日本におけるサイバーセキュリティの現状

NetAgencyと言う会社をご存知だろうか?
本日(2016/10/24)にNetAgentの取締役会長である杉浦隆幸氏の記者会見があった。
私も企業のインフラセキュリティを担当する中、興味深い話を聞けるので参加した。

記者会見の内容は:
日本では4〜5種類のサイバー攻撃が行われている。
標的型攻撃、不正送金、ランサムウェア、ウェブ改ざん、サーバー侵入。

余談だが、私からしたら、サーバを管理している人なら、どれかに必ずは出会う。
出会っていないと言うなら、その人はおめでたいと思う。
DNS、Web、メール、ウィルスやマルウェア、スクリプトやライブラリの脆弱性など多くみてきた

2016-10-24-15-07-44

さて、日本でサイバー犯罪で逮捕者が出る内容はこれらと大きく違って、すごくかわいい内容である。
オンラインゲームのチートや不正アクセスにて他人を装い、商品などを盗むことや、児童ポルノである。
実際、児童ポルノは、本当に裏にいる犯罪者が、相手をそそのかして自ら写真を送らせる手段が多くあると。
そして、不正アクセスは最近は減っているのは、プロバイダやゲームコンテンツを提供する会社が端末限定をしていたり(LINEなど)、パスワード以外の認証も兼ねているからとも思える。

なぜ、このような民間的な内容でしか捕まえられないのかと言うと・・・

  1.  プロはつからない。
  2.  犯罪組織は海外
  3.  誰かを多く踏み台にして特定出来ない
  4.  犯罪者を特定するに時間と労力がかかる
  5.  攻撃を仕掛けてきているのが他の国のサイバーアーミーであったりする
    など多くある

2016-10-24-15-15-03

 

まずはサイバー攻撃の目的は何かを知る必要がある

  1.  情報の窃盗(主に製造業–産業スパイ、国際入札情報など)
  2.  国防に関する機密情報の入手
  3.  重要インフレの混乱(電気、ガス、水道、発電所)

多く目につくが、意外と個人情報を盗むためにのサイバー攻撃は少ない。
実際、これがわかり易いだけであって、目につくだけである。
そして、不正送金は犯罪組織や国レベルの政治団体が行っていることが多い。

現在、組織として、中国が一番大きい。
そして中国は100弱の犯罪組織がある
国家レベルでは、10万人規模でのサイバーアーミーがあると言われている。
アメリカは1400,日本はたったの100名くらいの部隊である。
そしてそれぞれの国家での攻撃対象が違う。
ロシアはUSA、中東、中国、インド、EUで日本は眼中にない。
北朝鮮は主に韓国を標的にしている。
USAはISIS、シリア、イランをターゲットにしている。

日本にもアマチュア組織があり(この場合、アマチュアと呼ばせてもらうのは逮捕者が出ており、あまりにもお粗末な組織であるからだ)、Google Mapの改ざん(オウム真理教の道場があるとかマーキングした組織)があるが、中国どころかちょっとした集団などには到底及ばない。

プロは逮捕されないことを肝に銘じて欲しい。

日本は、あまりにもIDS/IPSやファイヤーウォールに対してハードに依存しすぎている。
これらの製品はすでに多くのクラッカーたちは熟知しているからこれらの回避策も知られている。
つまり、使い物にならないと言うのを理解して欲しい。

今後はAIを利用して別のアルゴリズムや検知方法を作らないとダメだと言うことになると思う。

しかし、中国も日本と捜査協力をしていることもある。
とくに麻薬犯罪の取締には。
日本と中国は領土の問題はあるが、貿易ではかなりパートナーシップを結んでおり、やはり犯罪が関わることを懸念しているとも思える。しかし、中国の場合、10万人のサイバーアーミー部隊がいるので、侮ることはできない。

2016-10-24-15-31-21

やはり、今後日本も増やさないと行けない。
IPAがやっている「情報セキュリティマネージメント」の試験があり、合格者が88%と言うとんでもない数字を叩き出している。
正直なところ、杉浦会長としては歯がゆいことである。
まったく使えない人材を世の中に送り出している。
しかし、サイバーセキュリティの意識を広めるには、分母が必要である。
ITスキルなしでエキスパートとやらを育成しようとしているので、いざとなれば使えない人材だけが残る。

では、杉浦会長いわく、なぜ日本ではITセキュリティ人材が育たないかと言うと幾つかの阻害要因があると。
一つは、出世コースから外れる。
情報セキュリティと言うのは動いていて当たり前で、日々の攻防は多くの人に目に入らない、いわゆる日陰もの事業である。攻防に対して、成功しても報酬がない。これは大きな問題である。
そして、求められる専門知識は他より深くなければならない故に人材がいない。
更に、攻撃を防ぎれなかった場合、責任が大きい部署でもある。
これだと成果主義システムだとやりたがる人は少ないだろう。

さて、後に画像とリンクをアップするが(2016/10/24時点ではYouTube Live映像はあったが、ライブ後は消されるので)写真と映像を貼り付けることができないが、いくつか質問をさせてもらった。

%e3%82%b9%e3%82%af%e3%83%aa%e3%83%bc%e3%83%b3%e3%82%b7%e3%83%a7%e3%83%83%e3%83%88-2016-10-25-12-02-03

  1. 現在、Raspberry PiやArduino IoT端末が無数にある。
    その中で、放置されているのもかなりある。
    これらは、脅威とも言える。
    どうお考えでしょうか?
  2. NetAgent社はデジタルボンド社みたいに製品の脆弱性を発見して通告し、直させるようなことはしないのでしょうか?

まず(1)の答えは、今のRaspberry PiやArduino端末は比較的新しいデバイスでそれなりのシステムである。
これらは、主に開発なので、あまり気にすることはないだろうと。
しかし、これらが製品になった時、IoTはコスト優先であり、脆弱性があったとなら放置されがちにされるだろう。
一番の問題は、セキュリティカメラとか運用期間が10年くらいあり、そのまま使われるので、それもアップデートされずのまま、ずっと脆弱性を突かれるだろうと。その為、ベースをしっかりつ作る必要がある。

そして(2)は、NetAgentは脆弱性を探すのではなく、先回りして、それを塞いだりするのが仕事である。
中には悪さをしている組織を封じることもあるが、基本的にデジタルボンド社みたいに発見して、数週間以内に直さないと脆弱性をバラすぞと言うことはしない。

 

 

%d人のブロガーが「いいね」をつけました。