「RSA Conference JAPAN 2010」が開催:イベント・セミナーレポート:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > イベント・セミナーレポート > 「RSA Conference JAPAN 2010」が開催
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

セミナーレポート
「RSA Conference JAPAN 2010」が開催

 2日目はマルウェアの最新事情、セキュリティに対する意識調査などが報告された。名古屋大学情報基盤センター教授の高倉弘喜氏は「緩やかに進行していくマルウェア感染の実態」として、最近流行しているマルウェアの特長を解説した。

 現在のマルウェアは、クレジットカード番号や企業情報の取得、DDoS攻撃など、感染させたPCを利用することが目的となっているため、見つからないような動きをするという。高倉氏は、メールの添付ファイルによる盗聴ソフト感染の事例を紹介した。
「おとり」マルウェアによる盗聴ソフトインストールの構図
「おとり」マルウェアによる盗聴ソフトインストールの構図(クリックすると拡大します)
 この事例は、攻撃者が最初のマルウェアを「おとり」にして、政府機関や一部上場企業などに大量送付。メールに添付されているファイルを「ウイルス」としてウイルス対策ソフト提供企業が対応に追われている間、最初にファイルを開いたPCにのみ数段階のダウンロードを実行させた後、盗聴ソフトをインストールするというものだ。
 高倉氏は「被害者は、最初に送られてきた『おとり』ファイルが駆除されることで安心してしまい、盗聴ソフトがインストールされていることに気がつきにくい」と指摘した。

 また、マルウェアによって乗っ取られたPCは、マルウェアを配布したハッカー自身によって、他のウイルス感染から守られるという。高倉氏は「一度乗っ取ったPCは、ハッカーにとってDDoS攻撃などを行う上で前線基地となる貴重な財産。別のハッカーにPCを取られてしまうのを防ぐため、自らWindows Updateを行うなどして乗っ取ったPCを外敵から守る」と理由を述べた。

 高倉氏はサイバー犯罪のビジネス化にも言及。「DDoS攻撃は専門の業者が実行している。どれだけメンテナンスを行っているか、100mbpsのDDoS攻撃を10分間無料サービスにして、品質に満足したら有料サービスにする、などとうたい宣伝している。ハッカー間でも競争原理が働いており、性能のよいプログラムを作ったハッカーチームが報酬を受ける、という仕組みになっているように見える」など、マルウェア作成が請負業になっている可能性を指摘した。

 最後に高倉氏は「IDS(不正アクセス監視システム)が、実際に何の被害も出ないデータを誤検知してしまうこともある。IDSの出す警報を鵜呑みにせず、OSによって出現する警報を注意深く見て警戒レベルを上げるか下げるかの違いが、ゼロデイ攻撃をまともに受けてしまうかどうかの分かれ目となる」とマルウェア対策での配慮を呼びかけた。

 続いて、システム権限を持つ人間による名簿売却、システム管理者のアカウントでデータを消去してしまうなど、後を絶たない内部犯行について、警察庁の科学警察研究所と国内の情報セキュリティインシデントの分析・情報提供などを行っているJPCERT/CCから調査報告がなされた。

 この調査では内部犯行のパターンを、
1.企業口座から自分の口座に不正入金するなどの『システム悪用』
2.名簿売却などによって金銭を得ることを目的とした『情報流出1型』
3.上司・同僚のメールを盗み見ることによって心理的満足を得る『情報流出2型』
4.メールを削除するなどの『システム破壊』

に分類。その人物傾向として「元従業員で、転職を重ねた人物」と指摘した。犯行の動機は、『システム悪用』『情報流出1型』では金銭目的で、「目の前の端末が、ある日突然魅力的なものに見えてしまい、試しに犯行を試みて、さらに大胆な行動に及ぶ」(科学警察研究所 捜査支援研究室長の渡邉和美氏)というものが多い。『システム破壊』では経営者や上司に対する嫌がらせを目的にしているという。

 犯行手段では、他人のメールを見たり、転送したりするなど、技術的に高度なものはほとんどなく、渡邉氏は「退職者のパスワードを変更していれば約半数が防げた事例だった」という。
内部犯行防止のための対策
内部犯行防止のための対策
(クリックすると拡大します)
 JPCERT/CCの早期警戒グループ リードアナリストの小宮山功一朗氏は、内部犯行を引き起こさないための対策を挙げた。小宮山氏は「入社前は転職回数や卒業証明など履歴書の精査、NDA(秘密保持契約)の締結が必要。在職中はコミュニケーションを密にとる、兆候の把握(服装・勤怠が犯行前に乱れることが多い)をするとともに、定期的な監査と異動などシステム的な抑制も加える必要がある」とした。また、退職後も、退職者のアカウントを速やかに停止するなどの措置を取ることを強調した。

 最後に渡邉氏が「内部犯行の犯罪者と非犯罪者の違いは、ほとんどない。個人の資質として違反行為を軽く飛び越えていくかどうかの問題」と、内部犯行が対岸の火事ではないことを指摘して締めくくった。

 情報セキュリティに対して心理学、経済学、社会学的な手法を用いていく、という研究を紹介したのはIPA(情報処理推進機構)セキュリティセンター 情報セキュリティ分析ラボラトリー長の小松文子氏だ。

 小松氏はサイバークリーンセンターより無償ボット対策ツールを提供しても、30%ほどしかインストールを行わないことに言及。「技術的な対策だけでは解決しない事例である」として、個人が「対策を実行する」、と決めるまでのメカニズムを明らかにして、効果的な「対策」に必要な要因を探るために行った実験結果を報告した。

 また、ネット上にあるアプリケーションをどう意識して使用しているか、という調査が日本とEUでそれぞれ行われており、結果を比較したところ日本の利用者のほうがリスク認知と対策が低いという結果が出たという。具体的には「プライバシーを確保するためにブラウザ設定を変える」と答えた人はEUで64%、日本では24%、「プライバシー情報についての責任は誰が持つべきか」という質問では日本で最も多かったのがサービス事業者、2番目に本人が持つべきとなり、EUとは逆の結果が出たという。

 小松氏は「情報セキュリティ対策推進のため、個人の意思決定に関する研究分野が必要。しかし、この研究に100%期待してはいけないと考えている。技術対策など、様々なアプローチを組み合わせてよりよい対策ができていければと思っている」と述べた。
展示会場もスタンプラリーなどでにぎわっていた
展示会場もスタンプラリーなどでにぎわっていた
 また、イベント会場には展示会場も設けられ、各事業者からクラウドに関するサービスなどが解説されており、スタンプラリーも開催されていた。こちらにも多くの人が足を運んでおり、イベントをにぎわしていた。

 セキュリティの強化なくして企業や経済の発展はありえない。今回のイベントではそれが強く感じられた。今後の政府の取り組み、そしてサービス提供側のセキュリティの対策をこれからも追っていきたい。


※この講演とセキュリティプラットフォームは一切関係ありません。



お問い合わせ

  コラムトップページへ▲