地方自治体の最新のサイバー攻撃事情を知る

近年深刻化するサイバー攻撃。特にここ2~3年は、重大な情報漏えい事件が多発したこともあり、一般の関心も高まっている。2015年6月11日に開催されたセミナー「狙われているのは、大企業だけではない 『サイバー攻撃の最新情報と対応例のご紹介』」。6月始めに年金情報の流出が起きたこともあり、非常に多くの関心を集めた。

本記事では当日行われた、三菱総合研究所 情報通信政策研究本部 サイバーセキュリティグループ 川口修司氏による「最新!サイバー攻撃の現状と脅威」、およびNECネクサソリューションズによる「サイバー攻撃に対抗する為の具体的対策の紹介」の2つの講演をもとに、サイバー攻撃の現状と、その対策について解説する。

サイバー攻撃の世界で「今、起きていること」

尚、これらはあくまでも例であり、現在では毎日のように各所でサイバー攻撃との戦いが繰り広げられていることを知っておく必要がある。

サイバー攻撃の脅威と対策

セキュリティ分野における法律と環境の変化

サイバーセキュリティ基本法の成立

2014年11月に成立した「サイバーセキュリティ基本法」。これは初めて「サイバーセキュリティ」を法律として定義し、国の責務であると明記した点において注目されている。同時に、重要インフラ事業者には、サイバーセキュリティの確保に努め、国や自治体の取り組みに協力することを責務としている。

マイナンバー制度の導入

社会保障や税制の効率化、災害対策への利用を目的として、2013年5月に成立し、2015年10月から運用が開始されるマイナンバー制度。当面は行政や地方自治体などによる運用に限定されるが、3年以内に民間企業への利用拡大が検討されている。その際、情報漏えいなどの重大インシデントを防ぐために、調査・指導の権限を持つ「特定個人情報保護委員会」により、監視・監督がされる予定だ。

今後も加速が予測されるサイバー攻撃

現在のサイバーセキュリティを取り巻く環境から、今後以下のようなことが起きる可能性が指摘されている。

  1. 政治的主張を目的としたサイバーセキュリティ「ハクティビズム」が本格化し、政府機関のみならず社会インフラや自治体、企業にも標的が拡大化していく。
  2. 東京2020に向けてサイバー攻撃が増加することは、過去の例からみても確実といえ、攻撃者達は、2020年に向けて、すでに準備段階に入っていると考えるべきである。
  3. 動機と機会が揃うと内部不正の発生確率が高まると言われている。組織への帰属意識が低下した現在では、人のモラルや意識だけでは防ぎきれない。また、盗難情報の取引を行うビジネスも多様化しているため、今後も内部犯行による情報漏えいは頻発するものと予想される。
  4. マイナンバーを狙ったサイバー犯罪が発生する可能性も高い。現時点で、個人情報を一元管理し、特定の機関に共通のデータベースを構築しないといった対策は考えられているが、標的型攻撃は年々巧妙になっており、今後新たな手口が開発されることも十分にあり得る。

自治体がなすべきセキュリティ施策

自治体が今後強化すべきセキュリティ施策としては右図の3つがある。
「1の[従来の対策]は、例えば従来のウイルス検知ソフトの対策である。まず、これらが徹底されていることが大前提。
その上で、今後は2の[自治体幹部による統制の実現]と3の[インシデント対応の実装]の強化が重要となります」と川口氏は主張する。では、その理由について簡単に説明しよう。

自治体幹部による統制の実現

例えば、もしマルウェアに感染した場合、速やかにネットワークを遮断すべきである。だが現在においてネットワークの遮断は、業務そのものを止めることに等しい。
「そのような重要な判断を、情報システム担当が下せるはずがありません。現在のサイバー攻撃は、現場レベルではなく自治体幹部レベルでなくては戦うことができないのです」(川口氏)

インシデント対応の実装

「現在のサイバー攻撃を完璧に防ぎきることは不可能です。まずはこの事実を認識しなくてはなりません」(川口氏) これまでの情報セキュリティ対策は「侵入を許さない」ことだった。 だが、防ぎきれないのならば、今後は「侵入された場合、速やかに対策が実行される」ことこそが重要となる。

「例えば、もし標的型メールを開いてしまったのなら、速やかに報告が寄せられ、被害を最小限にとどめるための対策が実行される、そのような緊急対策体制(CSIRT シーサート:Computer Security Incident Response Team)を実装すること。それが、今、自治体がなすべきセキュリティ対策です。メールを開いてしまった人を責めても意味はありません。報告したら怒られるでは誰も報告しなくなってしまいます。正直かつ迅速に報告が寄せられる、そのための仕組みづくりが必要です」と川口氏は語った。

情報セキュリティ対策の専門部隊「CSIRT(シーサート)」設立のススメ

CSIRTとは

近年多発する情報漏洩事件。特に数百万から数千万件などの膨大な漏洩件数に発展したケースでは、対応の遅れによって被害が拡大したと思われるものが多い。言い換えると、迅速な対応が行われていれば、被害を最小限に食い止めることもできたはずである。
そのために、いざという場合でも迅速に対応できるチーム「CSIRT(Computer Security Incident Response Team)」が必要不可欠だ。
このような専門部隊を作る利点は大きく分けて以下の3つがある。

  1. インシデント発生時における窓口・情報の一元化
  2. 対応ノウハウの蓄積
  3. 外部組織との連携、および信頼の構築

CSIRTが有効に機能する組織体制

CSIRTを組織する上で、一つ注意しなければならないことがある。それは組織における立ち位置だ。システムに関わる組織ということで、情報システム部の下に位置するケースも多いようだが、それでは意味をなさない。なぜなら、前述した通り重大なインシデントが発生した場合、業務にも関わる重大な判断を下さなければならないからだ。
つまりCSIRTは自治体幹部に直結した組織でなくてはならない。その方が、いざという時に迅速に対処できるだろう。

いざという時の備えは訓練から。セキュリティトレーニングのススメ

たとえCSIRTのような緊急対策チームを組織したとしても、いざという時に迅速に機能しなければ無意味である。
万一の時に、しっかりと機能させるために必要なこと、それは「訓練」だ。火事や地震などに備える防災訓練と同様に、重大なインシデントが発生した場合を擬似的に体験することで初めて具体的にどのように動くべきかを身につけることができる。

開封率が低ければ、攻撃への耐性は高い?

  • 開封率は文面等の難易度次第

エスカレーション率が組織の強さを表す

  • 教育とセットで実施するのが大前提
  • もしかして標的型攻撃?
  • 何か違和感がある
  • 普段から相談しやすい窓口を
  • 開いた添付ファイルが変だ

開封率より施策浸透率やエスカレーション率を

例えば「標的型メール対応トレーニング」では、実際に従業員に向けて標的型メールを送り、その時の行動を調査する。ここで重要な点は、開封率ではなくエスカレーション率である。トレーニングの目的は、「標的型メールを開かない」ではなく「標的型メールに気がつくか」および「開いてしまった時にどう動くか」である。自分が開いてしまったメールが「標的型メールかもしれない」と気づくこと、そして「その事実を迅速に報告する」こと、それらを訓練によって身につけてもらうことこそが大切なのだ。

サイバー攻撃の種類


添付ファイルの拡張子やアイコンを偽造した標的型メールの例

標準型攻撃

近年、重大なインシデントが相次ぎ大きな注目を集めている標的型攻撃。その中でも、メールによる標的型攻撃は非常に巧妙になっている。
この対策としては「不審なメールに慣れてもらうこと」そして「開いてしまった時に、どうすべきかを考えておくこと」である。
「業務の都合上、どうしても開かざるを得ない人がいます。その個人を責めても意味がありません。大切なことは、もし開いてしまった際に、どこに連絡して、どのような対応を取るか。その流れを確認することです」(川口氏)

ランサムウェア

PCやファイルを利用不可能にして、復旧させるためのパスワードの提供を理由に金銭を要求するタイプの攻撃。
同攻撃は2013年以降急増しており、シマンテックの調査によると、2014年には前年比で113%となっている。有効な対策としては、定期的なバックアップしかないとされている。

Darkhotel

Darkhotelとは、ホテルなどのネットワークに侵入し、宿泊者のPCなどにマルウェアを感染させる攻撃である。なお、Kaspersky lab.によると、Darkhotelに感染しているPCの数は、日本が最も多いとされている。公共のWi-Fiに接続する際には信頼できるVPN接続のみとし、ソフトウェアの更新などには常に警戒をすることが大切である。

脆弱性

2014年だけでも、以下のようなオープンソースにおける深刻な脆弱性が報告されている。

  1. 1. Struts classloader脆弱性
    Javaのウェブアプリケーションを作成するためのフレームワークApache Strutsの脆弱性。
  2. 2. HeartBleed
    OpenSSLの脆弱性。SSLの死活を監視する機能「Heartbeat」の境界チェックの不備に起因する。
  3. 3. Shellshock
    UNIXベースのOSで広く使われているシェル「Bash」の脆弱性。
  4. 4. POODLE
    SSLv3において発見された脆弱性。

これらの脆弱性の問題への対処として、IPA(独立行政法人 情報処理推進機構)、JPCERT/CC(一般社団法人 JPCERTコーディネーションセンター)を中心に、脆弱性の発見から対策・公表に至るまでの過程について官民が連携する「情報セキュリティ早期警戒パートナーシップ」の取り組みが進められている。

本ページと同じ内容のホワイトペーパーをダウンロードできます。
組織内での情報共有にご活用ください。