16年3月に行われた『Security Days』。記事・前編でパロアルトネットワークスの乙部幸一朗氏はサイバー脅威の変遷、最新の事例、傾向について解説した。後編はサイバー脅威の未来やその対策に触れる。主な発言要旨は次の通りだ。【山下雄太郎】
--------------------------------------------------------------------
未来のサイバー攻撃の脅威はどんなものだろうか。今後、サイバーテロは数としては少なく、頻発することはないだろう。しかし、世間を揺るがすほどの大きいものはもちろん存在する。今後、サイバー戦に向けての動きは加速していくのではないか。
実際の戦争のように物理的な攻撃をすれば、メディアから当然非難を受ける。しかしサイバー戦となると、水面下でわからない形になる。攻撃もどこの国がやっているか、指定しづらい。
IoT(Internet of Threats)の時代へ
またサイバー犯罪の市場がより高度化している。日本の犯罪グループにもネットバンキングに関する動きがある。今後は、デバイスの広がりによる新しいマネタイズ手法も確立されてきている。売買の対象となる情報も機密情報やマイナンバーなど徐々に広がっている。
そして、これからはIoT(Internet of Threats)。つまりIoT(Internet of Things)が常にサイバーリスクにさらされる時代になる。全てのものがネットワークでつながり、ネットワークにあるものは全てハッキングされる可能性があるという社会だ。
では具体的に何をすればいいか。代表的なものとして経産省から出ている「サイバーセキュリティ経営ガイドライン」がある。ここには経営者がどういうセキュリティのガイドラインをやればいいかが書かれている。
その中で触れられているのがサイバー攻撃を受けた場合の準備が重要ということ。特に、ポイントとなるのが「止めるための仕組み」。未知のマルウェアなど今まで見たことのないものが出てくる。これをいかに見つけて止めるかが大事だ。
もう一つが情報の把握。業界での情報の共有をすることで、攻撃者に対して知識を深めていくことが大事だ。そこでサイバーレリジエンス(不測の事態に対応する力・復元力)が問われる。
最善の対策は「攻撃者側に聞けばよい」
そのためには入口・出口対策だけではなくて、内部対策も含めた包括的なセキュリティを計画する必要がある。内部に侵入されても対応し、莫大な被害が発生しないようなエコシステムを構築しなければならない。
例えば、我々の体に病気が入れば、免疫システムが作動し、自分で修復するシステムになっている。同じようなことをセキュリティの世界でもやらなければならない。では具体的にどうすればよいか。それなら攻撃者側に聞けばよいのでは、ということだ。
実際に、米国・イギリス・ドイツの実際に攻撃者やハッキングのコミュニティで有名な人に匿名でアンケートをとった。質問内容は「どういうモチベ―ションでやっているか」「どういう手口でやっているか」などだ。
攻撃者のモチベーションを見てみる。すると、ほとんどがサイバークライムを行う理由として経済的な理由を挙げているのがわかる。全体の69%が経済的な理由をモチベーションとしている。また72%は特に理由もなく標的の企業を選んでいる。
一方で、攻撃に必要なコストは減少傾向にあるという。攻撃者の53%が「攻撃のためのリソースが減った」と回答している。実はこの背景には自動化されたマルウェアのツールキットの存在がある。
つまりマルウェアをデリバリーする仕組みを持つツールキットの存在だ。それを用いることで、攻撃者はクライアント側の仕組みを調べ、どのブラウザか、どのバージョンで動いているか、どんな脆弱性があるのかがわかってマルウェア攻撃を仕掛けられる。
そのキットをつくるための仕組みも、クラウドサービスで簡単に安く買うことができる。そのため、それを使えば難なく攻撃することができる。今やサイバー攻撃は誰でも簡単に仕掛けられる時代なのだ。
ただし、攻撃者は同じアンケートのなかで「脅威情報の共有は厄介だ」とも答えている。39%もの攻撃者が情報共有されたら「攻撃は成功しない」と示している。キットを買ってもすぐに企業間で情報を共有されれば使えなくなるからだ。
分析から予防まで、「自動化」することが重要
攻撃者に不利な情況をつくるためにはいくつか方法がある。攻撃者のモチベーションを減らすために、高度なセキュリティを敷く。それによって相手が毎回高価なツールを駆使して攻撃しなければならない状況になるよう、攻撃者に仕向けるべきだ。
また、自動化するためのツールキットを防ぐべくセキュリティ対策を購入し、さらに攻撃者の手間を増やす必要がある。もちろん未知の脅威を自動的に分析して、それを世界中の組織で共有し、リアルタイムでブロックしなければない。
重要なのは分析から予防までの自動化だ。攻撃者がみんな使っているマルウェアをまずは止める。既知の良いものは許可し、既知の悪いものはブロックする、そして未知のものは分析し、どちらにしたらよいのか考える必要がある。(終)
