『ウィルスメール開封ごときでサイバー攻撃（笑）』 という感じの発言が予想以上に多いです。 声を大にして言いたい。 違う、そうじゃない！ と。 日本年金機構がサイバー攻撃を受け、個人情報が流出した問題が話題となっています。 ウィルスメールぐらいで『サイバー攻撃』だなんて大げさな。 正直、そう思うところもあります。 けれども、それにはいくつかの誤解があります。 明日は我が身です。知識は武器。 というわけで、よく見かける誤解について、まとめてみました。 誤解1. これはサイバー攻撃とはいえない まず、言葉の定義の話。 今回の件で、年金機構が『サイバー攻撃』という表現を使った事を、無知な、あるいは、馬鹿げた言い訳だと感じる方が多いようです。そこそこ情報技術に詳しいように見える方もそのようにツイートされています。（まぁぶっちゃけそういう部分もあるんだと思います。） ただ、知っておかねばならないのは、これは無差別に送られるただのウィルスメールとは違うということです。 　関係者によると、送付されたウイルスメールのタイトルは「『厚生年金基金制度の見直しについて（試案）』に関する意見」。 引用元: http://www.sankei.com/affairs/news/150602/afr1506020025-n1.html このように、その組織の業務に関連したメールであることを装い、巧妙にファイルやURLを開くよう仕向けられます。こういう特定の標的に絞ってウィルスメールなどを送りつける攻撃を『標的型攻撃』といいます。 『標的型攻撃』はサイバー攻撃の一種に分類されています。電子的な連絡手段を用いて、うっかりミスをするよう誘導するのもサイバー攻撃の一種なのです。 したがって、年金機構が今回の事件を『サイバー攻撃』と発表したことは間違いではなく、むしろ正しいことです。もしこれをサイバー攻撃と発表しなかったなら、そんな知識すらないのかと疑ってしまいます。 誤解2. 怪しい添付ファイルを開くとか情弱ｗｗｗｗｗｗｗｗ と思いましたか？ 結論からいえば、情報セキュリティのプロでもうっかり騙されます。 ですので、そのツッコミはあまり意味がありません。 『絶対に振り込め詐欺なんかに騙されないわ』と言っている人ほど死亡フラグを立てているのと同じように、『うはｗｗｗウィルスメールを開くなんて初歩的なミスｗｗｗ』と思っている人ほど騙しやすいのではないかと個人的には思っています。 先述のように、標的型攻撃のメールは、あたかも業務メールであるかのように装って送られてきます。 件名：【三菱東京ＵＦＪ銀行】本人認証サービス こんにちは！ 最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。 お客様のアカウントの安全性を保つために、「三菱東京ＵＦＪ銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。 以下のページより登録を続けてください。 ……まあ、こんなメールなら絶対騙されませんよね。 （関連記事） 騙される人もいるかもしれませんが、即座に怪しいメールだと思えば、誰も騙されないのです。 ところが、実際の標的型攻撃はこんなものではありません。 例えば、以下のようなメールです。 差出人：chazawa@opap.example.com 件名：新CMの企画案につきまして 添付：企画書（案）.pdf 京姫鉄道株式会社 広報部広報課 英賀保 芽依 様 いつもお世話になっております。 株式会社OPAPの茶沢です。 先日打ち合わせをさせていただきました新CMの件につきまして、企画案の初稿がまとりましたのでご送付いたします。添付しております企画書（案）.pdfをご覧ください。 つきましては、できるだけ早い時期に詳細をご説明にお伺いしたいと思います。もし可能でしたら、来週あたりに2、3時間ほどお時間を頂戴できればと考えておりますが、ご都合はいかがでしょうか？ また、企画書案につきましてご不明な点がございましたら、打ち合わせまでにお知らせいただければ幸いです。 お忙しいところ大変恐縮ですが、よろしくお願いいたします。 ********************************************* 株式会社OPAP 映像事業部　 茶沢　ヤス chazawa@opap.jp TEL XXXX-XX-XXXX FAX XXXX-XX-XXXX 〒XXX-XXXX 京都府京都市三条河原町XXXXX ********************************************* ※メール本文、登場する人物・団体などの名称は架空のものです もし、 本当にあなたが京姫鉄道株式会社の英賀保芽依で、 実際に株式会社OPAPと取引があり、 しかも茶沢ヤスさんと新CMの企画について打ち合わせを行った直後で、 なおかつ、添付ファイルはexeファイルでもなく、 ウィルス対策ソフトも反応しない とすれば、添付ファイルを開いてしまうのではないでしょうか？ むしろ、それがニセメールであると見抜くことはできますか？ 変な話。 あるいは、もっとアグレッシブにこんな社内メールを装った攻撃メールが届くかも知れません。 差出人： yamaga@kyoki-railway.local 件名：【重要】本日実施予定のサイバー攻撃訓練について 添付：訓練実施要項.doc 各位 システム課の山家です。 かねてよりお知らせしていましたとおり、本日サイバー攻撃訓練を実施します。 つきましては、訓練の実施要項を送付しますので、 必ず事前に目を通してください。 この訓練は当社の信頼回復にむけた取り組みの一環ですので、ご協力をよろしくお願いします。 システム課　山家 ※メール本文、登場する人物・団体などの名称は架空のものです もちろん、添付された訓練実施要項.docを開いてしまったらアウトです。 以上は、極端な例です。 実際のところ、ここまで手の込んだものが送られてくることは多くないかも知れません。しかし、知人や同僚を装ったメール、就活生を装ったメール、公共機関を装ったメール、セキュリティ情報への注意を喚起するメールなど様々な実例があります。実際、今回の年金機構の問題のケースでは、厚生労働省を騙ったメールだったようです。 標的型攻撃においては、元社員や関係者などが攻撃者である場合も含め、攻撃者は徹底的な事前調査を行った上で巧妙な攻撃メールを送ってきます。 そして特徴的なのは、 ●特定の個人や組織に対して攻撃メールが送られる ●特別なウィルス（※）をあなた（標的）に作る。 あったかいんだから♪ 　→既存のウィルスではないのでウィルス対策ソフトが反応しない（ことがある） ●情報を盗むことが目的の場合、感染しても見た目に分からないウィルス（※）が使用される 　→一度感染したら数年間気付かないということもある ●失敗しても長期的に執拗に攻撃が繰り返されることがある 　→一過性のものだと気を抜けない ●その標的の組織だけではなく取引先や関連組織なども狙われる 　→先に取引先から情報を盗み出して実際の取引のメールを偽装することもある などの点です。 （※厳密にはコンピューターウィルスとしての特徴を備えていない場合があるため「不正プログラム」「不正ソフトウェア」「マルウエア」と総称されることもあります。） このような標的型攻撃メールを、判別できるかできないかでいえば、判別できることももちろんあります。本文と差出人のメールアドレスの矛盾、メールヘッダーの矛盾、文章の不自然さなどをチェックすれば一定の効果は期待出来ます。 しかし、ダブルチェック、トリプルチェックにしてもチェックが漏れるときは漏れるのです。ヒューマンエラーをゼロにすることはできません。一度は見抜いても、二度目は見抜けないかもしれない。 したがって、「怪しい添付ファイルを開くとか情弱ｗｗｗｗｗｗｗｗ」なんて気楽なことは言ってられません 誤解3.  ウィルス対策ソフトを入れておけば大丈夫 誤解2で述べたように、標的型攻撃においては、特製のウィルスが使われることが多く、ウィルス対策ソフトでは検知できるとは限りません。 特にその標的となった組織で導入されているウィルス対策製品が分かっていれば、その対策ソフトが特製ウィルスに反応するかどうかを予めテストして、反応しないようにウィルスをチューニングしておくということもできてしまいます。 ですので、ウィルス対策ソフトを入れておけば大丈夫とは限りません。 誤解4. 諸々をちゃんと対策すれば絶対に防げていた もし入れておくだけで攻撃を避けられる方法があるのであれば、誰も困りません。 すごく高価で高機能なファイヤウォールやメールフィルタでも、特に標的型攻撃のような攻撃を完全に防ぐのは不可能といっても過言ではありません。 また今回はPC内に個人情報を保存していたことやデータにパスワードが掛かっていなかったことも問題視されていますが、仮にそうでなかったとしても、基幹システムに不正アクセスされる可能性があったわけです。むしろ、たまたま125万件のデータがPC内に保存されていたために、基幹システムへの侵入までの時間稼ぎができたのかもしれません。ちょうど良い目くらましだったのかも。 （補足：仮に内規通りデータファイルがパスワードで暗号化されていたとしても、PCにキーロガーを仕込んでおけばパスワードなんてバレバレですからね。やらないよりマシとはいえ、効果的だったかどうかというと疑問です。） 誤解5. 不正アクセスを防御することこそが一番重要である 確かに不正アクセスを防御すること も 重要です。 けれども標的型攻撃のような攻撃を完全に防御することはもはや不可能だと言われています。 最近では、 いかに早く不正アクセスを検知して締め出すか ということの重要さが増してきています。 もし年金機構の対応を批判することがあるとすれば、感染からインターネット接続の遮断まで一ヶ月近くも要したということです。けれども、良い方向に考えれば、最初の感染から たった一ヶ月で対応できた とも言えます。感染後、内閣サイバーセキュリティセンターが即座に不審な通信を検知していたことが対処に大きく貢献しています。もし検知していなかったら……？ 実際には標的型攻撃を受けて、感染したまま気付かずに数年経過しているケースも少なくないと考えられます。そういったケースと比較すれば、今回はまだ不幸中の幸いだったというわけです。 誤解6. 日本年金機構だけが悪い 一番悪いのは攻撃者です。 確かに運用面がアレなところは散見されますが、一番悪いのは攻撃者であるということを忘れてはいけません。そして、標的になるのは年金機構だけではないという点も重要です。 誤解7. サイバー攻撃はすごい技術を使うものだ サイバー攻撃。 すごく格好いい響きです。（ダサイ響きでもありますが） 薄暗い部屋で、大量のモニターに囲まれて、薄ら笑いを浮かべるハッカー。 高速タイピングでセキュリティシステムに立ち向かい、攻防を繰り広げています。 最新鋭のハッキング技術を惜しみなく投入していくハッカー。 「ビンゴ！」 ついに彼は突破口を見つけます。 コンソールに流れる国家機密の数々。 天才ハッカーの手に掛かれば、CIAのメインコンピューターだってイチコロです。 ……まあ、実際にこんなハッカーがいるとは思えないですが。 実際にサイバー攻撃に使われている技術はひとつひとつを見ると意外と古典的なものです。 バッファーオーバーラン、解放済みメモリの使用、SQLインジェクション、クロスサイトリクエストフォージェリ、DDoS攻撃などなど名前は格好いいものの、その攻撃手法は十年以上（ものによっては数十年以上）昔から存在するものです。攻撃手法の説明を聞くと「なーんだ」となることが多いです。ちょっとした小細工だったり、力技だったり。 いやもちろん、脆弱性を見つけたり、それをうまく悪用するには高度な専門知識が必要なのは確かです。 しかし、それは決してドラマチックなものではありません。ドラマチックなものでないからこそ、先述のような変な演出がまかりとおってしまうのです。 実際、当サークル制作の自主アニメ「こうしす！」第1話でも、XPを使い続けるリスクをある程度ドラマチックに描くために、かなりの誇張を入れています。 http://www.nicovideo.jp/watch/1397053610 今回の年金機構の問題のようなケースは、すごくショボくてしょーもないと思えますが、他の攻撃手法も五十歩百歩です。だいたいのセキュリティ事故は本当しょーもないです。 サイバー攻撃ではしょーもない手法の方が主流といっても過言ではありません。見た目にドラマチックでクールな手法を編み出さなくても、古典的な攻撃手法で十分な効果があるのですから、まぁ、当然といえば当然ですね。実際、ウィルスメールごときで大量の個人情報を盗めちゃったわけですから。 ですから、「ウィルスメール？そんなのサイバー攻撃じゃないよ」と言って終わらせてしまわずに、 サイバー攻撃の手法そのものは意外とショボイもの　（しかし、被害は大きい） セキュリティ事故の原因は意外とショボイもの ウィルスメールのような古典的手法も有効な手段だからこそ現在もサイバー攻撃に用いられる ということを頭の片隅に置いておいてください。 で、どうすればいいの？ 正直なところ、人類を滅ぼす以外に有効な手段は思いつきません。 不正な通信の早期検知が重要とはいえ、中小企業レベルの人材や財力で不審な通信の監視などはできないと思われますし、本当に難しい所です。 デスクトップ仮想化のような仕組みを用いて、インターネット接続専用の仮想PCを使用し、仮想PCを業務ネットワークから隔離するといった緩和策は採れると思います。それも完璧であるとはいえませんが、すくなくとも業務用PCをそのままインターネットに接続するよりはリスクが低いと思われます。 個人レベルでできることがあるとすれば、自分が戦犯になってしまわないよう、「自分は絶対に騙される」という意識を捨てないことが大切ではないでしょうか。 振り込め詐欺と一緒です。 寝ます。