NPO日本ネットワークセキュリティ協会
HOME JNSAについて 活動内容 イベント・セミナー 会員向け情報 成果物 リンク

セキュリティのプロが選ぶ!
       2011年セキュリティ十大ニュース
〜非常事態に立ちすくむ日本〜

2011年12月24日
セキュリティ十大ニュース選考委員会委員長 大木 榮二郎

 3.11の大地震、大津波から早や9ヶ月、日本も世界もこの大災害から多くのことを学んだ。言葉に表せない甚大な被害の数々、被災地の困難と苦悩、そして多くの献身的な努力や善意と暖かい支援。しかし復興への道筋はまだ確りとは見えてこない。国家はこのような激甚災害に対してどのような対応をすべきなのか、今後への宿題がまた一つ増えたと言わざるを得ない。
 そこへ、サイバー攻撃の波が大きなうねりを見せてきた。防衛産業や国家の中枢機関などが標的型攻撃を受けている。米国はサイバー攻撃を戦争行為とみなすと宣言した。「戦争放棄」を掲げた日本にとって、最も身動きのとりにくい事態が着々と進んでいる。

 今年は、常識的に考えれば東日本大震災が間違いなく最大のニュースであろう。これを第1位において、この悲劇や教訓を胸に今後の復興や防災に取り組んでいかなければならないと多くの国民が考えるに違いない。その様な雰囲気がある中で、当選考委員会では、今年のトップニュースに東日本大震災をわずかに抑えて標的型攻撃が選ばれ、三位にはサイバー戦争が滑り込んだ。あえてこのような選択がなされたことは、非常事態に直面した日本には、国家として迅速・的確にその事態に対処する意思や能力あるかに大きな疑問符が付くことを、多くの選考委員が示したいと思っていた表れであろう。

 なでしこの明るいニュースはあったが、大震災にタイ水害、ギリシャ金融危機、大王製紙にオリンパスなど、経済面は暗いニュースばかり。税制改革やTPP参加など、腰を据えた議論は盛り上がらない。振り返ってみると、2002年のセキュリティ十大ニュースに書いた、「今までのやり方の延長線上には日本の明日はないということだけははっきりしてきた。」という事態に変わりはない。この間に政権交代もあったが、結果として宿題の先送りの10年になってしまった感がある。

 次の非常事態が起きる前に、この国が現状打破の糸口を見つけて危機対処の能力を獲得することを願いつつ、我々は標的型攻撃など進化している攻撃に備え、情報セキュリティの確保に日々努力をしていくほかに道はあるまい。

 

<2011セキュリティ十大ニュース>

【第1位】 9月19日 「重要情報を狙った標的型攻撃の嵐が吹き荒れる」
〜 新たな攻撃手法に対抗するには 〜
【第2位】 3月11日 「東日本大震災で未曾有の被害」
〜我々はこの大震災から何を学び、何をなし得るか〜
【第3位】 7月15日 「サイバー攻撃が軍事力に」
〜 各国が対応を進める中、
    「戦争を放棄」した日本は対応できず? 〜
【第4位】 6月30日 「大震災でBCP見直しが求められる」
〜 未曾有の大災害にBCPは機能したのか 〜
【第5位】 6月22日 「スマートフォンの脅威増大」
〜 スマホ、セキュリティ対策の行方は? 〜
【第6位】 4月26日 「ついに1億人の個人情報漏えい」
〜 企業はこの教訓を生かさねばならない 〜
【第7位】 4月1日 「クラウドの情報セキュリティガイドライン公表」
〜 クラウドサービスの進展に禍福あり 〜
【第8位】 5月1日 「アノニマス、グローバル企業等を攻撃」
〜 独善「ハクティビスト」の暴走 〜
【第9位】 2月26日 「京大入試ITカンニング事件」
〜 国内初の携帯電話とネット投稿を利用した不正入試 〜
【第10位】 6月17日 「ウイルス作成罪成立」
〜 不正プログラム作成をフセイでくれるのか・・・ 〜

<2011セキュリティ十大ニュース> 選定委員・解説
委員長・大木栄二郎/青嶋信仁/織茂昌之/片山幸久/加藤雅彦/川口哲成/岸田 明/
小屋晋吾/小山 覚/杉浦 昌/竹内和弘/平田 敬/下村正洋
【第1位】 9月19日 「重要情報を狙った標的型攻撃の嵐が吹き荒れる」
        〜 新たな攻撃手法に対抗するには 〜
 9月19日に三菱重工業は自社内のコンピュータがウイルス感染していたことを発表したが、実は単なるウイルス感染ではなく、標的型攻撃であることが明らかとなった。同様の攻撃がIHIや川崎重工業に行われていたことも判明し、さらに10月には衆議院にも標的型攻撃が行われるなど、何者かに機密情報が詐取される事件が連続して発生している。 標的型攻撃そのものは官公庁を狙ったものなどが5年以上前から存在していると言われていたが、今回の件を発端に次々と攻撃の事実が公表され、一気に表面化した形だ。

 標的型攻撃とはどういった攻撃だろうか?一例としては、ウイルス付の添付メール等を利用し、標的となる利用者をだまし、PCをウイルス感染させ、組織内のPCの管理権を奪取する。そこを踏み台として組織内の他のPCやサーバに攻撃を仕掛け、重要情報を取得していく。これらは一連の攻撃として比較的長い時間をかけて行われることが特徴的である。
 なお、攻撃者の実態は未だ明らかになっておらず、報道ベースでは攻撃対象が軍事産業関連企業に集中しているといった情報は見られるものの、実際の攻撃目的ははっきりとはわかっていないのが現状である。


 標的型攻撃は従来から一般的に行われているファイアウォールやアンチウイルス等では対策が困難である。利用者が怪しいメールかどうかを見分けることなども重要ではあるがその限界もあり、組織から出ていく情報をチェックするような出口対策が有効とされている。
 省庁や民間団体でも標的型攻撃に関する各種対策への動きを活発化させている。このような新しい攻撃に対抗するには、防御方法も進化が必要だろう。「英知を結集して対応策を開発し、連携して対策を行う必要がある。


【第2位】 3月11日 「東日本大震災で未曾有の被害」
      〜 我々はこの大震災から何を学び、何をなし得るか 〜
 3月11日に起きた東日本大震災は、12月19日現在、死者15,842人、行方不明者3,481人、住宅全壊127,046戸、半壊230,004戸、道路損壊3,889箇所、橋梁被害78箇所、山崖崩れ213箇所と未曾有の被害をもたらした(2011年12月19日警察庁発表*1)。また地震による大津波の被害でメルトダウンした福島第一原発を主な原因とする福島県の県外避難者は55,793人(2011年9月14日河北新報)、また汚染廃棄物対策地域及び除染特別地域は福島県の11市町村、汚染状況重点調査地域は8県102市町村(12月28日告示予定、放射性物質汚染対処特措法に基づく汚染廃棄物対策地域、除染特別地域及び汚染状況重点調査地域の指定について*3)の規模に達している。
 天災を前にして我々人類はいかに無力であるか。また科学技術の進歩により、我々人類は先進国において快適な生活を手に入れたが、一度その技術の制御が不能となればかくも甚大な被害を蒙ることを学んだ。なお今回の震災で情報技術が震災直後は安否確認、被害情報の収集などで役立ったが、最終的な復旧・復興には人・物・金が動かなければならない点、再認識する必要がある。また被災地から離れた人々にとって東日本大震災は過去になりつつあるが、現地被災者の皆様にとっては未だに時間が停まったままである事を忘れてはならない。我々がこれからやるべき事は山ほどある、各自一国民として何ができるのか、もう一度考え直す必要がある。

*1:http://www.npa.go.jp/archive/keibi/biki/higaijokyo.pdf
*2:http://www.kahoku.co.jp/spe/spe_sys1071/20110914_01.htm
*3:http://www.env.go.jp/press/press.php?serial=14598


【第3位】 7月15日 「サイバー攻撃が軍事力に」
      〜 各国が対応を進める中、「戦争を放棄」した日本は対応できず? 〜
 米国防総省は、サイバー空間を陸海空・宇宙と並ぶ第五の戦域とする「サイバー戦略」を公表した。サイバー攻撃を「戦争行為」として、軍事力を含む報復も辞さないとしている。(朝日新聞)

 サイバー攻撃を「戦争」と看做せるかどうかは法的な検討を含めて多くの議論があろうが、既に世界各国は、サイバー攻撃に対する対応を進めている。
 5月19日、韓国の中央日報は、数年前から北朝鮮が「現代戦の勝敗は電子戦の遂行能力にかかっている」として優秀な大学生を選抜し、サイバー戦の専門家を養成していると報道した。5月25日、中国の国防部は、中国解放軍のネット部隊「藍軍」の設立を公表した。11月4日、EU(欧州連合)は、サイバー攻撃に備えた演習Cyber Europe 2010を実施した。昨年Stuxnetワームによる攻撃で核燃料施設の遠心分離機に大きな被害を受けたと言われるイランは、12月8日、米軍の最新鋭の無人偵察機をサイバー攻撃によって不時着させほぼ無傷で鹵獲したと発表し、その機体を公開した。
 このように、世界各国がサイバー攻撃を軍事力の行使として認識し積極的に対応しているのに対し、日本の動きは鈍い。12月、防衛省は、幅広い情報基盤と人材を投入した組織を1年以上先の平成25年度に立ち上げることを発表したが、戦争の放棄を規定した憲法第九条と専守防衛の国防方針があるため多くの課題があるとの指摘がある。犯罪行為として対処しているのが日本の現状であり、これでは限界がある。サイバー攻撃にどう対処するべきかの議論を進め、国としての方針と施策を早急に決定する必要がある。


【第4位】 6月30日 「大震災でBCP見直しが求められる」
      〜 未曾有の大災害にBCPは機能したのか 〜
 今年を振り返った時に多くの人の頭に浮かぶのは、第2位にもあげられている3月11日東日本大震災発生の衝撃とその被害、影響の大きさではないだろうか。地域の要となる自治体施設をはじめ地区全体に壊滅的な被害を与えた大津波、福島第一原発被災に端を発する放射能汚染や電力不足、広範囲な地域での生産拠点被災によるサプライチェーンの分断、また、首都圏での多くの帰宅困難者発生など、思いもよらない様々な事象が起こっている。
 一方、災害など組織の存続に関わるような事象の発生時にも、組織としての活動を継続してゆくための事業継続計画(BCP)の必要性が強調され、経済産業省、内閣府から相次いでガイドラインが公開されたのが2005年であり、これを契機に多くの組織でBCPが策定されてきたと思う。しかし、今回の大震災では大手企業の26%で重要業務の停止が発生したという調査結果があり、BCPの見直しが必要との指摘がなされている*1)。

 この大震災に関連して「想定外」という言葉がよく使われた。確かに、計画停電や節電対応の輪番休日、放射能汚染による立入禁止区域などを想定して作られたBCPは、まず無かったであろう。「想定外」を想定することはもちろん出来ない。しかし想定できないまでも、例えば、今回の大震災やタイの洪水などの事例から自らのBCPをシミュレートしたり、様々な状況を考え判断や行動を求める演習形式の訓練を実施したりすることにより現行BCPの改善点を見つけ出すなどの、いろいろな工夫の仕方があり得るのではないか。いずれにせよ、今回の大震災は、BCPがより実効的に機能するために継続的に見直し/改善を実施することの必要性を改めて明確にしたと言える。

*1:http://www.nri.co.jp/news/2011/110630_1.html


【第5位】 6月22日 「スマートフォンの脅威増大」
      〜 スマホ、セキュリティ対策の行方は? 〜
 6月22日、独立行政法人情報処理推進機構(IPA)は、「スマートフォンへの脅威と対策に関するレポート」として、国内で流通しているアンドロイドOSを搭載したスマートフォン(アンドロイド端末)に対してIPA独自にセキュリティ対策の状況調査を実施した。

 アンドロイド端末は、国内流通シェアの50%を超え今後も高い割合を占めているのでターゲットになった。調査結果から、脆弱性が発覚してから10か月以上経過しても脆弱性対策が取られていないアンドロイド端末が数機種あり、従来のPCと比べて脆弱性の対策が遅く感じられる。
 そのせいか、アンドロイドマーケットでコンピュータウイルスが仕込まれた海賊版のアプリケーションが公開されてたり、利用者のプライバシー情報などが知らないうちに収集されるといった事故が目立っている。悪意を持った攻撃者のターゲットがPCからスマートフォンに拡大し、従来の携帯電話とは異なりPCと同様なセキュリティ対策が必要だ。
 このような状況下で、企業におけるスマートフォンの安全な利用と普及促進を目的とする「日本スマートフォンセキュリティフォーラム(JSSEC)」が5月25日に発足した。スマートフォンベンダーだけでは脅威に対する対策が難しくネットワークセキュリティ業界全体で取り組まなければならない問題になっているからである。
 スマートフォンは、PCと同等な機能をもっている機種が多く、今までPCを持たなかった人もスマートフォンは気軽に持ち歩いている。これは従来の携帯電話より遥かに多くの情報を持ち歩いている事になるが、PCと同等と言う意識は持ち合わせていない。
 JSSECは、企業がスマートフォンを安全に利用する指針を公開したが、PCの普及より遥かに速く一般の人へ浸透し始めているスマートフォン。一般の人が安全に利用する為の指針はどこが担うのか、今後の課題となる。


【第6位】 4月26日 「ついに1億人の個人情報漏えい」
      〜 企業はこの教訓を生かさねばならない 〜
 4月26日、SONYグループ会社SCEA(SONY Computer Entertainment America)よりPSN(PlayStation Network)/Qriocityの全ユーザー7700万人分の個人情報流出について発表され、5月3日、SOE(SONY Online Entertainment)からも2460万人分の個人情報が流出していたことが発表された。
 ついに1億人以上に及ぶ個人情報漏えいが発生してしまった。そもそもの経緯とか漏れた情報とかは、インターネットを検索していただければすぐにわかるので、ここではこの事件をどのように捉えるべきかを考えてみたい。今回の事件は、企業、特に日本のグローバルに展開している企業における情報セキュリティ対応の課題に対する示唆が含まれているように思えるのだ。

1.定常的なログ監視
 今回、事件の発覚はサーバへのDDos攻撃によるシステム障害調査からであった。これは2007年に起こったデンソー情報漏えい事件と同じ状況である。普段、正常に稼動している(ように見える)システムこそ注意を払う必要がないだろうか。すなわち、アクセスログ監視を定常的に行うことが必要と筆者は考えている。

2.サーバの脆弱性対策
 今回、侵入された発端は、既知の脆弱性に対して対応がされていなかったということが挙げられる。対応にはいろいろ障壁もあるだろうが、経営陣自らがそのリスクを認識して優先的に対応するように環境を作らなければならないと考える。

3.ガバナンス力
 今回、事後、新たにCISO(Chief Information Security Officer)が設置された。海外にデータセンターを持つ場合、往々にして本社からのコントロールができていない企業を多く見受ける。サーバの数が非常に多くなっている時代だからこそ、本社のガバナンス力が強く求められる。

4.インシデント対応
 今回、サーバの異常は4月21日に発生した。公表が26日、会見が5月1日である。この期間が妥当かどうかの議論はあると思うが、重要なのはその期間が企業内で予め設定されていたかどうかである。適切にインシデント対応計画が立てられているならば、インシデント発覚後のタイム・スケジュールがあり、その中で誰が何をすべきかが決まっているはずであり、それに則り公表していれば、世間も納得をしてくれると筆者は考えているし、そのような世間であってほしいと願っている。

 どれも過去に指摘されてきたことである。それらを一つ一つ確実に実施することが企業の情報漏えいを防ぐことに直結していることを改めて痛感した事件であったといえよう。


【第7位】 4月1日 「クラウドの情報セキュリティガイドライン公表」
      〜 クラウドサービスの進展に禍福あり 〜
 2011年も「クラウド」がICT業界を賑わせた。クラウドサービスの発表やクラウド導入の発表があいつぎ、企業におけるクラウド導入は着実にすすんできているようだ。一方で、セキュリティの不安などから、導入を躊躇する企業もまだ多いようである。そんななか、4月1日、経産省が「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を公表した[※]。
  クラウドを活用する場合であれ「情報資産を洗い出し、対するリスクを分析・評価し、リスク対策を行う」という情報セキュリティマネジメントについての考え方は変らない。上記ガイドラインは、情報セキュリティマネジメントシステムの中で、クラウドサービスを活用する場合に、何に注意し、どのように情報セキュリティ対策を実施すべきかの指針になるものである。
 逆にいうと、構築しようとするシステムにクラウドサービスの導入が可能か否か、利用できる場合の条件を考える上でのポイントが整理されているともいえる。クラウド事業者に望まれる要件も示されており、このようなガイドラインを整備していくことは、クラウドサービスの健全な発展に資するものであろう。

一方、5月にはNTT PCのクラウドサービスで障害が発生しサービス停止が長引く事故が起き、11月には自治体クラウドのサーバがDOS攻撃を受け影響が200自治体に及ぶ事件が起きた。クラウドサービスについてのセキュリティの懸念を払しょくし、そのメリットを最大限に生かしていくには、まだまだ越えなければならない壁がありそうである。

http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html


【第8位】 5月1日 「アノニマス、グローバル企業等を攻撃」
        〜 独善「ハクティビスト」の暴走 〜
 ソニー・プレイステーションネットワーク(PSN)から個人情報7,700万件が流出したとの発表があった。実行犯は捕まっていないが、数か月にわたり「アノニマス(Anonymous)」というグループに攻撃されていたという。
 このアノニマスに代表される複数の攻撃グループは、ハッカー(hacker)と活動家(Activist)を組み合わせてハクティビスト(hacktivist)と呼ばれており、匿名の掲示板に集まり都合の良い正義を振りかざしては攻撃の矛先となる相手を探している。既に複数人が逮捕されているが、彼らが関与したと思われる攻撃は止む気配はない。

 組織や意思決定機関を持たないハクティビストとのコミュニケーションは簡単ではない。彼らの独善的な主張に対して反論しても全て攻撃の理由に使われることが多く、真摯な説明が功を奏するとは限らない。
 一方で攻撃される組織についても、体質的な問題や過去の経緯など、相当の理由があるケースも散見されることから、まず自分が攻撃された場合は、その理由を理解し必要があれば改善し、その取り組み状況をタイムリーに情報発信する対応が求められる。
 一般的な組織運営において、ハクティビストが説明責任を果たすべき対象とは考えにくいが、自分が攻撃対象となった場合の対応策について、後手に回ることのないよう点検しておくことをお勧めしたい。


【第9位】 2月26日 「京大入試ITカンニング事件」
      〜 国内初の携帯電話とネット投稿を利用した不正入試 〜
 京都大学のニ次試験の試験中に、携帯電話を使って、インターネットの掲示板に試験問題を投稿して第3者から回答をもらうというITを利用したカンニング事件が発生した。犯人は、携帯電話の通信記録から契約者が特定され、偽計業務妨害容疑で逮捕された。京都大学以外にも、同志社大学、立教大学および早稲田大学で同じ投稿者が実施していたこともわかった。
 国内初の携帯電話によるカンニング入試ということで、その後の入試時の携帯電話の取扱方法の対策を含めて注目をあびたが、若者と大人の携帯電話のITのつかいこなしレベルのギャップも注目された。

 事件が解決されるまでは、その手口について、入試問題の複雑な表記入力が携帯電話の文字入力で短時間にできるはずがないという前提で、カメラや複数犯人説含めてITを使ってどんな手法でカンニングが可能かということが、メディア中心にいろいろな憶測をよんだ。結果は、本人単独の携帯電話の手入力のみの単純なものであった。
 なぜ、手口の予想が大きく違ったのかというと、大人が想像ができないレベルでの携帯電話への高速の手入力と辞書を使った効率化が若者の育った環境では可能であったことに気付けなかったためである。
 この事件結果は別として、大人が作ったIT社会を若者が想像以上に使いこなしていく姿は、文明の進化が感じられたともいえる。


【第10位】 6月17日 「ウイルス作成罪成立」
       〜 不正プログラム作成をフセイでくれるのか・・・ 〜
 「情報処理の高度化等に対処するための刑法等の一部を改正する法律」が参議院本会議にて可決、成立し7月より施行された。通称「サイバー刑法」ともいわれる本法律は「コンピュータネットワーク等の電気通信回線に接続する電子計算機の自己作成データ等の差押え」や「電気通信の送信によりわいせつな電磁的記録その他の記録の頒布」などを含むが、特に「不正指令電磁的記録に関する罪」としてコンピュータウイルスの作成・頒布・保管を犯罪とする法律ができたことは大きな注目を集めた。
 法律の内容についての議論はここでは行わないが、ウイルス作成への抑止力となってくれることを願いたい。すでに同法律による逮捕者も出ていることから、周知・理解が進めば一定の抑止力を発揮してくれるのではないかと思われる。

 しかし、現在毎秒発生しているといわれるコンピュータウイルスの多くは日本国外で作成されている。企業・個人がその被害から組織・自身を守るためにはこの法律の作成で事足りるとは思えない。それぞれの自衛も必要であるが、国を越えての捜査、犯罪の抑止が重要となってくるのだろう。本法律の施行によって欧州評議会により提起された、「サイバー犯罪に関する条約」についても批准できる用意が整った。
 より強固な国際連携がサイバー犯罪の減少に効果を発揮することを前提に本法律の施行が少しではあるが前進の明るい兆候であるとしたい。
編 集 後 記                                 JNSA事務局長 下村正洋

 今年もセキュリティ十大ニュースを発表することができました。これも大木委員長を筆頭として選者ならびに執筆者の皆様の努力のおかげと、感謝しております。
 さて、今年は執筆陣からの入稿が例年に比べて遅れ気味だったように思えます。理由は、過去の十大ニュースと見比べると、今年は社会的インパクトの大きいテーマが多く、かつ、問題の本質が情報処理系技術単独のものではなく、人間系(運用、組織、社会、思想、文化)に関わったところで事案が発生しているので、文章をコンパクトにまとめ上げるのが大変だったのではないかと想像します。もしかしたら、今年は情報セキュリティの転換点になった年ではないでしょうか。 選外になったもので、「SNSのセキュリティ」と「アラブの春」がありました。これも、情報処理系ではなく人間系の話でした。また、この選定委員会開催後(開催日は12月15日)の12月20日にWinny開発者の無罪が最高裁判所判決で確定したとのニュースがありました。これも今年の出来事として選定の対象にすべきところですが、選定委員会後のことであり来年の候補として記憶に留め置くために、あえて編集後記に記述いたします。

 政治も、経済も、社会も警報が鳴り響いた一年でした。来年こそは、すべての問題が良き方向に向かうよう祈りつつ、編集後記を終わります。
 最後に、被災地の方々の苦難に思いを馳せつつ、一刻も早く平穏な生活を取り戻されることをお祈り申し上げます。

◆本内容は、必ずしもNPO日本ネットワークセキュリティ協会(JNSA)の見解を示すものではありません。
セキュリティにまつわる課題解決を支援します。JNSAソリューションガイドはこちら⇒