日本の狙いのサイバー攻撃はこれからが本番
日本を狙うサイバー攻撃に沈静化の兆しは見られない。攻撃の手口を刻一刻と変化させながら、激しさを増そうとしている。日本企業はどう立ち向かうべきか。通信を基盤にサイバー攻撃への対処方法を研究するNTTコミュニケーションズのセキュリティエバンジェリスト、竹内文孝氏に聞いた。
――サイバー攻撃による日本の企業・組織の実害報告が相次ぎ、国内でもサイバーリスクに対する危機感が高まってきたと感じている。その辺りの危機意識の変化についてどう感じているか。
NTTコミュニケーションズ経営企画部 MSS推進室担当部長セキュリティエバンジェリストの竹内文孝氏
確かに、日本でもサイバー攻撃──とりわけ、標的型サイバー攻撃に対する危機感は高まりを見せています。とはいえ、標的型サイバー攻撃に対する危機感には企業規模よって大きな開きがあり、そこに危うさを感じています。例えば、最近実施されたある調査を見ると、大企業の約9割が標的型サイバー攻撃に危機感を持っていたのに対し、中堅・中小で危機感を持つ企業の比率は全体の3割程度にすぎなかったのです。
言うまでもなく、中堅・中小の企業も何らかのバリューチェーンの一員として機能しているはずですし、日本の産業の屋台骨を支える存在です。ですから、他企業との取引の中で(攻撃者にとっての)経済価値の高い情報を多く扱う場合もあるでしょうし、たとえ経済価値の高い機密情報を自社で保持していなくても、大企業を狙ったサイバー攻撃の踏み台にされるおそれは十分にあります。
言い換えれば、中堅・中小の企業のセキュリティリスクは、そのままバリューチェーン全体、あるいは産業全体のセキュリティリスクと言えるのです。ですから、中堅・中小の企業も、サイバーリスクを重要な経営リスクと認識すべきですし、大企業も、自社内の対策に力を注ぐだけではなく、自社のグループ全体、バリューチェーン全体のセキュリティ強化についてもっと積極的に取り組む必要があります。
――中堅・中小の企業が、大企業に対するサイバー攻撃の踏み台にされるような徴候は実際に見られているのか。
例えば、現在、「Blue Termite」と呼ぶ日本を狙うサイバー攻撃が猛威を振るっています。Blue Termiteは、企業のセキュリティ対策を巧みにすり抜けながら、正常トラフィックに紛れて攻撃を仕掛けるタイプの攻撃で、これまでに少なくとも300組織でインシデントが発生しています。
この攻撃が不気味なのは、これまでのように機密情報や金銭を直接狙った攻撃ではなく、企業の社員情報やメールの探索を繰り返し、なかでも経営層に対する攻撃が執拗(しつよう)なことです。この攻撃の意図は正確には分かりませんが、考えられる目的の一つは、「日本企業の経営層の人脈マップ作り」です。要するに、日本への本格的な攻撃を仕掛ける前の準備として、どの会社の誰が、どの会社の経営層と近しい関係にあり、メールなどを通じて頻繁にやり取りしているかを入念に調べ上げているようなのです。
仮に、この想定が正しいとすれば、人脈マップの中で「守りの最も弱い組織の人間」がまずは狙われ、最終攻撃目標の経営層にマルウェアを送り込むための踏み台にされるでしょう。そうした攻撃の踏み台にされるリスクは、経営リスクそのものです。その意味でも、すべての企業がリスクマネジメントの観点から対策を強化するべきと言えます。
攻撃側との技術格差
――サイバー攻撃に対する危機意識の低さは、当然、対策の遅れにつながっていると考えられる。今日のサイバー攻撃に対して、中堅・中小を含む日本企業の対策はどういったレベルにあると見ているか。
すべてとは言いませんが、多くの日本企業のセキュリティ対策は7~8年前の状態で止まってしまっています。サイバー攻撃の進化からは、「周回遅れ」はおろか、「2周回ほどの遅れ」を取っていると言わざるを得ません。
――それほどの開きがあるのか。
例えば、サイバー攻撃の高度化によって、幾年も前からファイアウォールなどによる境界防御やウイルス対策ソフトだけでは脅威の侵入や活動を阻止・検知することは至難になっています。そのため、2~3年前に境界防御を通過してきたファイルに検疫をかける「サンドボックス」の技術が登場したのですが、今日では、サンドボックスの検疫の網にもかからない攻撃が出始めています。