攻撃者の変遷をさぐる -年金機構を狙ったのはどんなハッカーだったのか-

  • 2015/9/30
  • 攻撃者の変遷をさぐる -年金機構を狙ったのはどんなハッカーだったのか- はコメントを受け付けていません。
2015/09/30

日本の年金機構にとどまらず、現在世界中で、サイバー攻撃による情報流出が発生しており、アメリカでは、政府職員の人事情報を扱う人事管理局から2,000万件の情報流出が発生しています。攻撃しているのは、いったいどんな人たちなのでしょう。ハッカーの誕生までふりかえって考えてみます。

 

セキュリティに国家が本腰を入れる

201411月、国や地方自治体のサイバーセキュリティに関する基本理念や、責務、施策などに関して定めた法律「サイバーセキュリティ基本法」が衆議院で可決されました。
そして本年2015年に入って、同法律を推進する重要な役割を持つ組織のひとつ、内閣サイバーセキュリティセンター(NISC)は827日、NISC2016年度の予算を、2015年の16億円の、5倍超である83億円とする方針を出しています。
大きくうねりをあげて進む、国家のサイバーセキュリティ対策ですが、ここまで国が本腰を入れるのにはもちろん理由があります。
ここ数年でセキュリティを巡る情勢が、大きく変化してきているのです。もちろん、ジョーシス読者である、普通の一般企業も無関係ではありません。
今回は、サイバー攻撃を行う主体である攻撃者の目的や主体の変化を見てみましょう。

世界最初のウイルス

パーソナルコンピュータの黎明期である1986年、当時主流だったIBM製のパソコンに感染するコンピュータウイルスをはじめて作ったのは、パキスタンでパソコン店を経営するプログラマの兄弟でした。
彼らの目的は、不正コピー防止という社会的メッセージを広めることだったといわれています。このように、黎明期に作られたコンピューターウイルスの多くは、コンピュータに詳しい個人によって製作され、何らかのメッセージや、自身の理論の検証などの目的を持っていた他、感染するとたとえばクリスマスの日に派手なメッセージを表示するような、愉快犯的犯行が目立ちました。いまからふりかえれば、なんと牧歌的な時代だったのでしょう。

サイバー犯罪産業が勃興

その後、スパムメール配信や、インターネット詐欺など、サイバー犯罪は急速に組織化の様相を呈し、犯罪産業として一大発展を遂げます。セキュリティ企業であるシマンテック社は、2011年の発表で、2010年のネット犯罪に関する世界全体の被害総額は約4,000億ドルと推定され、その金額は世界全体の違法な麻薬取引の総額である約3,000億ドルを、はるかに超えるとしています。パソコンオタクの趣味だったサイバー攻撃が、マフィアのシノギに変わったといえます。
2011年といえば、アメリカ合衆国の国防総省が、サイバー空間を、陸・海・空・宇宙に次ぐ5番目の戦場であると定義した年でもあります。サイバーセキュリティが、国家の安全保障の問題になったということです。

国家によるサイバー攻撃

 

そして20145月、アメリカ合衆国司法長官は、中国人民解放軍の将校5名を、米国企業などへサイバー攻撃を行い、技術情報などの知的財産を盗んだ等の罪で起訴しました。5名の人民解放軍将校の顔写真は、FBIの指名手配犯ページに現在も公開されています。
https://www.fbi.gov/wanted/cyber

このようにサイバー攻撃は、個人から組織へ、そして国家へと主体が拡大し、その目的も、研究の実証や愉快犯などの牧歌的なものから、犯罪組織としての営利追求、そして国家の覇権拡大へと変化を遂げています。

 

もはや防ぐことはできない

 

ここまで述べてきた攻撃側の変化によって、それを対策する我々企業側も、厳しい変化に直面することになります。最大の変化は、「もはや現在は、どんな大企業でも、サイバー攻撃を完全には防ぐことができない」という事実でしょう。
それはAPTと呼ばれるサイバー攻撃に顕著です。
APTとは、「Advanced Persistent Threat」の略で、日本語にすれば「高度で長期間にわたる脅威」となるでしょう。すなわち、特定の企業や組織に対して、長期間持続的な調査と攻撃を行い、目的を達成するまでそれをやめないようなタイプの攻撃です。また、こうした攻撃は、感染を派手にユーザーに知らせるような過去のウイルスとは正反対の挙動をとり、攻撃を受けていたことに数ヶ月も気づかないことすらあります。
これまで、米軍事企業のロッキードマーティン社や、日本の三菱重工などの、とりわけ守りが堅そうな企業が相次いでAPT攻撃の侵入を許しています。冒頭にふれた、20157月に明らかになった日本年金機構の攻撃もまた、APT攻撃であったとされています。
たくさんのお金と時間と人材を投じてサイバー攻撃が行われる現在、企業のセキュリティ対策の考え方も根本から変わらざるを得ない時代になっているといえるでしょう。

ScanNetSecurity
1998年に創刊された日本初の情報セキュリティ専門のオンラインメディア。法人読者を対象に、国内外のセキュリティ脅威、脆弱性、新技術、新製品、調査レポートなどの最新情報を提供。

関連記事

ピックアップ記事

  1. 本用語辞典は「ITの知識がある人向け」「ITが苦手な経営者向け」そして「小学生向け」と3パターンの説…
  2. 本用語辞典は「ITの知識がある人向け」「ITが苦手な経営者向け」そして「小学生向け」と3パターンの説…
  3. 今回の情シス女子は、アクサ生命保険の南嶋千春さんです。南嶋さんが今携わっているのが、短期間でソフトウ…
  4. 空調で乾燥したオフィスで働くみなさんに、アイスで潤いを! 作業の手を止めなくていい“片手で食べられる…
  1. 使える! 情シス三段用語辞典58「ハイブリッドクラウド」

  2. 使える! 情シス三段用語辞典57「シングルサインオン」

  3. 使える! 情シス三段用語辞典56「RPA(ロボティック・プロセス・オートメーション)」

  4. 使える! 情シス三段用語辞典54「マイクロサービス」

  5. リーダーのための「時間管理」解決クリニック9「無理難題に『ノー』と言えません」

  6. 賢く食べると仕事も体も幸せに! 管理栄養士 松原郁実の「情シスめし」第4回

  7. 使える! 情シス三段用語辞典53「ブロックチェーン」

  8. 使える! 情シス三段用語辞典51「Raspberry Pi(ラズベリーパイ)」

  9. 【情シス女子】第39回 「エンジニア400人が働きやすい環境を作り続ける 支えることが天職」大倉香織さん

  10. 【情シス女子】第38回 「今は何もできないけれど『いないと困る存在』に絶対なる!」 森岡友美さん

登録されているプレスリリースはございません。

新着記事

  1. 本用語辞典は「ITの知識がある人向け」「ITが苦手な経営者向け」そして「小学生向け」と3パターンの説…
  2. 本用語辞典は「ITの知識がある人向け」「ITが苦手な経営者向け」そして「小学生向け」と3パターンの説…

おすすめ記事

  1. 本用語辞典は「ITの知識がある人向け」「ITが苦手な経営者向け」そして「小学生向け」と3パターンの説…
  2. 今回の情シス女子は番外編。e-Janネットワークスのサポートセンターで情シスからの問い合わせに対応す…

登録されているプレスリリースはございません。

ページ上部へ戻る