さらに対応を難しくするインシデント
満永氏は、インシデント対応を難しくさせかねないという攻撃手法として、「BGPハイジャック」「ドメインハイジャック」「アップデートハイジャック」の3つを挙げた。いずれも2014年、2015年頃から目立ち始めている脅威になる。
BGPハイジャックは、組織が保有しているものの、実際には未使用で経路が周知されていないIPアドレスが、第三者に不正使用される。そのIPアドレスが攻撃の踏み台にされると、セキュリティ機関のブラックリストに登録されかねない。組織は被害に気付けず、IPアドレスを使い始めようとしてようやく問題に気付く。そこで、ブラックリストからの解除を要請しなければならないなど、煩雑な対応に迫られる。
ドメインハイジャックは、何らかの方法でドメインサーバが攻撃者に乗っ取られ、ユーザーが正規のドメインにアクセスしようとしても、マルウェア拡散サイトなどに誘導されてしまう。アップデートハイジャックは、ソフトウェアを更新する仕組みにマルウェアなどを混入させてユーザーに配信する。ユーザーは正規の方法にもかかわらず、マルウェアに感染してしまう。
満永氏によれば、こうした攻撃手法の問題点は、被害に遭う恐れのある組織やユーザー側で実質的な対策を講じられないことにある。「サプライチェーン攻撃ともいわれるが、インターネットのインフラに関わる機関やソフトウェアの開発元が対応しなければ、ユーザーが被害に巻き込まれてしまう」(満永氏)
サプライチェーン型攻撃のインシデントは、前項に挙げたような一般の人々に対する周知もより困難になる。渋谷の女子高生や実家の母親にインシデントの影響や対応策を伝えても、たぶん理解されない――。満永氏はこう例えて、上述の脅威が出現した当時を振り返る。テレビ取材にも応じたが、そこでは「OS」を「基本ソフトウェア」に言い換えなければならないなど、インシデント内容の表現を平易にしようすればするほど、相手に伝わらなくなるというジレンマに悩んだという。
例えば、2014年に発覚して「Shellshock」との通称が付けられたBashの脆弱性のケースでは、Linuxなどの修正パッチを迅速に適用することが求められた。このことをテレビなどで説明しようとすれば、「基本ソフトウェアで使われているプログラムにセキュリティホールが見つかり、プログラムの更新が必要」という表現になってしまう。
この表現では、一般の人々には漠然とした状況しか伝わらない。一方、実際に対応するIT担当者などにとっては、どのソフトウェアにどのような問題が起きているのかが具体的に伝わらず、対応が遅れてしまいかねない。