Yahoo!ニュース

標的型攻撃に標的は存在するか!?

森井昌克神戸大学大学院工学研究科 教授
(提供:アフロ)

情報セキュリティ事業を展開する企業であるデジタルアーツは「勤務先における標的型攻撃の意識・実態調査」を行い、先月末に結果を発表しています。調査対象は全国の企業に勤める従業員 1,109名、情報システム管理者333名です。その中で標的型攻撃の対象になり得ると回答した従業員は40.7%でした。約6割の人は標的型攻撃に遭う事を想定していないのです。情報システム管理者になると、73.0%の人が標的型攻撃の対象になり得ると回答していますが、これも2割以上のシステム管理者が、自分の会社だけは標的型攻撃の対象にならないと考えているのです。

標的型攻撃に関しては、今年6月になって発覚した日本年金機構の情報漏えい事件で注目されましたが、それ以前から様々な企業、組織、そして個人が標的型攻撃の対象になっています。本連載の第2回、つまり2年半以上前にも「他人事ではない、標的型攻撃」という内容で紹介しています。題目通り、誰でもが標的型攻撃の対象になるのです。システム管理者でさえ、2割も他人事と考えているのも問題ですが、一般の従業員が、これだけセキュリティ教育や意識が叫ばれている中で6割も他人事と考えている事は大きな問題です。「標的型」という日本語での名前に引きずられて誤解している可能性もあります。不特定多数ではなく、特定の組織や個人を狙う攻撃方法が標的型の典型では有るのですが、必ずしも特定という言葉が特別な組織を指しているわけではありません。特に標的型攻撃の中でも、APT Attack(攻撃)とよばれている攻撃手法が本質なのです。APTとはAdvanced Persistent Threatの略で3つの単語が、攻撃内容を特色を表しています。Advancedとは「洗練された」という意味であり、無差別に攻撃するのではなく、相手の特性や弱点を研究し、手の混んだ高度な技術を駆使した攻撃法である事を意味します。Persistentとは「執拗な、しつこい」という意味であり、時間をかけて、幾度となく攻撃を続けるという意味です。そしてThreatとは「脅威」という意味で、相手にとって脅威となる、つまり被害が大きな攻撃であるということです。APT攻撃は必ずしも特別な組織だけを狙う方法ではないのです。

対策に関してはシステム管理者が「メールでの注意喚起・情報発信」が57.7%、次に「専門部署による研修会・勉強会で直接レクチャー」が42.6%と従業員への教育に力を入れているものの、従業員自身は研修等を受講した経験がないものが58.0%もいるのです。6割も標的型攻撃を受ける事はないと考えていることも考慮すれば、多くの企業が攻撃に対する防御として無力であると見なす事ができます。

標的型攻撃とは、いわば特定の人が攻撃の標的になるという意味ではなく、誰でもが標的になる、そしてAPT攻撃を受けるということなのです。対策を講じるとともに、APT攻撃であるゆえに、被害を受ける可能性があるということを認識し、被害を最小にする危機管理を行うべきなのです。そのためにも従業員全員の意識改革が求められます。

勤務先における標的型攻撃の意識・実態調査 ~全国の情報システム管理者・従業員を対象に調査~

従業員の40.7%は勤務先が標的型攻撃の対象になると意識し情報セキュリティ対策は51.0%が厳しくなったと回答 ~情報システム管理者の79.3%が対策をさらに高めたいと回答し、今後の対策として 「ウイルス対策」「ファイアウォール」「従業員への情報セキュリティ教育」「Webフィルタリング」を検討~

出典:勤務先における標的型攻撃の意識・実態調査【デジタルアーツ】

神戸大学大学院工学研究科 教授

1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。同年、京都工芸繊維大学助手、愛媛大学助教授を経て、1995年徳島大学工学部教授、現在、神戸大学大学院工学研究科教授。情報セキュリティ大学院大学客員教授。情報通信工学、特にサイバーセキュリティ、インターネット、情報理論、暗号理論等の研究、教育に従事。加えて、インターネットの文化的社会的側面についての研究、社会活動にも従事。内閣府等各種政府系委員会の座長、委員を歴任。2018年情報化促進貢献個人表彰経済産業大臣賞受賞。 2019年総務省情報通信功績賞受賞。2020年情報セキュリティ文化賞受賞。電子情報通信学会フェロー。

森井昌克の最近の記事