井上 英明=日経コンピュータ 2017/06/07
ランサムウエア「WannaCry」にJavaのWebアプリケーションフレームワーク「Struts2」と、2017年前半は脆弱性にまつわる大規模なサイバー攻撃が発生し、日本でも被害が続出した。WannaCryの攻撃では電子メールや受発注のシステムが止まり、Struts2への攻撃ではクレジットカード情報が流出し、つい昨日も公表ベースで13件目の被害が判明した。攻撃者の悪意は高まる一方だ。
一方、世界に目をやれば米ロ、仏ロでは大統領選にロシアがサイバー攻撃で介入したとして政治問題に発展している。米国防総省がサイバー空間を陸・海・空・宇宙に続く「第5の戦場」と定義して久しく、米中央情報局(CIA)元職員のエドワード・スノーデン氏は米国家安全保障局(NSA)が開発したメールやソーシャルメディアなどの監視システムを日本に提供していたと暴露した。
国家を背景にしたサイバー脅威は高まるばかり。サイバー防衛を高めなければ。だが――。
「攻撃者をものすごく高度な存在に見積もってはいないだろうか」。総務省が所管する国立研究開発法人、情報通信研究機構(NICT)でサイバーセキュリティ研究所サイバーセキュリティ研究室の室長を務める井上大介氏はこう疑問を投げかける。高度に見積もり過ぎたことで、日本の組織は「小学生相手に戦うのに、プロボクサーと戦うような装備を求められているのでは」というわけだ。
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/060400850/inoue.jpg
情報通信研究機構(NICT)サイバーセキュリティ研究所サイバーセキュリティ研究室室長の井上大介氏
実態が分からないから過剰反応する
井上室長が対策のアンバランスさを感じる理由は単純だ。標的型攻撃の“実態”が分からないのに、対策が進んでいるからだ。
「標的型攻撃で攻撃者が実際にどう侵入して、どう組織内で感染端末を広げ、どう情報を盗み出していくのかというリアルタイムに挙動を記録した『データセット』はほとんど無い」(同)。被害に遭った企業や団体は「ログを取っていないケースが多く、取っていても“お家騒動”なので外部には提供しない」という。
「リアルな標的型攻撃のデータ」として唯一あるのが、今からちょうど2年前、2015年6月に日本年金機構が公表した標的型攻撃の事故のものという。NISC(内閣サイバーセキュリティセンター)がいち早くログデータなどを確保した。
ただそのデータも攻撃が終わった後のもの。攻撃の模様が公表されてはいるが、各種ログをフォレンジック調査(デジタル鑑識)調査して「こういう攻撃だったのであろう」とあぶり出したにすぎない。井上室長が言うところのデータセットではない。
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/060400850/?P=2
なぜリアルタイムなデータセットにこだわるのか。「高価な対策製品を導入せずとも、安価で効果的な対策製品を提供できる可能性が高く、日本のセキュリティレベルを高めることができる可能性が高いからだ」と井上室長は話す。
“高度な”標的型攻撃、つまりAPT(アドバンスト・パーシスタンス・スレット)攻撃では、攻撃者はメールに添付するマルウエアで組織内に侵入し、その後の遠隔操作で感染端末を広げるとき、pingを打つようなことはせず、もっとピンポイントでAD(アクティブディレクトリー)サーバーを攻撃してくると言われている。
だが「結論としてはそうとも言い切れない」。NICTサイバーセキュリティ研究所は、攻撃者が何らかのマニュアルに沿って、侵入し、ツールをダウンロードし、調査して感染を広げていると突き止めた。
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/060400850/nict.jpg?__scale=w:500,h:293&;_sh=0db0970130
情報通信研究機構(NICT)本部(東京都小金井市)
(中略)
攻殻機動隊の「防壁迷路」が現実に
データセットを収集する仕組みを、NICTは5年半の歳月をかけて完成させた。2016年6月から稼働を始めた「STARDUST」である。
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/060400850/stardust.jpg
STARDUSTの概要
(出所:情報通信研究機構)
(つづきはソースで)
