国家によるサイバー攻撃(State-Sponsored Cyber Attack)とは
経営層の危機意識やリスク感覚が欠如

2016/10/26
ASERT アーバー・セキュリティ・エンジニアリング&レスポンス・チーム ブログ
国家によるサイバー攻撃とは
「国家によるサイバー攻撃」の行動主体は、一般に認識されているハッカーとは大きく異なるものである。一般にハッカーとは、「主にコンピュータや電気回路一般について常人より深い技術的地域を持ち、その知識を利用して技術的な課題をクリアする人々」のことである。
前述のような「国家によるサイバー攻撃」は、その攻撃態様や利用された技術の特性を見る限り、単独のハッカーや小規模のグループで実行することは能力、資金、人的リソースの観点で現実的に不可能に近い。さらに、個性が強く、それぞれの関心が異なる複数のハッカーが集まって同調的行動を行う際、それぞれのハッカーから信頼と敬意を獲得したリーダーや厳格な指揮命令系統が存在しない限り、その同調的行動は短い期間で破綻し、目的達成を果たせないばかりか、関係者外に内部情報が流出することがある。
理由の一つに、参画した一部のハッカーが、外部にあまり流通していない価値の高い情報を、秘密裏に様々なブラックマーケットに高値で”何度も”売るためである。情報という無体物は、他人に与えても元から無くなることがないという非移転性の特性があるため、他者に対して無限に何度も与えることができる。
したがって、情報の価値が高ければ高いほど、費用対効果が極めて高い商材となる。或いは、ハッカーコミュニティで自分自身の名声や価値を高めるために使われることもある。そのため、「国家によるサイバー攻撃」の行動主体には、何かしらの強い統制力が存在しているとみなすのが自然といえる。
ところが、強い統制力を発揮する手段として、高い報酬を与えるだけでは失敗する。前述のとおり、得ることのできた内部情報を他所に高値で売る輩が存在するためである。また、特定の技術領域に長けているハッカーを指揮命令系統の中に入れる場合は、その技術領域の範囲内で活動の場を適切に提供しなければならない。さらに、現在、国内外においてセキュリティ人材という名目でハッカーを育成する取り組みが推進されているが、そのハッカー以上の能力と経験を積んだ技術者を確保して、教える立場に据えなければならない。
人材以外の観点で「国家によるサイバー攻撃」を眺めると、秘密裏に開発された「高度な技術」の存在がある。敵対する国の社会インフラにおける重要システムは、すでに高いレベルのセキュリティ対策が施されているため、これを凌駕する攻撃技術を開発或いは獲得することが必要となるが、これは一般的な技術開発とは大きく異なるものである。
一般的な技術開発は、「産業や生活などを一層有効な形で運営するための技術の獲得を目的として、それを成し遂げるための組織的な努力のこと」である。実際の活動は、製品や製法のイメージを明確にした上で、科学における知識や法則の基盤を基に、社会のニーズに当てはまるものを発明していく。これにより、資本主義体制という、資本つまり貨幣の運動が社会のあらゆる基本原理となり利潤や余剰価値を生む体制の社会において、技術開発の好循環が進み、常に社会と対話しながら高度な技術が作られていく。
そのため、敵対する国の社会インフラや重要施設に深刻な被害を与える攻撃技術の開発においては、対話すべき対象が「社会」ではなく、「特定の国家機関」となる。そして、このような技術開発の調達先の多くが、利潤追求を求める民間企業であるため、特定の国家機関は、開発された攻撃技術に対する対価を支払っていくことになり、膨大な予算を確保しておくことが求められる。
さらに、技術開発に必要となるイメージを作るためには、敵対する国の社会インフラや重要施設において実際に稼働しているシステムの構成や利用技術を把握及びそれらの脆弱性を徹底的に見出した上で、被害を確実に発生させるため攻撃プロセスを立案していくことになる。つまり、「特定の国家機関」は、高度な諜報能力と緻密な作戦能力の発揮が求められる。
このように、特定の目的を達成するためのハッカーの育成や確保や、攻撃を実現するための高度な技術を開発するには、様々な困難を伴うことになる。しかし、豊富な資金力(予算)が確保でき、かつ強い影響力を行使できる権限を有する「特定の国家機関」であれば、その実現は不可能ではない。すでに、諸外国で確認されている「国家によるサイバー攻撃」の多くに、国家の意思が必然的或いは潜在的に反映されている。
民間企業の立場からみたサイバー攻撃
民間における企業は、営利を目的として一定の計画に従って経済活動を行う経済主体(経済単位)であるため、第三者にとって有益な情報を内部に保有している。そのため、経済的利得を目的としたサイバー攻撃の被害に遭いやすい。
特に、ブラックマーケットでの売買や他のサイバー攻撃に利用することができる「クレジットカード情報及びID/パスワード等の個人情報」や「知的財産等の営業秘密情報」の窃取を狙ったサイバー攻撃が突出して目立つ。
このような攻撃による被害が続いていくと、民間分野の事業活動に重大な影響を与えるため、政府機関は、2003年に個人情報保護法及び関連ガイドラインを整備し、民間企業にその遵守を強く求めた。具体的には、プライバシーマーク制度やISMS(情報セキュリティマネジメント)適合性評価制度を社会全体に浸透させ、「その認証を取得することで、適切な管理策が実現し、情報セキュリティインシデントの発生可能性やインシデントが顕在化したときの損害を減らすことができる」という、情報セキュリティ対策により企業価値が向上するという文化を醸成していった。
この結果、2014年の国際標準化機構(International Organization for Standardization)の統計によると、日本におけるISMS(ISO27001)の認証取得企業は7,181社となり、全世界の30%を占めるようになった。また、認証取得を目的とせずセキュリティ管理のための枠組み(フレームワーク)としてISMSを活用する日本企業も多くなった。これにより、日本の情報セキュリティレベルを向上させるという点では、一定の成果が得られた。
ところが、2006年ごろから相次いで民間企業からの情報流出事故が急増し、情報セキュリティの認証を取得した企業でさえ、数百万件ほどの個人情報流出事故を起こすようになった。これは、認証取得時における想定脅威を「技術を誇示する愉快犯」や「金銭搾取を狙う犯罪」としていたが、その後に大きく変化したサイバー脅威に積極的な関心を向けていなかったことに大きな問題があった。
つまりに、民間企業は、無自覚(自分の責任や義務などを自覚せず)に想定脅威が変化しないものと捉えて、防御策を固定的なものとしてしまい、変化する脅威に対する防衛策を動的に変更管理していなかったのである。見方を変えて言うならば、民間企業の経営層が、継続的に変化をしていくサイバー空間における状況認識を怠ったことにより、経営層自らの危機意識やリスク感覚が欠如し、組織を危険な状況に置いてしまったということができる。
アーバーネットワークス株式会社(ASERT アーバー・セキュリティ・エンジニアリング&レスポンス・チーム ブログより)
http://jp.arbornetworks.com/
(了)
ASERT アーバー・セキュリティ・エンジニアリング&レスポンス・チーム ブログの他の記事
おすすめ記事
中澤・木村が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/07/01
「ビジネスイネーブラー」へ進化するセキュリティ組織
昨年、累計出品数が40億を突破し、流通取引総額が1兆円を超えたフリマアプリ「メルカリ」。オンラインサービス上では日々膨大な数の取引が行われています。顧客の利便性や従業員の生産性を落とさず、安全と信頼を高めるセキュリティ戦略について、執行役員CISOの市原尚久氏に聞きました。
2025/06/29
柔軟性と合理性で守る職場ハイブリッド勤務時代の“リアル”な改善
比較サイトの先駆けである「価格.com」やユーザー評価を重視した飲食店検索サイトの「食べログ」を運営し、現在は20を超えるサービスを提供するカカクコム(東京都渋谷区、村上敦浩代表取締役社長)。同社は新型コロナウイルス流行による出社率の低下をきっかけに、発災時に機能する防災体制に向けて改善に取り組んだ。誰が出社しているかわからない状況に対応するため、柔軟な組織づくりやマルチタスク化によるリスク分散など効果を重視した防災対策を進めている。
2025/06/20
サイバーセキュリティを経営層に響かせよ
デジタル依存が拡大しサイバーリスクが増大する昨今、セキュリティ対策は情報資産や顧客・従業員を守るだけでなく、DXを加速させていくうえでも必須の取り組みです。これからの時代に求められるセキュリティマネジメントのあり方とは、それを組織にどう実装させるのか。東海大学情報通信学部教授で学部長の三角育生氏に聞きました。
2025/06/17
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方