著者: 斉藤 衛 ( IIJ 技術開発本部 プロダクトマネージャ)
コンピュータやネットワーク技術に秀でていて、自分の力を誇示したがる傾向にあり、おそらく学生で翌日のことなど気にせず徹夜で一つのことに全力をつぎ込むことのできる人物。一昔前、インターネットセキュリティの関係者が思い描く敵の姿は、こんなイメージでした。一方、通常守るべきものがある防御側は、普通の家庭を持つサラリーマンで、毎日なるべく早く帰宅しなければ怒られてしまうような、ごくごく普通の人です。インターネット上で発生するインシデントへの対策は、もとより不公平な戦いであると、企業などのセキュリティ担当者から愚痴を聞くことがありました。ところが、この戦いはより絶望的なものになりつつあります。昨今のインシデントは技術や能力の誇示などの漠然としたものではなく、お金を得るという明確な目的に確固たる意志で挑んでくるものに変化してきているのです。
|
金銭目的のインシデントを引き起こしているのは、笑い話として紹介できる相手ではありません。例えば、上半身裸のジーンズ姿で、ピースサインを出している若者の写真。ジーンズには拳銃が収まっており、地元ではギャングとして名が通っている。これがフィッシング犯の人物像であると言われると、普通のサラリーマンが相見える相手ではないことは想像に難くないでしょう。私たちは今、犯罪とも言える問題にさらされています。また、金銭目的のインシデントは、ほとんどの場合、複数の国や地域の住人が関わる問題となっています。日本のある銀行の利用者を狙ったフィッシング事件を例にとると、日本の銀行を語った日本語のフィッシングメールが、東欧のある国から日本の利用者へ届きました。そのメールで、利用者を南米のある国に構築された偽装サイトへと誘導し、IDやパスワードの入力を促す、という流れでした。メールに端を発するインシデントの関係者が、まさに地球を取り囲むように散在しているのです。
|
このフィッシングが発生したこともあり、私は昨年ブラジルのリオデジャネイロで開催された南米各国のセキュリティ関係者が集う国際会議(*1)に出席しました。同時開催されたFIRST(*2)関係のイベントと併せての参加でした。その国際会議で私が目にしたのは、日本も深く関わるインシデントに対する、現地の人々による戦いの様子です。もとより賃金格差の大きい地域では、貧困層、特に若者が金銭を求めて安易な手段に走りがちで、町の治安も悪化する傾向にあります。このため、襲われる側も自己防衛のための武装をすることになり、強盗事件が銃撃戦に発展するなど、町中で強盗を行うことが、命がけの、リスクの高い行為になっています。一方、こうした地域でもインターネットへの接続は安価となり、雑誌の付録などで攻撃ツールが容易に入手可能です。それにより、陥落したぜい弱なパソコンをかき集め、ボットネットを形成したり、フィッシングサイトを構築したり、犯罪組織の資金のマネーロンダリングに荷担したりすることが、路上で命がけの強盗を働くよりも、より安全で、安易、効果的なお金もうけ方法として、若者たちの間で定着しているのです。もちろん、この状況に、現地のセキュリティ関係者も黙っておらず、民間組織や法執行機関などが連携して対応する様子も発表されましたが、なかなか厳しい状況のようでした。ある国の警察当局者の発表によると、フィッシングを行う若者のアジトに警察が踏み込んだところ、相手がサブマシンガンで応戦し銃撃戦となり、最終的に逮捕はしたものの、警察側一名が殉職した事件が起きたということでした。
さて、私たちはギャングと直接対じすることはできないので、そこは専門家に任せるとしても、このようなインシデントに対して何かできることはないのでしょうか?対症療法ではありますが、関係者それぞれにおいて対策を迅速に実施することで、被害を未然に食い止め拡大を阻止することは、依然として可能なのです。先のフィッシングの例を考えてみましょう。メールの発信元である国で当該メールの発信を規制すること、被害者が属する国で銀行の利用者に注意を促すこと、フィッシングサイトが設置された国ではそのサイトを停止することを、それぞれ検討することができます。しかし、そのためには、インシデントの発生をなるべく早く察知し、関係者を特定し、関係者が相互に連絡しあうことが必要です。
とはいえ、国や地域にまたがったインシデントでは、言語や習慣、法制度、セキュリティに対する考え方も異なることもあり、当事者になってしまった人や組織が、いきなり国際間の連携を行うことは困難です。この迅速な対応を実現するための枠組みとして「シーサート」(*3)があります。これは、ある範囲(通常は会社組織や国など)のインシデントに応じるため、窓口開設し、外部からの問い合わせを常時受け付け、責任を持って対応を行う組織のことです。シーサートには、政府機関や法執行機関などいろいろな立場の組織があります。民間企業では、通信事業者やセキュリティベンダ、学術研究機関などが代表的ですが、金融機関や清涼飲料水メーカなど、インターネットと直接関係しない業種の企業が社内にシーサート組織を構築する例も増えてきました。
IIJ グループが IIJ-SECT(IIJ group SEcurity coordination Team)というシーサート組織をつくってから早6年が経過しました。日本国内の他のシーサート組織も増えてきており、事前の関係構築や、インシデント発生時の連載による対策が可能になっています。IIJでは、このシーサートの連携に基づいたインシデント対応を通じて、だれもが安心して使えるインターネット環境を取り戻すために努力していきたいと考えています。
IIJ グループが IIJ-SECT(IIJ group SEcurity coordination Team)というシーサート組織をつくってから早6年が経過しました。日本国内の他のシーサート組織も増えてきており、事前の関係構築や、インシデント発生時の連載による対策が可能になっています。IIJでは、このシーサートの連携に基づいたインシデント対応を通じて、だれもが安心して使えるインターネット環境を取り戻すために努力していきたいと考えています。
*1 南米各国のセキュリティ関係者が集う国際会議
ブラジルのリオデジャネイロで開催された「2nd Colaris」。
詳細はhttp://www.rnp.br/en/events/colaris/
*2 FIRST
Forum of Incident Response and Security Team IIJも加盟する国際セキュリティ団体
詳細はhttp://www.first.org/
*3 CISRT
(Computer Incident and Security Response Team)。インターネット上で発生する(セキュリティ上の)問題を監視し、発生時には原因や影響度などを検証・調査する組織の総称。日本では有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)が代表的。
ブラジルのリオデジャネイロで開催された「2nd Colaris」。
詳細はhttp://www.rnp.br/en/events/colaris/
*2 FIRST
Forum of Incident Response and Security Team IIJも加盟する国際セキュリティ団体
詳細はhttp://www.first.org/
*3 CISRT
(Computer Incident and Security Response Team)。インターネット上で発生する(セキュリティ上の)問題を監視し、発生時には原因や影響度などを検証・調査する組織の総称。日本では有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)が代表的。
|
Copyright © 2007 IIJ America Inc. All Rights Reserved.