編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」
Oracle Industry Connect

サイバー犯罪への慣れが深刻化--元米大統領セキュリティアドバイザー

末岡洋子

2016-05-24 07:30

 楽々と国境を越えられるサイバーセキュリティに対する政府の役割は何か――暗号ソフトウェアにバックドアを追加することではないと米政府をけん制するのは、サイバーセキュリティの権威、Richard Clarke氏だ。

 サイバーセキュリティは日本政府、日本企業にとっても対岸の火事ではない。実際、日本の金融機関は欧米と同様に最初に狙われる標的になったという専門家もいる。4月、Oracleの業界イベント「Oracle Industry Connect 2016 」でのClarke氏のスピーチは日本企業も学ぶことがありそうだ。

Clarke氏は米国初の大統領セキュリティアドバイザーとして、3大統領の下でセキュリティを担当した。
Clarke氏は米国初の大統領セキュリティアドバイザーとして、3大統領の下でセキュリティを担当した。

 Clarke氏は米国初の大統領セキュリティアドバイザーであり、George H. W. Bush、Bill Clinton、George W. Bushの大統領3氏の下でサイバーセキュリティを担当した。『Against All Enemies』(邦題:爆弾証言 すべての敵に向かって)などの著作でも知られる人物だ。

 Oracleのイベントでの基調講演で、Clarke氏は「Cybersecurity at the Forefront(サイバーセキュリティ最前線)」として、変貌するサイバー空間の問題をC(Crime:犯罪)、H(Hacktivism:ハクティビズム)、E(Espionage:スパイ)、W(War:戦争)4つのカテゴリから話した。なお、頭文字を集めた“CHEW”は英語で「かむ」という意味になる。

犯罪

 Clarke氏は2つの点を指摘した。1つ目は、ユーザー側の慣れだ。サイバー犯罪はクレジットカード番号や社会保障番号の不正アクセスが主だが、米社会保障庁の予想ではこれまで約80%もの社会保障番号が不正流出しているとのこと。

 またクレジットカード会社は不正アクセスの後、不正利用されていないかの発見につながるクレジットスコアのモニタリングサービスを無料で提供するが、このサービスを利用するのはわずか7%にとどまるという。「93%の人が何もしない。それぐらい、われわれは慣れっこになっている」(Clarke氏)。

 2つ目はランサムウェアだ。スピアフィッシングなどにより、データに不正にアクセスするだけでなく、勝手に暗号をかけて解読のための鍵と引き換えに対価(通常はビットコイン)を要求するという手法だ。

 支払ったビットコインは米国外のオフショア銀行口座に消えてしまい、追跡は不可能になる。米国では複数の病院がランサムウェアの被害に遭い、データにアクセスできず閉鎖、患者を他の病院に搬送するという事態になった。

 だが、Clarke氏は「氷山の一角を見ているにすぎない。企業の多くがランサムウェアの被害に遭ったことを報告していない」と指摘する。

 なお、ランサムウェアに対しては、バックアップデータがあるからいいという考え方は良くないと指摘する。「ランサムウェアの中にはネットワーク中に潜み、バックアップデータがオンになるとこれを破壊する。こうなると、すべてを失ってしまう」というのだ。

 Clarke氏によると、ランサムウェアの多くはベラルーシ、ウクライナ、ロシア、ルーマニアなど旧ソ連、東欧諸国で、連邦捜査局(FBI)などはおおよその犯人が分かっていることもあるが、その国の警察機関が取り締まりや捜査協力に応じないとのとだ。

 ランサムウェアに加えてClarke氏が伝えたのが新しいDDoS攻撃だ。検出と対策が難しく、2年前にCiti Group、JP Morgan、Bank of Americaなど米国の主要な銀行を襲ったDDoS攻撃について米司法省(DoJ)がイランの個人の犯罪であると突き止めたのはつい先月のことだという。「これらの金融機関は年に2、3億ドル、場合によっては5億ドルをサイバーセキュリティに費やしている。それでも攻撃の技術とスケールは増加しており、対処できない」と述べた。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]