対策を立てるために重要なのか？サイバー攻撃の犯人がだれかを知る意味

システムやネットワークへと第三者が不正に侵入し、データの改ざんや破壊を行うことを「サイバー攻撃」といいます。パソコンでデータを取り扱っている全ての人、企業にはサイバー攻撃のリスクがあります。そして、犯人がだれなのか気になるセキュリティ担当者もいるでしょう。この記事では、サイバー攻撃の犯人像を考える意味について解説します。

2018年、ローソングループがシステムのIDへの不正アクセスがあったと発表しました。大手コンビニエンスストアとして知られる組織だっただけに取り扱っているデータ量も莫大で、この事件は世間に衝撃を与えます。また、同年には、ソニーやトヨタ、東芝といった大企業のデータが次々に流出します。本来なら大企業はサイバー攻撃への対策が万全であり、システムにハッキングするのは困難なはずでした。しかし、犯人はこれらの企業が業務委託した先を狙い、セキュリティの穴を突破したのです。

サイバー攻撃では対象のセキュリティでもっとも甘い部分を見極めるのが基本です。業務委託先のセキュリティまで完璧にチェックするのは現実的でないため、大企業は頭を抱えざるをえない事件でした。そのほか、仮想通貨業界でもサイバー攻撃への不安が高まっています。2018年にはわずか20分の不正アクセスで仮想通貨NEMが約580億円分流出しました。

サイバー攻撃の犯人像として挙げられるのは、「専門的なハッカー」です。巨大組織のセキュリティを突破し、データを抜き取ったり改ざんしたりすることを生業としている人種です。ただ、彼らの目的はさまざまなので、犯人像は決して絞りやすくありません。愉快犯タイプが多い一方で、クライアントから報酬を受け取っているプロフェッショナル犯罪者もいます。2019年には国連の報告書で、北朝鮮が兵器開発資金などを調達するためサイバー攻撃を国家ぐるみで行ってきたことが発表されました。これほどまでに巨大な集団がサイバー攻撃に携わっているとなると、技術も資金力も十分なので安易なセキュリティでは対抗不可能です。

「ハクティビスト」と呼ばれる、政治的主張のためにサイバー攻撃を行う集団もいます。彼らは金銭やデータそのものが欲しいわけではありません。ただ、自らの理念を世界に示すため、目立つ形でのサイバー攻撃を好みます。結果的に、大企業や政治団体、金融機関などがハクティビストの標的になりえます。ハクティビストの攻撃は犯行声明ありきなのが特徴です。

セキュリティに関わる担当者が、サイバー攻撃をだれが行っているか調べるのは無駄になりません。なぜなら、サイバー攻撃には犯人によって傾向があるからです。たとえば、ハクティビストや愉快犯は目立つことが目的なので、奇抜な手法に走る特徴が出てきます。また、最新の厳重なセキュリティシステムを突破するには、犯人側にも高度な技術力が必要となります。個人でそれだけの設備を用意できるケースはほとんどないので、巨大なサポートを得ているうえでの組織的な犯行だと予測できるのです。

犯人側の傾向が読めれば、セキュリティ担当者にも対策のしようがあります。相手がターゲットにしそうな領域を先に保護するなどの方法で、今後の攻撃を防げます。また、犯人を訴えたいと強く願っているケースでも特定は必須です。

ただ、犯人がだれであろうとセキュリティの仕事はあまり変わらないとの考え方もできます。サイバー攻撃をしてくる相手が一般人でも巨大組織でも、セキュリティ担当者の心構えは揺らぎません。「だれにも突破できないシステムを作る」ことの一点に尽きます。また、犯人が金銭目的なのかテロ目的なのかという動機の違いも、セキュリティ担当者にはそれほど関係がありません。逆に、特定の犯人像だけを想定してセキュリティ対策を施してしまうと、そのほかのパターンに対して脆弱性を見せてしまう結果になりかねないのです。

そもそも、サイバー攻撃は一部の専門家だけができる犯罪といえません。それほどネットワークやシステムに詳しくない一般人でも「パスワードリスト攻撃」は行えます。たとえば、攻撃者がアルバイトとして企業に忍び込み、システムのパスワードやIDのリストを入手したとします。それだけで、容易にセキュリティは突破されてしまうのです。

パスワードリスト攻撃はどこでいつ始まっているかわからない手法です。そのため、セキュリティ担当者としてはそもそも安易にパスワードやIDが流出しない体制を整えることが最重要です。そして、その意識を全社員、委託先などに徹底させます。一部の「考えられる犯人像」だけを注意していても、データを守っていることにはならないでしょう。

仮にサイバー攻撃が起こったとき、セキュリティ担当者は犯人捜しにこだわらないよう注意しましょう。なぜなら、それは警察などの専門職に任せるべき仕事だからです。また、攻撃者は身元を特定されないためのギミックを駆使しています。間違った相手に誘導するなどして、正体を掴めなくしているのです。攻撃者と渡り合っているうち、肝心のセキュリティ業務が疎かになる可能性も出てきます。サイバー攻撃後にもっとも求められている対応は、再犯防止への取り組みです。システムの問題点を洗い出し、具体的な改善方法を考案することが重要です。

パスワードリスト攻撃は、システムにログインする情報を入手するところから始まっています。これらの情報をハッキングによって探す攻撃者もいるので、パスワードリストは専用のソフトウェアで管理するのが必須です。あるいは、重要なパスワードを担当者の脳内だけで保存しておくなどの方法も古典的ながら効果があります。

そして、どれほど深い関係にある人間でも、セキュリティ情報を明かさないようにしましょう。相手が攻撃者でないからといって、教えていい理由にはなりません。教えられた相手がうっかり攻撃者に秘密を明かしてしまう可能性もあるからです。そのほか、パソコンの前にパスワードやIDをメモ用紙で貼っている人も少なくありません。こうした危険な状況を作らせないような社内教育も大事です。

攻撃者がだれでもセキュリティ関係者の仕事は同じです。そのかわり、手法には注意しましょう。たとえば、メールで破壊活動のためのURLを送りつけてくる典型的な攻撃方法があります。宛名が得意先など知り合いになっていると、うっかり危険なURLをクリックしてくる社員も出てきます。もしも「犯人はこのようなタイプだから気をつけよう」と社員に教育していると、「それ以外は安全」という意識を刷り込みかねません。その結果、知り合いのふりをした攻撃などにだまされやすくなるのです。セキュリティ対策も社内教育も、サイバー攻撃の手法に焦点を合わせることが賢明です。

サイバー攻撃の当事者からすれば、だれが自分たちを危険にさらしているのか気になるのは当然です。しかし、その部分だけにとらわれてしまっては効果的な対策を見出せません。ましてや、犯人捜しに時間を使うのも徒労に終わる可能性があります。だれが相手でもデータを保護できるようなセキュリティ対策を構築することが肝心です。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。