セミナーレポート

白浜で考えるサイバー犯罪の動向

白浜シンポジウムはネット上の誹謗中傷などがテーマに

2014/6/12

 情報セキュリティの有識者が集う「サイバー犯罪に関する白浜シンポジウム」が2014年5月22日~24日に開催された。シャドーITやネット上の誹謗中傷などについて講演が行われた。

警察やセキュリティ業界関係者を中心に多数の参加者が集まった
警察やセキュリティ業界関係者を中心に多数の参加者が集まった

脆弱性のあるサイトへの対策


 WEBアプリのセキュリティを手掛けるHASHコンサルティングの徳丸 浩氏は、2008年頃からWEBサイトの脆弱性をついた攻撃が頻繁に行われるようになったと指摘。現在に至っても、WEBサイトがガンブラー型のマルウェアに感染してアカウント情報の流出がおきるなど、サイトの危険性がいまだに高いという。


 その一方で、WEBサイトの製作現場でも、責任の所在が発注者なのか開発者なのかあいまいなまま発注・製作が行われているものも多いという。そのため、徳丸氏は発注者がその責任の所在を契約に明記しておく必要があると提言した。例えば「ふるさと宮崎人材バンク」の仕様書にはSQLインジェクション(アプリケーションの脆弱性をついた攻撃手法)などへのセキュリティ対策を施したプログラムの着用を開発者に依頼する項目などが明記されており、サイバー攻撃が発生した場合の責任の所在を想定したセキュリティ要件が盛り込まれている。


シャドーITを視野に入れた対策


 フィルタリングソフトを開発するデジタルアーツの高橋則行氏は、「Gmail」や「YouTube」に代表されるクラウドを使ったサービスが増加している点に注目した。


 こうした背景のなか、高橋氏は会社や組織の承認のないまま機器やソフトを利用する「シャドーIT」への対応が課題になっていると指摘。同社の調べでは勤務先支給端末のプライベート使用を許可している企業の割合が全体の38.7%を占めており、さらにプライベートで使用している中で「規制はない」と答えた企業が62.5%にも上ったという。一方で別のアンケートでは、転職時にデータを持ち出したことがあると答えた人が、全体の2割にも上ったとのことだ。


 こうしたなか高橋氏は、会社が承認したサービスとそれ以外とで制限を設け、監視できる範囲で使用を認めることが必要だとしている。例えば社内でGoogleAppsのようなクラウド型のグループウェアを導入する際も、GoogleApps 内で使うGmail以外のWEBメールを禁止し、Gmailも自社ドメイン以外の個人メールの使用を禁止するなどの制限が大切だとしている。

HASHコンサルティング 徳丸 浩氏   デジタルアーツ 高橋則行氏
HASHコンサルティング 徳丸 浩氏   デジタルアーツ 高橋則行氏

増えるネット上の誹謗中傷


 シンポジウムでは「ネット上の誹謗中傷対策」についても取り上げられていた。最近は弁護士の岡村久道氏によるとネット上で名誉棄損、プライバシー侵害などの権利侵害に関する訴訟が目立ってきているという。


 Googleに個人名を検索すると、その個人名と同時に犯罪を連想させる単語が表示されることが問題となった「Googleサジェスト事件」もその1つ。原告の被害者が被告のGoogleに対し賠償を請求した裁判で、東京高等裁判所は「表示による男性の不利益が、表示を削除することでGoogleや他の利用者が受ける不利益を上回るとはいえない」と判断。「名誉棄損やプライバシーを侵害するとはいえない」という判決を下した。この判決についてはいまだに議論が続いているという。


 岡村氏は増加するネットにおける誹謗中傷の対策の1つとして、警察庁の委託を受けたネット上の通報窓口である「インターネットホットラインセンター」の存在も紹介している。同センターは一般の人からの通報を分析し、違法・有害情報と判断した場合は警察に情報提供を行い、プロバイダの管理者などに送信停止などを依頼する機能をもっている。


強まるAPT攻撃


 マクニカネットワークスの政本憲蔵氏は日に日に強まっている海外からのAPT(Advanced Persistent Threat)攻撃について触れた。APT攻撃は組織内ネットワークに潜伏し、重要情報を盗むサイバー攻撃だ。


 政本氏によると、APT攻撃は、特定の攻撃者グループによる事例が目立っているとのこと。例えば「Aurora Panda」は、セキュリティ企業「Bit9」を攻撃して、電子証明書を盗むといった攻撃を行っている。ターゲットも米国、ドイツ、イタリア、日本と幅広い。また「Energetic Bear」のように、エネルギー産業関連などをターゲットにして攻撃を行うグループも見られているという。

弁護士 岡村久道氏   マクニカネットワークス 政本憲蔵氏
弁護士 岡村久道氏   マクニカネットワークス 政本憲蔵氏

SIEMの必要性


 企業にはAPT攻撃のような外部から狙われるリスクがある一方、内部からの犯行によって情報が漏洩するというリスクをはらんでいる。


 日本ヒューレットパッカードの佐藤慶浩氏は、企業における被害発生を想定し、その対応を前提とした対策を行っていく「SIEM(Security Information Event Management)」の構築が欠かせないとした。


 例えば膨大なログを収集して分析し、異常を報告するシステム・体制を築くことで、社内の不正行為を未然に防ぐことができる。こうしたSIEMのようなITを駆使した仕組みに加え、佐藤氏は権限を与える人材を限定する措置をとるなどして、業務全体を広く監視するべきだとした。


 今回の白浜シンポジウムも、約300名という多くの参加者を集めていた。話題もサイバー犯罪からネット上の誹謗中傷についてなど、関心の高いテーマが取りあげられていた。恒例の情報危機管理コンテストでは、高校生が初めて参加するなど新たな展開も見せていた。同シンポジウムの今後の発展に期待したい。

(山下雄太郎)

【セミナーデータ】

イベント名
:第18回サイバー犯罪に関する白浜シンポジウム
主催   
:サイバー犯罪に関する白浜シンポジウム実行委員会
開催日  
:2014年5月22日~24日
開催場所 
:和歌山県立情報交流センターBig ・U(和歌山県田辺市)

このセミナーレポートのキーワード

【キーワード解説】APT攻撃

【関連カテゴリ】

情報セキュリティ