|
業務統括補佐の伊藤友里恵氏
|
有限責任中間法人JPCERTコーディネーションセンター(以下、JPCERT/CC)は7月27日、プレス向けの説明会を開催し、同団体の取り組みや、インターネットセキュリティに関する最新動向の説明などを行った。
業務統括補佐の伊藤友里恵氏によれば、現在のインターネットにおいては攻撃側の組織化が進んでいるという。以前のような愉快犯やいわゆる“Script Kiddy”ではなく、お金や政治問題、国際問題などを動機としているため、傾向がかなり変化してきているというのである。昔から、セキュリティの脆弱なPCが乗っ取られて踏み台にされることは多く見受けられたが、最近ではこうした“ゾンビPC”が何千何万の規模でネットワーク化されたBotnetとして、操縦者に一括でコントロールされ、迷惑メールをまき散らしたり、DDoS(分散型サービス拒否攻撃)に利用されてしまっている。
またたとえば特定の個人を対象とし、ソーシャルエンジニアリングを利用してメールの添付ファイルをクリックさせるなど、技術以外の要素を組み合わせた攻撃も出現しているほか、目的が“止める”から“盗む”へ変化する傾向にあるという。その、“盗む”傾向の最たるものといえるフィッシングも手口が巧妙化し、いちげんでは見破るのが困難なフィッシングサイトも現れてきている。
そして、このような攻撃が出現し被害が報道されることによって、経済へのインパクトが顕在化してきてしまったという。伊藤氏が引用した米Gartnerの調査によれば、主にフィッシングによる個人や金融機関の被害額は、年間で実に9億2900万ドルに達した。伊藤氏はさらに「国内ではまだオンラインバンキングやeコマース利用者が少ないために被害も少ないが、利用が増えればすぐに被害は増えるだろう」と警告する。またインターネットユーザーを対象とした同グループの調査によれば、42%近くのユーザーがオンラインショッピングにかける時間が減っているほか、オンラインバンキングに関しても28%のユーザーが、サービス利用時間が減っていると回答したとのことで、今や電子商取引に対する信頼が揺らいできてしまっているという。
では、企業はどうやって被害をさけるべきなのか。それは「一般ユーザーを含めた多重防衛」だという。伊藤氏は、1)技術面だけでは被害を100%防ぐことは不可能なため、セキュリティオペレーションのポリシーを見直すこと、2)IT部門だけで防げるものではないので、ユーザー全員にトレーニング・啓発を行うこと、3)複数の認証を組み合わせた多段認証を導入すること、などを主な手段として挙げ、全員で油断なく対応することが必須だとした。
さらに企業においては、経営のトップが関与しないと対応しきれない状態になっているという。セキュリティ対応をトップがすべて行うことは現実的に不可能であるから、インシデント対応チームを社内に設けておき、判断を委譲する「意志決定プロセス」を事前に定めておく必要があるだろう、と説明した。
|
JPCERT/CCでは、登録ベンダへの脆弱性対応依頼や、国際的な情報公開日の調整といった、「脆弱性情報のハンドリング」も行っている
|
もちろん、セキュリティの問題はユーザー側だけで解決するようなことではない。そのため、JPCERT/CCのような、中立な立場のインシデント対応調整組織やコミュニティが世界中に存在し、各組織間での調整を行うことで、より迅速なインシデント対応を行える環境を整えようとしている。ただし、インシデントや脆弱性に対応するためには、インシデント対応組織同士だけでなく、さまざまな組織と情報を共有していく必要がある。これまではJPCERT/CCなどの組織が、コミュニケーションが難しい当事者同士の情報連携を橋渡ししてきたが、これからはさらに、通信事業者をはじめ、インフラ事業者、経営者、政府、司法機関などを含めたネットワーキングを積極的に行っていくとした。
またJPCERT/CCでは例えば、国際ネットワークを通して集約したさまざまな情報を分析し、早期警戒情報を発信するサービスや、経営トップへの働きかけ、サイバーセキュリティの演習などを提供してインシデント対応を支援しているほか、各脆弱性がどの程度のインパクトなのかを評価するためのツールを、現在作成中だという。一見、こうした脆弱性の優先度付けに関してはJPCERT/CCなどが発表すればいいだけのように思えるのだが、伊藤氏は「脆弱性の脅威度はユーザーによって異なるため、一概には決められない」と述べ、測定のためのツールを用意する方が望ましいと強調していた。
■ URL
有限責任中間法人JPCERTコーディネーションセンター
http://www.jpcert.or.jp/
( 石井 一志 )
2005/07/27 17:43
|