2015年

7月

07日

情報戦の極意:サイバー攻撃に技術で勝つ 2015年7月7日号

 ◇「漏れた年金」と日本の限界


大堀達也

(編集部)


 日本年金機構の九州ブロック本部が5月、何者かのサイバー攻撃を受け、基礎年金番号、氏名、生年月日、住所の4種類の個人情報、計約125万件が漏洩した。

 同8日午前、機構職員の業務パソコン端末に、コンピューターウイルスが仕込まれたメールが届き、職員が添付ファイルを開いて端末がウイルスに感染した。

 その後も次々とウイルス入りメールが九州ブロック本部の複数の職員に届き、最終的に十数台の端末にウイルス被害が飛び火した。ウイルスは「バックドア(裏口)」と呼ばれるタイプで、文字通り感染したパソコンのシステムに、外部にいる攻撃者からの命令を受ける裏口を作るものだった。

 ◇時代遅れの対応策


 捜査に当たった警視庁からの指摘で機構が情報漏洩に気付いたのは28日。6月1日、塩崎恭久厚生労働相の会見で情報漏洩事件が公になると、個人情報が入ったファイルに機構職員がパスワードをかけていなかったなど、管理体制の甘さも発覚。マスコミの「年金機構叩き」が始まった。

「漏れた年金」問題を受け、週刊誌やテレビを中心に機構職員の危機意識の低さを指摘する報道が相次いだ。中でも批判が集中したのが、受信した不審メールを開き、それに添付されていたウイルス入りファイルを開いてしまった機構職員の対応である。政治家の多くも「職員の基本動作ができていない。厳しく処分する」(塩崎厚労相)との立場だった。

 もっとも、サイバーセキュリティー専門家の中からは、「今回の情報漏洩は、原因を職員の危機意識に帰すべき問題ではない」との意見が目立った。

 まず、機構職員が受信した不審メールに表示されていた送信者は、職員の知っている名前だった。また、表題には「厚生年金基金制度の見直しについて(試案)に関する意見」とあり、さらにメールの本文には職員の名前があった。このため職員は疑うことなくウイルス入りの添付ファイルを開いてしまった。

 現在のサイバー攻撃は「個人の注意力で防ぎ切れるレベルを超えている。サイバーセキュリティーの常識は、攻撃は防げない前提で原状復帰を急ぐ方向に移っている」(プライスウォーターハウスクーパースの星澤裕二パートナー)ことからも、機構職員を糾弾する姿勢は的を射たものではない。

 その意味では「攻撃を受けたらネットを遮断」して、事態の収拾を図るという対応策も同様だ。銀行やクレジットカードの決済システムをはじめ、今の社会インフラは高度にネットワーク化され複雑につながっている。「システムがウイルス感染したら、通信ケーブルを片っ端から引っこ抜けばいい」、という前時代的な発想では、経済活動に大きな損害を与えかねない。


 ◇最先端の省庁でも不完全


 サイバー攻撃の巧妙化は、コンピューターを悪用する攻撃者の技術が高度化している証拠でもある。これに対して、日本人はいまだに「不審メールに注意せよ」「怪しいファイルを開くな」という“精神論”で立ち向かおうとしている。もし、日本が本気でIT(情報通信)立国を目指すなら、高い技術で応戦するのが筋だろう。

 この手の技術というと、ウイルスを検知・駆除する「アンチウイルスソフト」が有名だが、企業などで導入すると非常に高額になる。セキュリティー投資それ自体は利益を生まないため、日本のサーバー防衛が進まない一因となっている。

 ただ、アンチウイルスソフトで全ての攻撃を防げると考えるのも、また非常識だ。図は、日本の中央省庁で最も強固なセキュリティーを持つと言われる、ある組織のシステムだ。ウイルス検知ソフトから次世代ファイアウオールまで、総額数億円の防衛網と言われる。

 それでもウイルス攻撃を完全に防ぐことは不可能と考えられる。例えば、アンチウイルスソフトは、ソフトメーカーが既知のウイルスを解析した上で作る。このため未知のウイルスには対応できない。つまり、新種のウイルスはソフトの壁(図①、②)をすり抜けてしまうのだ。修正プログラムやアンチウイルスソフトが配布される前に、システムの脆弱性を狙った攻撃を「ゼロデー・アタック」と言い、対症療法的な手法では防げない。

 また、そうして網をすり抜けたウイルスは重要情報を「偽装通信」によって攻撃者に送るが、これを検知し通信を遮断するのが次世代ファイアウオール(図③)である。しかし、これも偽装通信をパターンで見分けるため、一部パターンにマッチしない通信は見逃すなど完全ではない。

 このように、どんなに設備を増強しても、完璧なセキュリティーを構築することはできないだろう。


 ◇秘策あり


 だが、一般にあまり知られておらず、有効なサイバー防衛術は、まだある。そのうちいくつかはいずれサイバーセキュリティーの常識となる可能性が高い。しかも、低い導入コストで高い効果を発揮する。それらを次ページから紹介する。