「従来のセキュリティ対策ではもはや不十分だ。先日も、Twitterへのサイバー攻撃があり、利用者約25万人のパスワードとメールアドレスなどが流出した可能性があることがわかった。これらのデータが悪用され、真の“標的”である人間関係を探り、新たな攻撃のために用いられることも考えられる。単なる遮断ではなく、さまざまな形式の攻撃に対処する方策が必要になる」——。
こう語るのは、デロイト トーマツ リスクサービスのパートナー、丸山満彦氏だ。TwitterのIDとパスワードが盗まれれば、ユーザーの友人や人脈などがダイレクトメッセージなどから把握されてしまう。「IDとパスワードをFacebookでも使いまわしていれば、個人の人間関係はさらに深く知られてしまう」ことになる。
2月19日開催の「ZDNet Japan セキュリティフォーラム」の基調講演に登壇する丸山氏に、ソーシャルメディアのリスクからグローバル企業のガバナンスまで、「サイバーインテリジェンス」の勘所を聞いた。
丸山満彦氏(右)と白濱直哉氏
産業スパイの人脈作り
標的型攻撃はより巧妙化している。同社 シニアマネジャーの白濱直哉氏はこう語る。
「たとえば、ある企業の情報システム担当者を標的にしてFacebook経由で近づくとしよう。Facebookでは、攻撃者は担当者の出身大学の同期生を装ってアカウントを作成することなど簡単にできる。標的の担当者本人や友人、同じ大学の出身者に友達申請をすると、中には承認する人もでてくるだろう。そうなると、標的と同じ出身大学の卒業生と友達であるとして、信用させやすくなる。こうして標的に接近を続けて友達になれたら、さまざまな人間関係をより深く知ることができる」と指摘する。
もちろん、攻撃者の目的は担当者の人間関係の把握ではない。人間関係というネットワークを通じて、担当者から何かを盗もうとしているのだ。盗むものは、特許情報であったり、顧客リストであったありと、目的によって様々だろう。
丸山氏は「ある企業に属する人物が昨年末、忘年会の場所と日時が記されたメールを受信した。場所と日時は正しく、会社名や文脈に不審な点はなかったものの、送信者にはメールを送信した記憶がないという。偽メールだ」と語る。
友人を装ってメールを送り、悪意のある添付ファイルやURLを踏ませてマルウェアに感染させる。その結果、標的となった人物のパソコンからは企業の競争力の源泉となるような情報が盗まれ続けることになるだろう。
産業スパイのような違法行為を行うにあたって、FacebookやTwitterを使って標的に近づき、情報を盗むなど「時間もコストもかかりすぎでは」と思う方もいるだろう。しかし、丸山氏は言う。「盗んだ結果として得られる成果がコストを上回っていれば実行に移す——そう考えれば、何も不思議なことではない」
海外子会社が言うことを聞かない
企業、官公庁、研究機関は、外部からの攻撃だけでなく内部の脅威も悩みの種といえる。
丸山氏は「組織の内外を飛び交う通信においては、これは通して良し、これは悪い通信だとはっきり判断できるものは少ない。黒か白かでいえば、実際にはほとんどがグレーという状況で、詳細に分析しなければ明確にならないケースも多い」という。
これがグローバル企業になると、事態はより深刻になる。「ある大手企業では、グループの米国企業がなかなか日本のいうことを聞かないため、全体的なガバナンスが機能していない例もあった。海外子会社は理屈をつけて十分なセキュリティ対策を実行しないこともある」
丸山氏は「結局、企業は情報セキュリティだけで全体の戦略を構築することなどできない。日本企業のトップが海外子会社のトップにセキュリティ対策の話を持ちかけても、彼らは従わないこともある。単にセキュリティ強化だけを訴えても説得するのは難しいのだ。企業全体のセキュリティ確保は、情報システム部門だけの取り組みでは実現できない」とする。
こうした課題を突破する方法の一つが情報システムの「棚卸し」ともいえる作業だ。
「自社が攻撃を受けることを想定して、どの部分にどのような問題があるかを整理、チェックして、よく理解しておかなければ効果的な対策を打てない。全体的な状況を把握することが重要なのだが、課題を理解できていない場合が多いようだ。グローバル企業においては、国内の本社機構が棚卸しの重要性を理解していても、海外拠点は理解していない例もある。健康診断のような監査を行い、課題を見つけ出し、何を実行するかを決めるべきだ」と、丸山氏はいう。
「ZDNet Japan セキュリティフォーラム」では、情報漏えいが起きる原因、対策の難しさを解き明かし、具体的なソリューションの情報や活用に向けた考え方を紹介する。
今回話を聞いた丸山満彦氏は「情報セキュリティからサイバーインテリジェンスへ」と題し、基調講演に登壇する。
