読者です 読者をやめる 読者になる 読者になる

サイバーセキュリティとは何か

※かなり長いです。

はじめに

これまでにも情報通信に関係するセキュリティの分野はありましたが、なぜサイバーセキュリティという新しい言葉が出てきたのでしょうか。理由はインターネットを通じた悪意のある活動が高度化し、国の安全を脅かすレベルにまで上がったからです。

新しい言葉で分かりにくいサイバーセキュリティですが、まとまった時間をかけて考えてみた結果です。自分にとっても当初は理解できない謎めいた言葉でしたが、関連する各要素を学んだ結果、全体を見渡す事ができるようになりました。このまとめが皆様の理解のお役に立てば幸いです。

要点

  • 国の安全に情報セキュリティが関係するようになった
  • 背景:戦争の進化=インターネットを活用した情報収集と攻撃
  • 対策:人物金のコストをかけてセキュリティレベルを上げる
  • キーワード:インターネット、ネットワーク技術、情報戦、国際法、戦争法、刑法

サイバーセキュリティとは

サイバーセキュリティとは、コンピュータやネットワークのセキュリティに国単位で積極的に取組む(取り組ませる)ための新しい言葉です。これまで民間企業では自主的に情報セキュリティ対策を行ってきましたが、国としての対応が必要となってきたため新たな用語を使って状況が変わった事を示しているとも言えます。また国の安全にインターネットが深く関連するようになったため、国を守るために軍や警察などの国家機関が積極的に関与するようになった事も最近の傾向です。

その他の特徴に以下が挙げられます。

  • 問題事象の種類が多くて対応策が分かれる(サイバー犯罪から戦争まで)
  • インターネットは国境が曖昧(国内法適用の限界)
  • 匿名性が高く攻撃グループの特定が難しい
  • 権威主義に距離を置くハッカー文化がインターネットの根底にある
  • 攻撃側の進化が早く法整備が遅れる

具体例を通して

ここでは具体的にサイバーセキュリティに対する理解を深めたいと思います。特に次の3つの視点をもって考えてみます。まず一つ目の視点は主体が誰なのか、という点です。インターネット(コンピューターネットワーク)では昔からハンドルネーム(サービスのID等)という文化があり、実名を使わないのが特徴でした。この匿名性に対して問題意識を持つ人々が個人を特定しやすくなるようにインターネットを変えようとしていますが、プライバシーの問題もあり簡単に結論づけることはできないと思われます。

次の視点は結果的に引き起こされる実害です。攻撃者の意図は多岐にわたり金銭的な利益を求めるサイバー犯罪から、他国に対して力をもってして従わせる国家的な活動も含まれます。後者は通常の兵器を用いると武力攻撃になりますが、サイバー空間で似たような事が行われた場合にどう解釈するかは、世界の法律家が共通理解を作る過程にあります(タリンマニュアル)。

最後に、これら過去に起きた事象に対してどういう対策がとられたかを見てみます。この知見は似たような問題を発生させないための予防に役に立つと思われます。日々の生活の中で「パスワードの使い回しはやめよう」とか「ISMSの監査が来るから準備をしてください」などを面倒と思う反面、こういった小さな積み重ねが大きな問題を防ぐ基礎となるため軽視は禁物です。

ソニー・ピクチャーズへのサイバー攻撃

2014年11月に起きたこの事件では、大量の機密情報が流出し企業イメージを大きく低下させました。中でも電子メールには映画へ出演する役者への率直な意見や公開前の映画に関する情報などが含まれていたため、社外に出るはずのない情報が流出しました。昨今では顧客情報の流出事件が頻繁に発生しますが社員のメールや技術情報など、漏れると企業活動に打撃を与える情報は他にもあります。この件の攻撃者は誰なのでしょうか。時の状況は、北朝鮮の最高指導者である金正恩に対するコメディー映画の公開前であり、FBIは北朝鮮の関与を指摘しましたが北朝鮮は否定しました。

インターネットの住所とも言われるIPアドレスだけでは国を特定する証拠とは言いづらく、攻撃に使われたソフトウェアが判断材料になりました。例えばコンパイルした時刻やコードに対する癖を通して、ソフトウェアが作成された国を推定するなどです。カスペルスキーの報告では、活動時間がタイムゾーンGMT+8か+9あたりにあり熱心に働くことを特徴とし、60%以上のコンパイル環境が韓国・朝鮮語であることが示されました。しかし、この情報だけでは攻撃を主導したのが誰なのか明確に示すことができません。ここに匿名性を隠れ蓑にできるサイバー攻撃の特徴が表れています。

中国人民解放軍

先の例のとおり攻撃主体を特定しにくいのがサイバーセキュリティの特徴ですが、ここでは国の組織、さらには個人まで特定された珍しい例を見てみたいと思います。ここから見てわかるのは、サイバー空間の情報だけでなく現実世界の情報(人物、建物の住所、軍の組織)を合わせることによって特定を完成させていることです。

2013年2月に米国のセキュリティー会社 Mandiant(後にFireEyeが10億ドルで買収)が世界各地に向けて攻撃を継続的に仕掛けていたグループは中国のサイバー軍であると指摘しました。レポートの中ではグループが仕掛けた攻撃の他に、部隊が入居しているビルや活動している人物が写真付きで示されていました。翌年にはアメリカの司法省が米国企業から情報を窃取したとして、部隊に所属する5人を告訴しました。

この例ではデジタルフォレンジック(デジタル鑑識)で得られた情報を元にして公式に責任を追及していますが、匿名性の高いサイバーセキュリティでは珍しい例と言えます。レポートでも断定はせずにサイバー空間で活動しているグループと特定の軍の部隊は「一致する可能性が高い」という言い回しを使っていることからも、国の関与や個人を特定することの難しさが見て取れます。

スタックスネット

近頃では重要インフラやIoTに対するセキュリティへの関心が高まっていますが、すでに物理的に影響が出る攻撃(電子的な範囲にとどまらない)は可能なことが実例で示されています。例えば2010年に報告されたスタックスネットはイランの核開発施設(遠心分離機)をターゲットとしたサイバー攻撃で、シマンテックが詳細に報告しました。用いられた技術や情報は多岐にわたり、特定のPLC(制御装置、ジーメンス製とイラン国内製)をターゲットとしWindows脆弱性を突きながらUSBを介して目標まで到達するワーム(寄生しないのでウィルスではない)が発見されました。作成した攻撃グループは高度な技術力を持つと思われますが、イスラエルやアメリカが関与していたという情報も伝わっています。

ここで言えるのは、過去にはコンピューターウィルスと言われていた悪意のあるソフトウェアは、もはや個人の趣味レベルではなく国家レベルの意志を持ってして豊富なリソースをかけて作られる物になったということです。「武器としてのソフトウェア」という概念が端的に現状を表していると言われます。さらに、議論は始まったばかりですがサイバー空間での攻撃能力が今後の重要な要素になってくると思われます。イランはスタックスネットの教訓から自国のサイバーセキュリティ能力を高め、今では有数な国の一つと考えられています。この他にもアメリカ、イスラエル、中国、ロシアなどは高度な能力を保持していると目され、冷戦期の核開発競争に似た状況になってきました。事実、サイバー空間は陸海空に続く第4のドメインと考えられ、アメリカはサイバー軍を2009年に設立しています。

スノーデン

アメリカ国家安全保障局 (NSA)の元職員が国家機密レベルの情報を流出させた事件から様々なことを考えることができます。告発によるとアメリカ政府は極秘にGoogle,Facebook,Skype,Youtubeなどと協力して、情報を収集するPRISMというシステムを運用していたと分かりました。つまりこれらの企業がユーザーの情報を国家機関に提供していたという事です。

ここから読み取れる教訓について考えてみたいと思います。まずはインサイダー(内部者)攻撃についてです。外部からの攻撃者に比べて内部の人間はシステムに対しても理解度が高く、情報の在り処を知っている場合が考えられます。もちろん流出させた実行者が特定された場合は社会的制裁などの被害を被ります。しかし技術を駆使すれば高い匿名性を確保しながら情報を流出させる事もできるため、なんらかの意図(金銭的目的、恨み、使命感)をもってして内部の者が攻撃者に変化する事件が発生します。本人の談によれば、動機は国の不正を告発する(Whistleblower)となっていましたが、香港でメディアと面会したり現在はロシアに住むなどしたため背後関係を疑う声も出ています。

プライバシーについても問題になりました。背景として2001年9月11日の攻撃以降、ブッシュ大統領への支持率が高まった経緯があります。テロを未然に防ぐためにテロリストの監視を強化する愛国者法が2001年10月に制定されました。当時は社会情勢としてプライバシーよりも身の安全・国の安全を優先する風潮だったと言えます。しかし法律に沿った手続きをを踏んだとしても、ユーザーが予期しない形で個人に関する情報を国に漏らしていた企業やサービスは問題があると言えます。昨今では便利なクラウドサービスが多数登場していますが、データがどこかの国のサーバーに保管されているという事は、そのサーバーを誰かが見る可能性もあると心構えをしておく必要があるかもしれません。

インターネット内のプラバシーに関心を持つグループも多数存在し、自衛手段も用意されています。通信経路を匿名化する手段や通信内容を暗号化するソフトウェアなどは無料で公開されています。当初は設定や運用に高度な知識が必要でしたが、最近ではプライバシー意識の高まりと共に手軽に利用できるになってきました。古くはファイル共有ソフトにも組み込まれていたTorは通信経路を自動的に複雑化する技術です。今ではTorを組み込んだブラウザも提供されており手軽に利用できます。また無料通話アプリの類(日本ではLine、海外ではWhatsAppやTelegram)はセキュリティの強度をサービスの売りにしています。

どうすればいいか

個人と企業とそれ以外に分けて、これからどうすれば良いか考えてみます。

個人

サイバー犯罪の被害者は個人です。ここでは自衛する手段を考えてみたいと思います。

簡単な例ながら大切なのはパスワードです。パスワードはなるべく長いものを使う事が推奨されています。パスワードではなくパスフレーズとすることで一つの文章にしてしまえば、覚えやすい長い文字列を作る事ができます。短期的な目標をパスフレーズにするライフハックを活用してみたり、使い回しを防止するためにサービス毎にイメージするフレーズを考えるなど工夫してみてください。

さらに攻撃者は、プライベートで使っているパスワードは仕事のアカウントでもよく流用されている事を悪用します。多くのパスワードを管理する事は非常に面倒な事ですが、最後の手段として手帳に記しておくのも悪くはないと思います。手書きのメモは電子的な情報と種類が異なるため、情報の在りかを分ける対策と言えます。

しばらく前に流行したランサムウェアも厄介な攻撃です。パソコンの中のファイルを勝手に暗号化して読み取れなくしてしまう手口です。指定の口座にお金を振り込むと本当に解除用のパスワードを発行してくれることが多いと聞きます。掲示板などでお金を払って暗号化を解除する方法を公開している人(ウィルスの作成者かもしれませんが)もいて、それを見た人がまたお金を振込という循環です。ウィルスの侵入経路はEメールの添付ファイルや、ソフトウェアのダウンロードなどです。見覚えのない送り主からの添付ファイルは開かない、見慣れないウェブサイトからのダウンロードは行わないなどの用心が必要です。

LineやFacebookなどのアプリやスマートホンで遊ぶゲームのアカウントが乗っ取られる事件も多発しています。共用のパソコンや他人のタブレットなどで自分のアカウントにログインすることでパスワードが残る場合もあります。ログインが必要なサービスは自分の端末以外では使わないほうが懸命です。またスマートホンのアプリは機種変更に対応するために転送用のコードを作成することができます。このコードをLineなどを使って巧妙に聞き出す(ソーシャルエンジニアリング)ことで、アカウントを乗っ取ることができます。

オンラインバンキングに対する攻撃も発生しています。正規のサイトに見せかけた偽のページでパスワードを聞き出す例が報告されています。画像などの素材や見栄えを調整するスタイルシートは誰でも流用できるため、簡単に偽装したページを作成することができます。安全は対策の積み重ねで高めることができるため、ワンタイムパスワードを利用したりウィルス対策ソフトをインストールするなど、できる範囲の自衛手段を取っていく事が良いと思われます。

企業

企業に対して言える事は2つです。まず一つ目は社内のセキュリティを高める事。そして二つ目は自社製品のセキュリティ強化です。

顧客情報の流出は企業イメージを損ねますが、その他の機密情報にも注意を払う必要があります。自社製品の技術情報、特にセキュリティに関する情報が漏れた場合は企業活動に大きな影響が出ると予想されます。繰り返しになりますがセキュリティ対策は積み重ねです。細かい事から多重に対策をする事で強いセキュリティを構築できます。

セキュリティインシデント(例えばサイバー攻撃を受ける等)は必ず発生するものとして、対応策を準備しておくことも大切です。最近ではどの企業もセキュリティインシデントの火消し部隊としてCSIRTを結成しています。通常の災害対策と同様に日頃から訓練をしたり、CSIRT協会に参加して横のつながりを確保しておくことは情報収集だけでなく、いざという時に助け合う準備にもなります。

セキュリティの穴を突くハッカー対策も重要です。自動車業界では、車のコントロールを遠隔地から乗っ取る方法が発表されました。この例では公開発表の前に企業側へ情報が提供され、発表時にはすでに対策が取られていました。最近ではソフトウェアバグの発見者に対する報奨金イベントなども行われています。つまり攻撃能力のあるハッカーと上手に付き合う事で自社製品の安全性を高める事ができます。逆に誤った対応策のよくある例は、セキュリティインシデントを些細な事として無視をしたり、セキュリティの高さを喧伝することです。

その他

その他のサイバー攻撃について物理的な攻撃と情報戦について取り上げたいと思います。

現代の発電所や交通機関などの社会インフラはネットワークを通じて制御されるようになっています。これらの制御ネットワークは障壁を設けているとはいえインターネットに繋がっている場合が多く、遠隔地からの攻撃を受ける可能性があります。最悪シナリオとしてダムを意図的に決壊させたり鉄道を暴走させるなどが紹介されていますが、具体的に発生した事例はそこまで至っていません。インターネットは何でも繋がっていて便利ですが、特に重要なインフラは多少コストを払ってでも専用線を利用して他のネットワークと繋げない設計が必要と思われます。

次に情報戦です。WikiLeaksなどを通じて秘密のうちにやり取りされていたはずのメールや資料が暴露される事件が相次いでいます。これらの事件は少なからず世論に影響を及ぼすため、敵対する国の関与を指摘する解説が必ず現れます。この他にもSNS上に不確かなデマが広まったりするなど、これまでとは違った形で情報が伝わるようになりました。最近では人々の「恐怖」や「怒り」を巧妙に煽る形で何らかの誘導を狙っている傾向が感じられます。またSNSでは見たくない情報を簡単に排除できるため、個人の考え方が先鋭化しやすい傾向にあるとも言えます。イギリスのEU離脱騒ぎではないですが、現代人は目の前に提示された情報に対して少し冷静になる必要があるように思います。ここで一つ簡単に情報を分析する方法を紹介したいと思います。提示された情報に対して「その情報で利するのは誰か」を考える事です。これによってニュース記事に隠された意図や表には見えてこない背後関係を察する事ができます。

終わりに

サイバーセキュリティとは国の安全にインターネットが大きく関係する事になってきたため急速に発達している分野です。ややもすると「難しそうな分野なので専門家に任せておけばいい」と思われがちですが、毎日の生活にインターネットが組み込まれている以上、使う側としても出来ることは有るはずです。このまとめが身の回りのサイバーセキュリティーを考える切っ掛けになれば幸いです。

オススメの書籍

サイバー・インテリジェンス

自衛官で現在は民間のサイバーセキュリティ会社に勤務する専門家が一般向けに書いた新書。インテリジェンス(諜報活動)の視点で書かれた本だが、サイバーセキュリティに関する事例を新書らしくまとめてあるので読みやすい。

サイバー・インテリジェンス(祥伝社新書)

サイバー・インテリジェンス(祥伝社新書)

チャイナ・ハッカー

日本人ハッカーによる中国ハッカー界に関する分析。中国人ハッカーに対するインタビューを交えた詳しい内容に驚かされるが著者は既に故人となっていてとても残念。インターネットに公開されている情報だけでも高い分析力を駆使すれば有用な情報になる事が理解できる良書。

チャイナ・ハッカーズ

チャイナ・ハッカーズ

デジタル・フォレンジック概論

警察の実務を反映して纏められた書籍で実践的なテキストにもなる。電子的な情報を法的に有効な証拠として保全するための方法を知る事ができる。メモリー上に展開されているデータを確保するために「電源を落とさずにパソコンを押収する」など具体例も多く紹介されていて興味深い。自力で描いたと思われるイラストも楽しめる。

デジタル・フォレンジック概論?フォレンジックの基礎と活用ガイド?

デジタル・フォレンジック概論?フォレンジックの基礎と活用ガイド?