ウイルスの歴史とこれから
~歴史から振り返る対策の課題点~
内田勝也 情報セキュリティ大学院大学名誉教授
2013/2/14  2/3ページ

有害プログラム流行の予測

―それでは今後どのような有害プログラムが流行するのでしょうか?

内田氏:今後は、さらにソーシャルエンジニアリング機能を持ったものが増えていく可能性があります。日本は、ソーシャルエンジニアリングに関しては無防備に近い状態ですから。もう1つは「DDoS攻撃を内部から仕掛ける」攻撃です。これについても今の企業は無防備です。これまで外部からの攻撃としか考えていなかったDDoS攻撃を内部から行われたらひとたまりもないでしょうね。


―確かに内部からのDDoS攻撃は想定していないと思います。最初に外部から社内へトロイの木馬が侵入しないようにするしかありませんね。

内田氏:単純に社内だけではなく、子会社や系列会社のようなところも場合によっては、踏み台として狙われる可能性があります。内部からのDDoS攻撃が実行されたら、1か月以上コンピュータシステムが停止し、業務が円滑にできなくなるかもしれません。内部へ侵入し、密かに感染を広げ、ある時点で一斉に攻撃を仕掛ける。日本の金融機関等、重要インフラなどに、こういった攻撃を仕掛ければ、国中が大混乱に陥るでしょうね。


 ですから政府や重要インフラ機関は「セキュリティ戦略」や「個々の対応計画」を考える必要があります。また、「ソーシャルエンジニアリング」については、知識を持っているだけでなく、実践的な人材の育成が求められます。


 ソーシャルエンジニアリングを考える必要があるのは、有害プログラムの侵入経路がインターネットを経由する必要すらないからです。入口に立っているガードマンの隙をついて社内に「物理的に」入り込み、トロイの木馬入りのUSBメモリを落としておく―そういう形で攻撃を仕掛けることもできます。勿論、他の方法も多々あります。2012年11月に、有名な「ソーシャルエンジニアリングの実践教育」を受けてきましたが、対象になったら防ぐのは非常に難しいと感じました。


サイバー攻撃の手口は多岐にわたる
サイバー攻撃の手口は多岐にわたる

―スタンドアローン環境に攻撃をしかけたスタックスネットの手口ですね。ここまで来ると確かにサイバーではない次元の問題になっています。

内田氏:1990年台前半に、コンピュータ・セキュリティ・インスティチュート(CSI)が主催するセキュリティ会議で、「ハッカーと語ろう(Meet the enemy)」というテレコンファレンスがありました。途中、電話会社のオペレータが割り込んできて、オペレータとハッカーのやり取りがあり、ハッカーはオペレータのユーザIDとパスワードを聞き出してしまったことがありました。


―電話だけのソーシャルエンジニアリングだけですか?

内田氏:はい。しかも、電話会社のオペレータは自分のID/パスワードを聞き出されたことに気付いていませんでした。日本のソーシャルエンジニアリングでは、上司や関係者を装って、相手からユーザIDやパスワードを強制的に聞き出すようなイメージを持っている人が多いですが、これは、最もレベルが低いやり方でしょうね。レベルが高いソーシャルエンジニアは、単純な会話だけで、多くのことを自然に聞き出しています。こうした攻撃を防ぐためには、ユーザ側で訓練を重ねるしかありません。

リスク管理とその姿勢

―訓練を含め、ユーザ側での適切な管理が必要になるわけですね。

内田氏:管理にあたって、典型的な誤りがあります。それは、セキュリティを“性悪説”に基づいていると考えることです。1990年ごろですが、ある銀行の情報システムの部長にセキュリティ製品を進めたら「うちの会社の社員は忠誠心高いから“性悪説”みたいな機器は要らない」なんて言われたと販売業者から聞きたこともあります。もちろん現在ではセキュリティ製品が要らないという方はいませんが、それでも未だにセキュリティは“性悪説”に基づいていると考えるシステム担当者は多いです。

>>リスク管理の勘違い