サイバー攻撃


国際ハッカー集団「アノニマス」が、北朝鮮のサイトをサイバー攻撃し、金正恩氏の風刺写真を掲載したり、韓国向け宣伝サイト「わが民族同士」の会員情報1万5千件を2回に分けて公表しました。2013年4月4日と6日のことです。韓国では、全てのメディアが大々的に報道を続け、公開された会員リストの中から、韓国内の親北朝鮮(協力者の可能性)を探し出そうとする騒ぎになっています。また、拉致被害者が多く住むとされる地域の住民リストも流出し、拉致被害者の生存確認の為に、姓名分析が行われているそうです。

アノニマスのメンバーは、韓国メディアとのツィッター・インタビューに応じ、北朝鮮内に閉じたネットワークに忍者ゲートウェイを設置し、オープン・ネットワークと連動させる予定だと発言しています。こうして、公的機関のサイトをマヒさせ、北の国民に真の情報を提供し、意見発信の場を与えるとします。最終的にはインターネット社会において北朝鮮政府を封じ込めることが目標だと言っています。

アノニマスのこの行為に対して、韓国メディアは好意的で、まるで正義の戦士です。韓国内30名前後とされるアノニマス参加者が急増しているとのこと。日本のメディアも報道しますが、北朝鮮がサイバー攻撃を受けているのを歓迎している様子がアリアリです。

2010年に明るみに出た、米、イスラエル共同作戦「オリンピックゲーム」は6年以上に渡って、イランの核施設の機密情報を入手し、2008年にはウィルスによってウラン濃縮施設の遠心分離機を一部破壊しました。この時も西側メディアは、よくやったとの反応でした。

妙な話ですが、攻撃を受ける側にとっては犯罪行為であり、攻撃する側には合法的行為だとされます。まさに武力抗争です。米政府は、陸海空宇宙につぐ第5の戦場としてサイバー空間を設定し、国防の一部としました。予算と要員の大幅増強を図っています。日本では、2011年に防衛産業に関わる大手重工メーカーが標的型サイバー攻撃を受け、2012年には外務省など政府機関が攻撃をうけました。日本政府は、ようやく、政府官房下にCYMATを設置し、官民の協力態勢を作り、米国とも協力態勢を作ろうとしている段階です。

3月には、韓国の政府機関、報道機関、大手銀行などがサイバー攻撃を受けて、一部で放送停止となり、新韓銀行のATMが短時間ながらも利用できなくなる騒ぎがありました。北朝鮮の仕業と想定されています。以前にも大規模なDdos攻撃があり全国的にネットがマヒしたことがあり、日本に比べれば、数段厳重な防御態勢を敷いていた筈ですが破られました。今回はAPTと呼ばれる標的型攻撃でした。

APT:Advanced Persistent Threatsは、受信者を信用させる発信人名や関心の高い件名でメールを送り、ウィルスを仕込みます、そのウィルス経由で内部情報を入手し、攻撃目標へのアクセス・ルートを構築した後に、指示したタイミングで攻撃します。目的は、機能マヒ、破壊、データ窃取などが主です。3月の韓国での大規模攻撃では銀行も標的とされたことで、日本の銀行経営者も心配になったようです。システム部門に対して、「当行は大丈夫か?」と質問したそうです。自前システムでネットバンキングを運営している銀行は大手などの少数で、多くはベンダー(NTTデータ、日本IBM、日立が3大ベンダー)運営の共同システムを使っています。そこで「はい、IT専門ベンダーに委託しておりますので、万全です。それに大手セキュリティ会社とも契約しています。」と答えます。何故、万全なのかは説明できません。また、「万全などはある筈ない。狙われたら、やられる可能性が大」と知ってはいるのですが、迂闊にそう言えば、「では、どうするのだ?」と詰問されます。「予算も人もありません。」とも「これから検討します。」とも言えません。怒られて終わるだけです。日本の経営者は、絶対とか万全とか100%が好きです。そんな単純で都合の良い話がある筈ないのですが。リスク管理が事業の根幹である金融機関ですら、こうした現状です。

APT防御策の代表的な技術は、ネットワーク監視、ウィルス挙動監視、仮想化によるOS監視、アプリケーション仮想化などです。米国にセキュリティで有名なGFI Softwareという会社があります。GFI Sandboxというマルウエァ対策ソリューションを開発販売しています。今年3月に、セキュリティ部門を分社してThreatTrack Security、Inc.となりました。GFI SandboxもThreatAnalyzerと名称変更されました。このThreatAnalyzerの説明実演を先日見せてもらいました。製品技術の説明は別の機会としますが、膨大なアプリケーションやファイルを2分程度で解析して、レポートします。つまり、入り込まれたマルウエァを効率的に発見するのです。日本でも政府系機関やセキュリティ会社が多く使っています。金融機関としては、こうしたツールを使って、自分でもモニタリングし、怪しげな動きを察知した時に、契約しているセキュリティ会社と相談しながら、迅速に対応策を発動する態勢を作るべきでしょう。安いコストでリスクが見えるようになるだけでも大きな意味があります。あるメガバンクIT部門のセキュリティ責任者が、「インターネットでは、入り込まれるのを防ぐ方法はない。出ていくのをチェックして、実被害を止めるしかない。出口を抑えるのは簡単だし、安い。」と語っていました。APTも万全な防御策はないとの前提で、速く発見し、速く止めるという戦略を取るべきです。セキュリティは、多重防御と早期検知が大原則です。

                                                   (島田 直貴)