2019年9月号
5Gへの攻撃で国家に大打撃
DX時代は通信がアキレス腱
名和 利男 氏
(なわ・としお)
海上自衛隊において護衛艦のCOC(戦闘情報中枢)の業務に従事した後、航空自衛隊において信務暗号・通信業務/在日米空軍との連絡調整業務/防空指揮システム等のセキュリティ担当業務に従事。その後JPCERTコーディネーションセンター早期警戒グループのリーダを経て、サイバーディフェンス研究所に参加。専門分野であるインシデントハンドリングの経験と実績を活かして、CSIRT構築及びサイバー演習の国内第一人者として支援サービスを提供。近年はサイバーインテリジェンスやアクティブディフェンスに関する活動を強化中
サイバーディフェンス研究所
専務理事/上級分析官
名和 利男 氏
「デジタルトランスフォーメーション(DX)は、サイバー攻撃者にとっては天国の到来」。日本のサイバーセキュリティ専門家の最高峰の1人である名和利男氏はこう警鐘を鳴らす。5G時代に突入し、あらゆるモノがつながるようになれば、通信網に障害を起こすことで、国家機能のかなりの部分を停止させられるからだ。サイバー攻撃の最新動向と、日本が今すぐ取り掛かるべき対策を聞いた。
●サイバー攻撃をめぐる日本の現状をどう俯瞰していますか。
名和 発生した事故やインシデントの100%が公になることはもちろんないわけですが、感覚的に言うと、日本では実際に起きた事故やインシデントの100分の1くらいしか表に出ていないと見ています。
●一般に考えられているより、はるかに多くの被害が発生していると。
名和 そうです。問題なのは、諸外国と比べて、日本の透明性が非常に低いことです。
サイバー攻撃というのは発生後、種々のプロセスを経て“外部公開可能”な事故・インシデントとなります。不都合な事実については様々なレイヤーで「積極的に外部へは展開されない」、あるいは「現場の努力で内々で処理される」ため、第三者が知り得る事故・インシデントとなるのはごく一部です。ただ、先進的かつ積極的な取り組みが行われている海外の国や地域では、よくも悪くも透明性が高まってきています。
理由の1つは、サイバー攻撃の報告や共有に関する法的強制力のある制度です。先進的な取り組みをしている海外の国や地域と比べると、日本は独特の文化や背景により、整備が難しい領域がどうしても残ります。
また、海外の場合、積極的な調査を行っているリサーチャーが数多く存在し、かつリーク的な分析レポートを出しても受け入れられる環境があるところに、日本との決定的な違いがあると考えています。日本では、リーク的な情報公開に対して、法的対応をチラつかせる形で封じ込まれることが多いように感じています。
例えば昨年、英国の航空会社で約38万件の顧客情報漏えいが起こりました。なぜ、事故は起こったのか。航空会社自身は詳細を公にしていませんが、まったくの第三者による詳しい分析レポートが公開されています。
この情報漏えい事故では、「フォームジャッキング攻撃」という手法が用いられたとされています。オンライン予約サイトにおいて入力後に登録(サブミット)ボタンをクリックすると、同時に攻撃者のサイトにも、クレジットカード情報を含んだ入力情報が送信されてしまう攻撃です。そのレポートにはフォームジャッキング攻撃に対抗するための非常に素晴らしい知見が詰まっています。
国内でもフォームジャッキング攻撃による被害は複数発生しています。そこで得られた知見は一部の領域のみでは積極的に共有されていますが、残念ながら、必要と思われる領域全体に適切に共有されているとは言い難いところがあります。こうした透明性の低さが、日本の被害を助長させている一因と考えています。
●東京オリンピック・パラリンピックに向けて、日本をターゲットにした攻撃はさらに増加すると予測されていますから心配です。
名和 オリンピック開催国でサイバー攻撃が増える理由は2つあります。
1つは、目立ちたがり屋の攻撃者や闇取引サイトでの評価を高めたい請負ハッカーにとって、オリンピックは格好のショーケースだからです。「もっと多くの仕事を受注したい」という裏稼業の営業活動としての攻撃は、拡大の一途をたどっています。
もう1つは、政治的、国民感情的な理由です。例えば、平昌オリンピックでは、開会式が始まった途端、相当数のサーバーシステムがダウンしましたが、これは明らかに平昌オリンピックに強い不満を抱いていた国や地域による攻撃だったと推定されています。
ゲームが国家の脅威に
●業界・分野別に見ると、どんな注視すべき動きがありますか。
名和 ゲーム業界がかなりホットになっています。
昨年春頃、官公庁をターゲットにしたパスワードリスト攻撃の発生が懸念されました。これを受けて、菅官房長官は、2018年4月4日の記者会見において、メールアドレスやパスワードが流出し、その中に政府職員のものが含まれていたことを認めた上で、「政府機関の情報システムがサイバー攻撃を受けたものではない。しかし、流出した情報が悪用されないよう対策を講じることが重要だ」と説明しました。
では、流出した情報が誰でも入手可能な形で公開された場は、どこだったのでしょうか。実は、その1つはオンラインゲームユーザーの交流サイトでした。
地球上のインターネットユーザーの3分の1がオンラインゲーマーというデータがあります。その一方、十分にセキュリティ対策が行われているオンラインゲームは多くなく、2段階認証もまだまだ少数派。アカウント乗っ取りは日常茶飯事と見ることもできます。
●オンラインゲームのセキュリティの脆弱さが、国家の脅威ともなっているわけですね。
(聞き手・太田智晴)
続きは本誌をご覧下さい