いつもあると思うな、便利な情報
根岸氏はもう一つ、「いつも便利なまとめ情報があるとは思うな」と指摘した。例えば、ランサムウェア「WannaCry」を巡っては、感染経路や感染対象、キルスイッチの役割などに関する情報が入り乱れた。
「実際のWannaCryの姿は、最初に出てきた情報とだいぶ違っていたが、後追いの報道ではあまりそうした情報が出てこなかった。最初のまとめ情報を見ていて、それが間違っていた場合に、組織の判断に影響を及ぼすことになるが、それで大丈夫だろうか。二次情報に依存し過ぎ、うのみにするのも危険ではないか」(根岸氏)
さらに根岸氏は、「二次情報を有効活用するのはいいし、便利だが、まとめ情報は間違っているかもしれない。情報を受け取る側がその可能性を意識し、情報が間違っていた時に、きちんと自分たちの行動を直せるか。情報を出す側にも、受ける側にも、間違いがあることを前提に、もっと成熟した情報共有ができると良いだろう」と語った。
ソフトバンク・テクノロジーの辻伸弘氏
これを受けて辻氏も、「できるだけ注意していても間違うことはあるという前提で、情報が間違っていても、もう少し優しく受け止める世界になるといいなと思っている。今の情報共有は、『誰かが出して、見て、終わり』の繰り返しになっている」とし、「誰かが出した情報に追加したり、誤りを修正したりと、一人に依存するのではなく、みんなでブラッシュアップしていくのが本当の情報共有であり、そんな仕組みがあればいいなと思う」と述べた。
次に辻氏は、「常々考えているが、セキュリティは誰のものか」と提起。同氏のたどり着く結論を「セキュリティはみんなのものだろうということ。特定の詳しい人や専門家のためのものではないし、詳しくない人をばかにする道具でもない」とした。だからこそ、広く情報を出し合ったり、育て合ったりして守る側が活性化していくべきと考えているという信念のもと、「一人CSIRT」に取り組んでいることを紹介した。
現在は国内だけでも、さまざまな情報共有のスキームが整備されつつある。しかし辻氏は、「例えば、NCAに入るのもハードルが高いと思う。人やモノ、カネが必要で、“一人情シス”でやっているような小さな会社は入れない。個人として活動している立場から見ると、こういうところに参加できる時点で、ある種の特権階級ではないか。そこでしか得ることができない情報ばかり流通させても、それは『共有』とは言えないのではないか」と指摘。ほかの業界にも影響する可能性のある情報を、特定の業界や情報共有スキームだけに閉じて回すのはもったいないのではないかと、問題を提起した。
「もっと情報を有した方がいいのではないか、そのために自分でできることは何かを考えて、『一人CSIRT』ブログを始めた」と辻氏。標的型攻撃やサービス妨害/分散型サービス妨害(DoS/DDoS)攻撃を観察する中で、幾つか見えてきたことがあるそうだ。
例えば、実際に標的型攻撃で使われた“おとりファイル”を見れば、「この攻撃キャンペーンは、こういった組織を狙った攻撃に向いていそうだから、気をつけよう」という注意喚起につなげられるという。また、DDoS攻撃をちらつかせて金銭を脅し取る攻撃についても、発信元が韓国や中国の場合は、どのくらいの規模のDDoS攻撃があったかがニュースとして報道されており、どの程度対策すればいいか、今の対策で防ぎきれるかの目安になる。「こうした事例は共有という意識からではなく、あまり注意を払っていないだけかもしれないが、こうした情報があれば他の人にも役立つだろう」(辻氏)
実は、国内でも6月29日頃の同じような時間帯に、複数の金融機関で障害の発生が公表されたが、ニュースにはなっておらず、サイバー攻撃を受けていたかどうかも一般には公表されていない。「同じ業種内の閉じたところで共有されているかもしれないが、DoSを受けたら困る業種は、ECサイトやオンラインゲームなど他の分野にもある。ターゲットが移る可能性を考えると、もう少し広く情報を出してくれるといいのではないか」(辻氏)
