ侵害の特定に必要な専門知識やテクノロジー、脅威情報が不足しており、サイバーセキュリティ人材の不足もある。情報公開、共有が十分でないことも日数がかかる原因となっている。
攻撃としては、スピア・フィッシングが多い。通常のITシステムのネットワークだけでなく、工場などで利用しているワイヤレスLANを利用するような攻撃も出てきている。また、狙いを定めて特定の人に電話してくるなど、攻撃の手法もかなり巧妙化している。盗まれる情報はメールが多く、全体の4割を占める。メールから盗まれるのは、特許情報などの重要情報だけではない。その特許を活用するために必要となる、プロセスや組織に関する情報を丸ごと盗み出すようだ。こういった情報を網羅的に取得するには、メールでやり取りされている情報を盗むのがかなり有効なのだ。そのため狙われるのは、重要情報を含むメールのやり取りを行っている会社経営層メンバーとなる。
「重要なのはマルウェアやウィルスではなく、攻撃者が工夫して攻撃してくることを意識することです。個人ではなく組織だって攻撃してきます。潤沢な資金をもった、プロの集団がきているのです。そのことを認識する必要があります。そして攻撃は何回もやって来ます。1回だけでなく、何回でも入りやすくするような工夫もしています」(岩間氏)
攻撃にはライフサイクルがあり、1回侵入したら終わりというわけではない。事前の偵察を十分にし、まずは侵入の足がかりを作る。そこからより権威の高い権限を手に入れ、最終的には縦横無尽に情報を盗むことになる。この対策として、侵入されないように完璧な防御をすることはもはや不可能だ。だとすればどうすればいいのか。とにかく侵入を速く見つけることが重要となる。そして、侵入された後にどう対処するかも含め、あらかじめ考えておかなければならないのだ。
