◆被害確認されず、しかし今回が最後ではない
三菱重工サイバー攻撃事案ですが川崎重工やIHIという防衛産業の一角にも攻撃が試みられていたことが判明しました。
IHI・川崎重工にもサイバー攻撃・・・ IHIは20日、同社のサーバーやパソコンが2009年7月から、第三者からサイバー攻撃を受けていることを明らかにした。 現時点でコンピューターウイルスに感染したケースはなく、情報の流出もないという。関係者を装って大量に送られたメールの添付ファイルを開くと、ウイルスに感染し、情報が外部に流出する恐れのある「標的型攻撃」だった。同社は、警察庁に相談している。同社は、防衛省向けの戦闘機のエンジン部品や護衛艦のほか、原子力発電所の圧力容器などを製造している。
防衛・原発関連産業では、三菱重工業がサイバー攻撃でウイルス感染したことが明らかになっており、業界全体が攻撃の対象となっている可能性がある。 哨戒機や潜水艦の生産などの防衛産業を手がける川崎重工業でも、標的型攻撃メールと思われる着信が確認されており、時期や規模については「情報管理上明らかにできない」(広報部)と説明している。これまでのところ適正な処理をしていることから、外部への情報流出はないという。(2011年9月20日22時13分 読売新聞)http://www.yomiuri.co.jp/national/news/20110920-OYT1T01008.htm
三菱重工ですが、防衛関係の情報漏えいがあった場合には防衛省へ即座に報告するという義務を怠っていたとして、防衛大臣が不快感を表明しました。被害状況の確認に時間を要していた、というのが三菱重工の回答ですが、しかし報道が出た直後に防衛省に報告している、その大元となった報道では八月の時点でサイバー攻撃の可能性を見出し、専門業者に解析を依頼していた、とされていますので、確認のために遅れたというのは一日夜二日の話ではなく一週間や二週間以上という次元の話のようです。
八月に判明した事案を防衛省に報告したのが九月下旬、これは企業の情報に関する立場としてどういうものなのか、という一点に尽きます。一方で、法的に、いわゆるスパイ防止法を制定したとしても日本国外からの攻撃に対しては管轄権がありませんし、まさか海外にあるクラッカーの自宅に特殊部隊を派遣するわけにもいきませんので、対処能力の強化を図る以外方法がないというのが実情でしょう。
。三菱重工については、日本の防衛産業の中心となっている企業である点、10式戦車をはじめ自衛隊が我が国の防衛を行う上で必要な装備品を生産しているだけではなく、航空自衛隊の次期戦闘機選定に際して、特に現在の選定が難航している最大の要因、F-22の導入が実現しなかった背景に海上自衛隊イージス艦情報漏えい事件があり、情報管理は国の安全保障にかかわる問題でありながら防ぐことができなかったという点、先端技術実証機のような秘匿しなければならない情報についても不安要素が生じた、という意味で重大ですが、IHIや川崎重工についても、現在のところ被害は確認されていないながらも攻撃が行われていたという形跡の判明は大きな不安があることも間違いありません。
それだけではなく、東芝や日本電気といったほかの防衛産業や重要な技術を担う下請け企業などから情報漏えい、外堀から攻められているという可能性は大丈夫か、という不安が生じます、この点はどうにかならないものでしょうか。今回の情報漏えいに対してどの様な防御措置が取られていたかは全く想像に頼るほかないようですが、単純にパスワードの頻繁な変更やメールへの警戒だけでは防ぎきれないものがありまして、攻撃技術も進歩しますからネットワークに加入している以上完全という言葉だけはあり得ませんので、継続的な対策が必要です。
徹底した暗号化措置と端末利用の制限を行い且つ銀行のオンラインシステム並みの完全独立のスタンドアローン型ネットワークを構築すれば、ある程度被害は防げるのかもしれませんが、端末利用制限は設計作業の煩雑化を呼び開発の長期化と不具合点検の複雑化を招いてしまいますし、ネットワークに関しては内部からの侵入に対し脆弱性を有しているばかりではなく検査費用も大きく、万全といえるようなものは防衛関係の情報でも設計情報などは私企業の財産である以上、政府が私企業のために汎用性のある独自のネットワークの整備費を捻出することは難しく同時に点検もできない、他方で企業努力に頼るという方便で自己負担の強要を行うことも少々無理があります。
一方で忘れてはならないのは、現時点で判明していおる被害というだけではなく、何らかの対策を講じない限り今回が終わり、ということも絶対にありえない、という現実です。この点で、隣国や同盟国では、いわゆるサイバースペースにおける軍事攻撃の意味合いを通常戦力による攻撃と同程度に比重を高めている趨勢があり、この種のサイバー攻撃は国際法が禁じている武力攻撃に分類されないことから法的対策ではなく純粋な技術的対策を、特に予算面や技術面での支援という私企業では限界のある分野については国家規模で推進する必要が出てきます。
被害が私企業の私的データに対してのものですが、国としてソフト面での支援は実施してゆかなければなりません。ある程度行っているのかもしれませんが不十分でした。国が関与する意味について軍事力をハード面に限り解釈し、例えば武力攻撃という意味で自衛隊の活動を制約しながら武力行使と受け取られるような汎用品を輸出したり、テロと軍事攻撃の概念についての一貫した論理の施行を忌避した我が国ではサイバー攻撃と国家による対処というものは難しい話です、しかし理解しなければなりません。
北大路機関:はるな
(本ブログに掲載された本文及び写真は北大路機関の著作物であり、無断転載は厳に禁じる)
>防衛関係の情報漏えいがあった場合には
>防衛省へ即座に報告するという義務を怠っていた
今回、明確に漏えいした証拠は全く無いにもかかわらず、マスコミの論調はどうも三菱=悪としているように見えるのに疑問を感じます。
そもそも、警察には届け出ており、内部でもみ消し、というつもりはないことは明らかであり、当初の状況が不明確な状況で話を持ってこられても、防衛省・自衛隊側も「で?」としか反応のしようがないはずです。
更に言うならば、現在の防衛省・自衛隊の体制ではたとえ報告したとしても、何らかの具体的なアクションを取ってくれるとは到底思えないものであり、民間の不備を指摘するくらいなら、そちらの整備に邁進する方が先ではないかと考えるところです。(今回三菱を含む防衛各社で発見された不正コードが、防衛省で見つからない・・・のではなく見つけられないだけではないかと危惧します。)
今回の攻撃手法そのものもそうですが、最も弱いところを突く、というのは基本ですものね……。あるいは防衛省そのものより三菱重工の方が情報を持っている、として狙われたのかもしれません。
>銀行のオンラインシステム並
>スタンドアローン型ネットワークを構築すれば、ある程度被害は防げるのかもしれませんが
ここではあまり詳しくは述べませんが、その銀行のシステムもしばしば攻撃被害を受けている上、今年度初頭にはスタンドアローン型のネットワークを狙った攻撃が起こったりもしています。あのロッキード・マーチンなんかもやられました。
現状、防御よりも攻撃優位と言って良いでしょう。
勿論、スタンドアローン型の方が遥かに強固であるのは間違いありません。
やらないよりマシではありますが、はるなさんが指摘されているとおり、作業効率とのトレードオフになります。
>単純にパスワードの頻繁な変更やメールへの警戒だけでは防ぎきれないもの
というよりも、まさに『パスワードの頻繁な変更やメールへの警戒などは”徹底できない”』が故に防ぎきれないのです。組織は多数の人間で構成され、さらにその大多数はコンピュータについて素人でしかないのです。
どんな素人が使っていても大丈夫、というセオリーは構築の途上にあります。
攻撃被害を受けるのは現状、言ってしまえばやむをえません。重要なのはその後の対応と、攻撃を受けても情報を漏えいさせないようになっているかどうかという点です。三菱重工ということから、どのようなシステムになっていたのか公開はされないのでしょうけれども、セキュリティの研究の観点から言えば問題のない範囲で情報を積極的に公開して欲しいところですね。
今回の件で問題なのは、攻撃を受けたことではなく、事後の報告が遅れたこと、遅れていることにある、と自分は考えているのですが、いかがでしょうか。
もし、本当にサイバー戦争時代への対処を取る、というのであれば、防御への運用よりも現時点においては攻撃にリソースを割り振り”積極的に”攻撃をしかけていったほうが、戦力の経済的運用にかないます。
防衛省主導による組織化を進めるべき、と主張されておられる方はその観点から述べられておられるのでしょうか?
> | さん
同意します。ただ、報告は契約義務ですので、ここは責められるべきところです。何のための特約か、ということになりますから。
もし同じ犯人であった場合は流出した情報を特定することは困難かもしれません。2009年04月のウォール ストリート ジャーナルは下記のように報じています。
The spies inserted technology that encrypts the data as it's being stolen; as a result, investigators can't tell exactly what data has been taken.
スパイは盗んでいるデータを暗号化する技術をはめ込んだ。その為に調査団は具体的にどのデータが盗まれたかを示せない。
記事を拝見させていただきました。事件に対する必要なことが詳しくまとめられており、とても分かりやすかったです。
突然ですが、高校でニュースを取り上げてプレゼンテーションを行います。そこでこの内容を使わせてもらいたいのです。承諾してもらえないでしょうか。
回答よろしくお願いします。
いいですよ、どういった趣旨のプレゼンテーションかは存じませんが、ご参考になれば幸いです。
ただ、個人ブログですので、一次情報としては使いにくいかも
そこで、関連する時事情報や三菱重工HPの記事も第二北大路機関の方へ集めてみましたので併せてお役にたてれば、と思います
↓
http://harunakurama.blog10.fc2.com/blog-entry-914.html
あと、こちらへお寄せいただいた過去のコメントへのお返事は別の記事にて掲載しております
↓
http://harunakurama.blog.ocn.ne.jp/kitaooji/2011/10/post_213e.html
承諾してくださってありがとうございました。
ありがたく使わせていただきます。
お役にたてたようで幸いです。