株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

標的型攻撃 対策指南書

2.3. 抑止策の実装

標的型攻撃 対策指南書をダウンロードして読む方は PDF版

これまでの標的型攻撃の対策として語られている多くは、本資料の「2.4. 標的型攻撃と被害拡大の防御機能の実装」もしくは「2.5. 標的型攻撃と被害発生の検知機能の実装」に集約された技術的な部分や、もしくは「2.6. 標的型攻撃による被害の対処とダメージコントロールへの備え」のような事故発生時の緊急対応、そして技術者育成といったものでした。
標的型攻撃とは、その名のとおり攻撃対象を特定し、被攻撃者に合わせ効果的な方法で攻撃を行います。周到な計画の上で行われるこれら攻撃行為を防ぐことが困難な理由は、この攻撃の個別対応(カスタム化)にあると考えています。
それでは、攻撃を甘んじて受けなければならないのでしょうか?
たとえば自組織に標的型攻撃が行われることを抑止することはできないのでしょうか?
ここでは、これまでほとんど語られていない、標的型攻撃の抑止策についてまとめます。

標的の抑止が効果的な組織か否かの判断

2011年に当社は、「ソニーの情報漏えい事件で我々は何を学ぶか」と題して、情報漏えい事件を題材に、攻撃者のプロファイリングをしました。その後当社も様々な事件を経験し攻撃者を以下のように分類できると考えています。

  • 愉快犯(高い技術を持ち技術的好奇心から脆弱性の発見やハッキングをする)
  • ストーカ(恨み等により執拗に個人に付きまとう)
  • 主義主張者(アノニマスのようなハッカー集団や政治的主張を行うキャンペーン等、自らの正義感により、国家や企業を攻撃する)
  • 金銭目的の犯罪者(こそ泥、詐欺師、恐喝犯、インサイダー、強盗など)
  • 国家等による権益拡大(国家やそういったレベルの組織が行う諜報活動や破壊行為等)

攻撃者がどのような立場で、何を目的に行っているのかを考えると、標的となる抑止の取り組みに効果があるのか否かを判断できるでしょう。
たとえば、以下のような属性を持っている、または攻撃者がそう考える企業や組織は、非常に強い意図をもった攻撃者により攻撃される可能性があると考えられ、抑止の効果は期待できない可能性があります。

  • 国家機密にかかわる情報や事業を行っている
  • 大規模プロジェクトに関わる事業を行っている
  • 大量の個人情報を持っている
  • 人や会社を脅すための情報を持っている
  • 金銭などのトラブルに発展しやすい事業を行っている
  • 反社会的と誤解を受けやすい事業を行っている

※ほかにも機微情報や攻撃を呼び込みやすい属性があります。

たとえば、ある国家が他国の軍備情報を秘密裏に閲覧したいと考えた場合、国家機密および軍備に関連した企業などを狙うことが考えられ、このような要求に対して抑止は働きません。
しかし、オンライン販売を行うECサイトの顧客情報を窃取したいという動機を受け、複数ある事業者のなかでどこを標的にするかを決定するときに、リスクや手間が高く、成果が少ない企業よりは、リスクや手間が少なく、成果が高い事業者を狙うことになるでしょう。このように複数の攻撃対象がある中で標的から逃れることを考えた場合、抑止の取り組みは効果を上げる可能性があります。

標的にされないための2つの考え方

標的型攻撃を受ける前に、そもそも標的にされないということを考えるとき、「積極策」と「消極策」が考えられます。

「積極策」: その企業や組織のことを知らせた上で、攻撃をすることを躊躇させたり、攻撃が無意味であることを知らせたりする方法です。
「消極策」: その企業や組織そのものの存在を目立たせず、攻撃の対象になることを免れる方法です。

それでは、これら2種類の抑止方法について、実現姓の有無や可能性の高低を考慮せずに列挙します。

積極的な標的型攻撃抑止策

積極的な抑止策とは、攻撃者が自社を攻撃対象から外すための材料を公表するか、攻撃しても得られるものが少ないと判断させる材料を公表するものです。

  1. 情報をあえて小さく掲載する
    契約数や実績数など、貴重な情報が集まっているという印象持たせないよう、あえて競合他社に比べて小さく掲載し、目立たないように工夫します。もちろん、上場企業等に課せられた情報開示義務に抵触しないことが条件となります。
  2. 報復することを表明する
    攻撃を受けた場合、攻撃者を特定して報復措置をとることを表明し、リスクがあることを認知させます。ただし、攻撃者の特定の技術的な課題や報復の連鎖、報復に関する倫理的な問題が残るため安易には実施できません。
  3. 懸賞金を公表する
    攻撃を受けた場合に、懸賞金をかけて犯人を探し出すことを公表し、リスクがあることを認知させます。海外においては、ウイルス開発者の摘発に懸賞金を掛ける事例があり、公表をすることに一定の抑止効果は考えられます。しかしながら、国際犯罪組織に対する取り組みを行うことになることが想定され、現実に実施するには多くの課題が残ります。
  4. 攻撃の分析情報を公開する
    攻撃を受けた技術情報を公開し、自社の調査能力をアピールすることにより、攻撃者に厄介な攻撃対象であるという印象を与えます。この取り組みは、当社も「脅威分析情報の公開」で実施しています。さらに踏み込んで攻撃組織のプロファイルまで行い世間を見方につけて社会的に非難するキャンペーンを行う方法も考えられます。しかし、ネットワークやコンピュータのフォレンジック技術に対応できる体制を用意することは容易ではありません。

消極的な標的型攻撃抑止策

消極的な抑止策とは、攻撃者に対して企業や組織を目立たなくさせ、攻撃の矛先が向かないよう情報のコントロールを行うものです。

  1. 情報を隠蔽する
    自社の事業について、契約顧客数や取引先情報などを公表しないことで、企業や組織が価値のある情報を保有し、大きな事業を展開していることを悟られないようにします。しかし企業の透明性や企業のアピールを展開する活動との相性が悪く、現実の実行は困難です。
    一般の企業であれば、ウェブサイトのログを隠蔽することにより特定組織を狙った水飲み場攻撃の踏み台にさせられることを抑止できる可能性があります。
  2. 大きな話題となる目立つ発表やコミュニケーション方法を考慮する
    話題性をもったアピールや、派手で目立つコミュニケーションスタイル、奇抜な発想の主張など、目立ちすぎる話題の提供や攻撃者を刺激するアピールには、不要な攻撃のきっかけを与えるため、それを実施すべきかどうか考慮することが重要です。

現実的に標的型攻撃の抑止は可能か

ここまで、抑止の方法に関するアイディアを紹介しました。海外企業において取り入れられている手法なども含め、日本国内で有効に機能させられる取り組みは限られています。しかし標的型攻撃の深刻さは今後も低減するとは考えにくく、ますます加速するという観点に立った場合、抑止策の可能性を検討することも現実には必要かもしれません。
現実世界においては、警備会社や警察立ち寄り所などの掲示や、企業イメージを意識した慎重なコミュニケーション手法、警察との協議による懸賞金など、組織に対する犯罪行為の抑止手段は実装されています。サイバー分野においても、今後抑止策は検討の課題になると考えています。

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top