2017/02/08
講演録
IoT時代におけるサイバー攻撃のシナリオ
![](https://risk.ismcdn.jp/mwimgs/3/b/670m/img_3b787760f0f62518c1af69e96ec70a3572822.jpg)
近年目立つ標的型攻撃主流
サイバー攻撃の被害はランサムウェアを始めとして様々な形で増えている。サイバー攻撃にはこれまでに2つのターニングポイントがあった。1つは2000年頃で、科学技術庁などのホームページが改ざんされたときだった。想定していた攻撃が実際に日本で起こってしまったことが衝撃だった。
2つ目のターニングポイントは2010年ころ。典型的な例はStuxnetの出現になる。Stuxnetは米国とイスラエルが協力して開発したとされるマルウェアで、イランの核燃料製造用の遠心分離機を破壊した有名なウイルス。イランの核開発を1年以上遅らせたと言われている。WindowsのPCからPCに感染し、普段は何もしないが、遠心分離機の回転を制御するソフトを見つけると動き出す。2011年には三菱重工業へも標的型攻撃が行われた。
2000年ごろと2010年以降では様相が変化している。まずは攻撃目的。当初は改ざんなどでメッセージを残すといったハッカーによる自己PRが中心だった。第2のターニングポイント以降は金や機密情報目的が増えている。犯罪者もハッカー以外にアクティビストという政治的主張者も目立つようになった。
また犯罪者の組織化も進み、国家スパイや産業スパイもいる。標的はITから電力や交通といった重要インフラにまで広がりを見せている。攻撃パターンは不特定多数を対象にしたものから「標的型」という攻撃対象を絞ったものに変わってきている。先ほどのStuxnetによるイランへの攻撃だけでなく、日本年金機構への攻撃もそうだ。
企業化しているハッカー集団
日本年金機構に送られてきたメールは添付ファイルを開けたくなる文面になっており、4名がメールを開封してしまった。感染したPCから、ウイルスは環境を把握した上で、C&Cというサーバーに強制的にアクセスさせて、その環境に最適な攻撃プログラムをダウンロードしてから暴れ出した。最終的には日本年金機構のPCやサーバー31台が感染してしまった。年金番号は基幹システムだけで扱うはずが業務の効率化のため、本来なら無いはずのPC内にあったために流出が拡大してしまった。なかなか足がつかない、高度で組織的な犯罪だったといえる。流出した情報は全部で125万件。対象者は101万人だったと報告されている。
この攻撃の特徴はウイルスの亜種をどんどん作り、ウイルスチェックやワクチンからの攻撃をすり抜けるように改良を重ねている点。そのファイル作成の時間を解析すると、9~12時、14~17時に偏っていた。一般的なの勤務時刻とほぼ一致している。普通、ハッカーの攻撃なら1日中、あるいは夜のみになる。おそらく企業のような組織によるもので、日本より1時間の時差があったことから、その組織の拠点となった国は断定できないが推測はできる。
米国では2015年に同様の攻撃が行われた。米連邦政府の人事管理局がサイバー攻撃を受け、政府機関の職員や契約業者ら2150万人分もの身元調査にかかわる情報が盗まれるという大変な被害を受けた。同年にはドイツでも連邦議会にハッカー攻撃が仕掛けられ、PCの総取り換えを余儀なくされた。サイバー空間では攻撃は簡単だが、守備はとても難しく対策は限られている。
今後はどのようなサイバー攻撃が増えるか。IoT時代となりその前兆のようなものはある。ひとつは被害形態が多様化している。従来は機密性の喪失、つまりは機密情報を盗むことに主眼が置かれていた。これからは完全性や可用性の喪失ということで、情報の書き換えやシステムの停止などを狙うだろう。被害形態の多様化や攻撃対象の多様化、攻撃の多様化が起きる。結果として「機密性」の喪失だけではなく、サイバー攻撃でデータの欠損など「完全性」が崩れ、システムを継続して動かす「可用性」も失われる。
- keyword
- TIEMS
- サイバー攻撃
- サイバーセキュリティ
講演録の他の記事
おすすめ記事
-
-
-
3線モデルで浸透するリスクマネジメントコンプライアンス・ハンドブックで従業員意識も高まる【徹底解説】パーソルグループのERM
「はたらいて、笑おう。」をグループビジョンとして掲げ、総合人材サービス事業を展開するパーソルグループでは、2020年のグループ経営体制の刷新を契機にリスクマネジメント活動を強化している。ISO31000やCOSO-ERMを参考にしながら、独自にリスクマネジメントの体制を整備。現場の業務執行部門(第1線)、ITや人事など管理部門(第2線)、内部監査部門(第3線)でリスクマネジメントを推進する3線モデルを確立した。実際にリスクマネジメント活動で使っているテンプレートとともに、同社の活動を紹介する。
2024/07/23
-
インシデントの第一報を迅速共有システム化で迷い払拭
変圧器やリアクタなどの電子部品や電子化学材料を製造・販売するタムラ製作所は、インシデントの報告システム「アラームエスカレーション」を整備し、素早い情報の伝達、収集、共有に努めている。2006年、当時社長だった田村直樹氏がリードして動き出した取り組み。CSRの一環でスタートした。
2024/07/23
-
「お困りごと」の傾聴からはじまるサプライヤーBCM支援
ブレーキシステムの開発、製造を手掛けるアドヴィックスは、サプライヤーを訪ね、丁寧に話しを聞くことからはじまる「BCM寄り添い活動」を2022年度から展開している。支援するのは小規模で経営体力が限られるサプライヤー。「本当に意味のある取り組みは何か」を考えながら進めている。
2024/07/22
-
-
危機管理担当者が知っておくべきハラスメントの動向業務上の指導とパワハラの違いを知る
5月17日に厚生労働省から発表された「職場のハラスメントに関する実態調査報告書」によると、従業員がパワハラやセクハラを受けていると認識した後の勤務先の対応として、パワハラでは約53%、セクハラでは約43%が「特に何もしなかった」と回答。相談された企業の対応に疑問を投げかける結果となった。企業の危機管理担当者も知っておくべきハラスメントのポイントについて、旬報法律事務所の新村響子弁護士に聞いた。
2024/07/18
-
基本解説 Q&A 線状降水帯とは何か?集中豪雨の3分の2を占める日本特有の現象
6月21日、気象庁が今年初の線状降水帯の発生を発表した。短時間で大量の激しい雨を降らせる線状降水帯は、土砂災害発生を経て、被害を甚大化させる。気象庁では今シーズンから、半日前の発生予測のエリアを細分化し、対応を促す。線状降水帯研究の第一人者である気象庁気象研究所の加藤輝之氏に、研究の最前線を聞いた。
2024/07/17
-
-
災害リスクへの対策が後回しになっている円滑なコミュニケーション対策を
目を向けるべきOTリスクは情報セキュリティーのほかにもさまざま。故障や不具合といった往年のリスクへの対策も万全ではない。特に、災害時の素早い復旧に向けた備えなどは後回しになっているという。ガートナージャパン・リサーチ&アドバイザリ部門の山本琢磨氏に、OTの課題を聞いた。
2024/07/16
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方