事例Use case

2020年、東京で一大スポーツ大会が開催される----サイバー攻撃から身を守るための秘訣は?

2020.1. 9

ツイート シェア 送る はてブ

メダル.jpg2020年夏、東京にて国際的なスポーツ大会が開催されます。このイベントをITセキュリティ業界的に見ると「国際的なスポーツ大会に乗じたサイバー攻撃が来るのではないか」ということが思い出されるでしょう。そこで今回は、この一大イベントにおけるサイバー攻撃から身を守るため、たった一つだけアドバイスをしましょう。それは「2020年のスポーツ大会も恐るるに足らず」です。

恐るるに足らない理由

サイバー攻撃者の種類は、大きく分けて外部から攻撃を行う「サイバー犯罪者」、内部から不正を行う「組織関係者」、「産業スパイ」、そして政治的/社会的な主張をハッキング行為で意思表示する「ハクティビスト」、さらにはサイバー戦争を引き起こすべく活動する「国家」があります。スポーツ大会のようなイベントでは、ハクティビストや国家がサイバー攻撃を仕掛けることにより、非常に強いメッセージを比較的安価に発信することができるため、イベントの数年前から非常に話題になります。これまで開催されたロンドン大会でも、「サイバー攻撃が2億件」起きたということが報道として取り上げられたことを記憶している方も多いかと思います。

ならばやっぱり東京大会でも......ちょっと待ってください。もう一度冷静に考えてみましょう。上記ロンドン大会での2億件という数字はとても重要に思えますが、果たしてその2億件とは「何が」検知されたのでしょうか。実はこれ、ロンドン五輪CIO のGary Pennell氏によると、開催期間中に発生したセキュリティ関連イベントは1億6500万回あったと述べています。


fig01_200109.png図:ロンドン大会におけるサイバー攻撃を総括する記事、タイトルには「Six」という数字が......

How the London Olympics dealt with six major cyber attacks | Computing
備忘録: 「ロンドン五輪期間中に2億件のサイバー攻撃」とはどれくらい深刻なものだったのか?

しかし上記記事を読むと、その内容のほとんどは些細なものであり、実際に対応が必要なインシデントは「6件」であるとされています。言われてみると、その後のリオデジャネイロ大会や冬季の平昌大会では、件数がそこまで大きく報道された記憶もないように思えます。

こうみると、こういったイベントがあったとしても、びっくりするほど大量の攻撃が来るわけでもなく、想像通りのレベルなのかもしれない、と思えるのではないでしょうか。

一方、攻撃者が考える「攻撃成功」は?

とはいえ、件数だけで安心するわけにもいきません。組織を狙う攻撃は、一体何を持って「成功」とするかを考えると、例えば企業内にしか存在しない情報を盗み出す「情報漏えい」をもって成功とする場合もあれば、ランサムウェアによりシステム全体を暗号化することで人質とし、その復号のために身代金を奪うことがゴールかもしれません。では同じように、今回の大会へ攻撃することのゴールはなんでしょうか。ハクティビストや国家である場合、ゴールは「テロリズム」同様、話題になりメッセージが伝わることです。

多くの組織は、今回の大会のスポンサーになっているわけでもないでしょうから、自分たちは無関係であると考えているでしょう。では、大会には関係がないから対策をしなくていいのでしょうか。私はそうは思いません。

大会に無関係だったとしても、もしあなたが「日本の組織」でさえあれば、「日本の組織がハッキングを受け、ウェブサイトに大会に対するメッセージが不正に表示された」という事件が発生するだけで、サイバー犯罪者の目的は達成できると思いませんか?この点で考えると、あなたが日本で活動している以上、あなたが標的になる可能性はあるのです。

この場合、確かにあなたの組織だけが狙われることはないと思います。おそらく「攻撃ができる組織を無差別で攻撃する」----攻撃しやすいところが狙われるわけです。

「2020年のスポーツ大会も恐るるに足らず」の真意は

これを防ぐためには、例えばウェブサイトのサーバーに存在する既知の脆弱性をきっちり対処し、単純な絨毯爆撃的サイバー攻撃から身を守ること。実はこれ、いままでもずーっといわれていたことではあります。

そうなると、実は重要なことが浮かび上がってきます。大きな大会があるからといって、特別大量の標的型攻撃が来るわけでもなく、実は対応が必要なインシデントが一桁だったことからは「通常のイベント同様、攻撃のスクリーニングや基礎的な対策を行うべし」という教訓が得られます。そしてハクティビストや国家が無差別なサイバー攻撃をしてくるという話は、大きな大会があるかどうかにかかわらず、今現在もやらなければいけない基礎的な対策といえるでしょう。こう考えると、冒頭にお伝えした「2020年のスポーツ大会も恐るるに足らず」という意味がちゃんと伝わると思います。実は言いたかったこととは、「この大会向け対策は無意味!」ということなのです。

標的型攻撃対策はともかく、例えばファイアウォールの設置、運用。PC、ウェブブラウザはしっかりとアップデートを行い、ランサムウェア対策でバックアップも行う。これこそが、東京での大きなスポーツ大会対策であり、普段の基礎的なセキュリティ対策として今も行われている(はずの)ことです。

2019年末、「Emotet」と呼ばれるマルウェアの攻撃が日本で目立っています。メール本文を、送信先の組織から不正に詐取した情報をもとに、請求書や問い合わせをするような本文を送る攻撃が功を奏してしまい、多くの企業が被害に遭っており、なりすましの注意喚起を公開しています。

fig02_200109.png図:Emotetが送るメールの例(IPAより引用)
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構

実はこれも、対策としては基礎的なものが重要。まずは企業組織のインターネット接続のポイントで、きっちり守る必要があるでしょう。それこそが実は、2020年夏のイベントでも対策として有効なはずなのです。



IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」には、中小企業が取り組むべき具体的なセキュリティ対策が示されています。 https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html

★SECURIEなら
ガイドラインの「セキュリティ自社診断」には、「OSやソフトウェアの状態チェック」や「新たな脅威や攻撃への対策」等が含まれています。
セキュリティWi-Fiルーターである「SECURIE」ならば、最新の脅威を検知可能なIDS、IPS、DPIで組織を守ることができます。
またWi-Fiに接続するデバイスの脆弱性診断を自動で行いますので、攻撃者に狙われやすいセキュリティ上の欠陥がないか、スキャンを行い、必要な対策を示します。

詳しくはこちら
中小企業の経営者は必見。補助金ももらえるかも?!誰もが一度は目を通すべき「SECURITY ACTION」の中身

執筆者

宮田 健(みやた たけし)
国内大手SI事業者、および外資系大手サポートにてエンジニア経験を積み、2006年にITに関する記者、編集者に転身。その後はアイティメディアのエンジニア向けメディア「@IT」編集者として、エンタープライズ系セキュリティに関連する情報を追いかける。 2012年よりフリーランスとして活動を開始し、"普通の人"にもセキュリティに興味を持ってもらえるよう、日々模索を続けている。
個人としては"広義のディズニー"を取り上げるWebサイト「dpost.jp」を運営中。公私混同をモットーにITとエンターテイメントの両方を追いかけている。 著書に「Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!」(MdN)、「デジタルの作法 1億総スマホ時代のセキュリティ講座」(KADOKAWA/中経出版)がある。