ソフトバンク・テクノロジー株式会社 シニアセキュリティエヴァンジェリスト 辻 伸弘氏


ソフトバンク・テクノロジーの辻です。毎日のように起こるセキュリティ事件や事故を調べ、対策を考えて皆さんに情報を配信することを主な業務としています。今日のトピックはロンドンオリンピック・パラリンピック、(D)DoS、標的型攻撃の3つです。

ロンドンオリンピック・パラリンピックのサイバー攻撃に関する報道をみると、必ずといっていいほど「約2億件のサイバー攻撃」が取り上げられます。でも、この件数にばかり注目するのは問題があります。大会組織委員会のギャリー・ペンネルCIOが語ったのは約1億6500万件のセキュリティーベントが検出され、オペレーションセンターに報告されたのはわずか97件でした。この97件のうちCIOにまで報告されたものはわずか6件です。

 

しかも、そのうち最も大きなイベントとされたものは内部セキュリティの不備。それは組織委員会ではなく、外部の広告代理店のシステムがマルウェアに感染し、たくさんのスパムメールが発生したようです。運営上、持ち込みを禁止できないので問題が起こったけれど深刻ではなかったようです。ギャリー・ペンネル氏は「解決に向けて僕たちも一緒に作業をした、これがオリンピック中最大の僕たちのチャレンジだった」と語っています。これには皮肉が込められているのではないかと私は考えています。

なぜなら報告のあった他の5件は攻撃の予兆を検知、電源システムへの攻撃、広義のハッキングを用いて自分たちの主義・主張を広めるハクティビストの攻撃など。組織委員会は大規模な(D)DoS攻撃を遮断したり、かわしたりと全てに対処し大会への影響はほとんどなかったからです。

ギャリー・ペンネルCIOが伝えたかったのは、数字に踊らされると何も見えなくなることだと私は受け取っていますし、本人も「バカげており、ナンセンスであると」と発言しています。目を向けるべきなのは攻撃者たちが弱点を探していても見つからないほど事前の準備を確実にやってきたということです。

(D)DoSという言葉が出てきました。東京オリンピック期間中も含め、このような攻撃の増加が予想されます。なぜなら、注目を集めているイベントを攻撃して被害を出すことができれば、攻撃者たちは名を売れると同時に自分たちの主張を誇示することができるからです。ちなみに、被害や規模が大きい攻撃しかニュースになりませんが、数百メガ程度の(D)DoSは日常茶飯事です。