国内外の防衛産業企業 標的(スピア)型攻撃受け被害

6 分で読める

最近、新聞・テレビ等で報道されているように、国内外の防衛産業企業を狙った標的型攻撃、Targeted Attackが相次いでいる。
国内では三菱重工業、IHI、川崎重工業。感染被害は三菱重工が報告されている。

まず、以下に各情報サイトより関連情報をまとめてみた。

・ITmedia - 防衛産業を狙う標的型攻撃、日本や米国で8社が被害
・Slashdot - 三菱重工にサイバー攻撃、80台以上のサーバーやPCがウイルス感染
・日経BP PC online - 三菱重工、国内11拠点でウィルス感染の事実を公表、「機密情報流出は確認されず」
防衛産業を狙ったウイルス攻撃が相次ぐ、日本や米国などで8社が被害
・ INTERNET Watch - 三菱重工を含む防衛産業8社が標的型攻撃の被害に、Trend Microが分析
・IPA - プレス発表 組織の重要情報の窃取を目的としたサイバー攻撃に関する注意喚起
読売新聞 - サイバー攻撃 防衛産業狙った“戦争行為”だ(9月21日付・読売社説)

今回の件と直接関係ないが、参考資料として↓

・日経BP ITpro - さらなる標的型攻撃につながった米イプシロンの情報流出(2011/7/13)
いま一番危ない脆弱性は何だ? ~2011年版~
・読売新聞 - 日本の企業も狙われる「標的型攻撃」とは?(2008/3/22)
・IPA - 近年の標的型攻撃に関する調査研究-調査報告書-(2008/3/18)

う~む。今回は「防衛産業」が標的で国家機密級の情報が攻撃にさらされたということで、悪い意味で表ざたになっただけ。
今回の報道で「標的型攻撃」が何か新しく恐ろしい攻撃みたいに連呼されているが、これ自体は数年前から存在していたわけだ。
今年のソニーPSNの被害が思い起こされるように、過去にも多くの企業が同じようなサイバー攻撃の被害にあっているというのに、まともな対策を取らなかっただけの話である。

あまい。

この一言に尽きる。バカである。

攻撃手法は、「悪意のあるPDFファイルを電子メールの添付ファイルとして送信し、Adobe FlashとAdobe Readerの脆弱性を突いてバックドアを標的に感染させ、C&Cサーバーに接続して自身の情報を送信した後、さらなるコマンドを待ち構える。」とある。
これが事実であれば、もう、なんというか、あきれてしまうお話である。
もちろん攻撃者が悪いわけだが、全ての非があるとは言い難い。
私たちが電子メールを利用していて、怪しむことなく届いたメールの添付ファイルを開いてマルウェアに感染しちゃったー、やべーよw
というようなことが、国家機密級のデータを扱うところで起こっているということだ。
今回は感染被害が発覚しただけでも幸運と思った方がよいレベルである。

こうしたレベルの情報を扱う場所で、情報リテラシー、情報セキュリティ意識が低いのも甚だしい。
それらを扱う者の意識・能力がまだまだ低いのである。
最近よく報道されているような、米大統領専用機の情報が個人ブログで流出だの、Twitterのつぶやきで情報流出。
これらはなにも技術的セキュリティ対策の問題ではなく、個々のセキュリティ意識の問題だ。

例えば、このシステム(ファイアウォール、アンチマルウェア等)を導入しておけばセキュリティ対策はバッチリ、安心安心(^^)
という考えとか。
今回の件は、添付ファイルさえ開かなければ防げた。
「原則添付ファイルは開かない」というタコができるほど耳にする教えはどこへ行った。
その程度の教育もされていない者が居てはいけない場所であろう。
技術的な対策としては、電子メールのシステムについて。
何らかの署名・暗号化がなされていたかどうかの情報がないのでわからないが、まさか平文・偽装し放題だったら言語道断。
また、Adobe FlashとAdobe Readerの脆弱性を突いた攻撃ということで、穴さえ塞げば攻撃は防げた。
管理体制の”あまさ”が露になっている。

この企業には情報セキュリティポリシーというものが存在しないのであろうか。そう思ってしまうぐらいだ。

やはりね、日本はまだまだ情報セキュリティ意識、情報リテラシーが低いのである。
インターネットが発達した今、PC、携帯電話、スマートフォンなど生活の中で自然と大量の情報の送受信を行っている。
だから技術者だけでなく、エンドユーザーも最低限、そうした知識を身に着けなければならない。
とは言っても、国の小中高における情報教育がまったくもって役立っていないのだ。
もうデジタルネイティブの世代が成人する頃であるのに、このままでは今後、情報社会において犯罪被害が増える一方だ。
意味も理解せず生徒に用語を暗記させたり、WordやExcelなどソフトウェアの操作方法を教える授業みたいになっているのではないかと心配だ。
もちろん社会へ出て一般事務でもOfficeソフトの取り扱いは当たり前のようだが、そのような情報を(機械的に)「単に読み書き取り扱う操作」の方法は後から勉強でも十分間に合う。
その前に情報を取り扱う前提である、「情報倫理」というものを実践的に教育する必要がある。
例えば、著作権についての学習でも、機械的に「アレをああするのはダメ」「これならセーフ」みたいな教え方ではダメだ。
まず、なんで著作権というものが存在し、著作者を保護する必要があるのかを説明する。
次に具体的に、中高生による音楽の違法ダウンロードなどを取り上げてみてもいい。
目的を明確にして、仕組みを”納得させる”ことが重要なのである。
もちろんそれをベースとした上で技術的なお話になるわけだが。

一応参考までに文科省の各種リンク↓

小学校、中学校、高等学校 > 情報化への対応
中学校学習指導要領 > 第2章 各教科 第8節 技術・家庭
高等学校 学習指導 要領 - 第2章 第10節 情報 p.101 (※注:PDF)

もはや生活の一部となった以上、技術的な部分の教育よりも「情報倫理・情報リテラシー」重要性は増している。
だってエンドユーザーが利用しているモノの構造や仕組みを理解しようと思うのはごく一部だ。
洗濯機、冷蔵庫、テレビとか、生活に密接にかかわっているが、構造を勉強した人はどのぐらいいるだろう。
服を洗濯する、アイスを冷やす、テレビ番組を見る・・・取り敢えず使えればよいのである。
同様に、PC・携帯電話・スマートフォン、友達にメールを送ったり、インターネットで検索したり、ブログやTwitter、FacebookやmixiなどSNSを利用したり、ゲームしたり・・・できればよいのである。(決め付けている訳ではないが)

だからこそ、情報教育においては是非とも、このような部分に重きを置いてほしい。

おっと、だいぶ話がずれましたな。
ではこの辺で ノシ

comments powered by Disqus