攻撃者を知ることからはじめるサイバー攻撃対策

攻撃者のタイプは？

企業を攻撃する犯罪者は、「金銭目的の犯罪者」「スキルを誇示したい犯罪者」「思想や主義に基づく犯罪集団」「国家の諜報活動」の4つに分類できます。

■金銭目的の犯罪者（窃盗犯）

これが最も多い犯罪者あるいは集団です。情報を売って商売や小遣い稼ぎをしようとします。 記憶の新しいところでは2014年7月に発覚したベネッセホールディングスからの個人情報漏えい事件があります。流出した情報は、子供や保護者の氏名、住所、電話番号、性別、生年月日など。犯人は内部の派遣社員でした。

手口としては実に単純で、スマホにファイルデータをコピーして持ち出したに過ぎません。ログを削除するなどの工夫もなく、あっさりと犯人はつかまりました。数千万件の個人情報を盗み出しました。

出典：株式会社ベネッセホールディングス「個人情報漏えい事故調査委員会による調査結果のお知らせ」
　　 http://www.benesse.co.jp/customer/bcinfo/01.html 　

犯罪の背景には、個人情報を転売するブラックマーケットの存在があります。このブラックマーケットから転売されていたようです。

■スキルを誇示したい犯罪者（愉快犯）

かつてサイバー攻撃の犯罪者はほとんどこのタイプでした。今でも若い世代に多く見られます。事例として2015年6月に逮捕された17歳の少年がいます。東京都内の出版社のシステムにログインして、ホームページを改ざんしたことを認めています。

このような若年層の犯罪が成立する背景には、サイバー攻撃用の無料アプリの存在があります。他人の無線LANにただ乗りするツールもIDやパスワードを盗み出すツールも公開されています。少年はこの世界ではハッカーとして有名な存在で、そのスキルを誇示したいという思いから、犯罪がエスカレートしていったようです。

出典： ITmedia NEWS「出版社のサイトを改ざん　不正アクセス疑いで17歳少年逮捕」
　　 http://www.itmedia.co.jp/news/articles/1507/01/news098.html 　

■同じ思想や主義に基づく犯罪集団

愉快犯を通り越し、同じ思想を持つ犯罪者が集団化して、特定の企業や機関を攻撃する例が目立っています。最も有名な集団がアノニマス（Anonymous）です。2011年ごろから活動を開始し、2015年11月のパリ多発テロの際、「イスラム国（IS）」に宣戦布告したことで話題となりました。日本でも捕鯨反対を目的に自治体のホームページにDDoS攻撃をしかけています。

出典： ITmedia NEWS「ハッカー集団「Anonymous」、ISISに宣戦布告　パリのテロ攻撃を非難」
　　 http://www.itmedia.co.jp/news/articles/1511/17/news071.html 　

■国家の諜報活動

敵対する国の機密情報を盗み出そうとする国家やそれに準ずる組織がこれに該当します。このレベルになると、仮想空間の戦争状態です。有名なのが中国紅客連盟（ちゅうごくほんくーれんめい）で、中国政府との関連が疑われています。

2014年11月発生した米国のエンターテイメント会社へのハッキング事件は北朝鮮との関係が疑われました。同社では北朝鮮要人の暗殺を題材にしたコメディー映画を作成しており、テロ予告を受けたことで、上映中止を決定しました。

出典： ITmedia NEWS「ソニー・ピクチャーズ、北朝鮮パロディ映画の公開を中止」
　　　 http://www.itmedia.co.jp/news/articles/1412/18/news052.html

狙われる情報は？

2011年のマカフィーの報告では、狙われる情報として、国家機密情報、ソースコード、メールアーカイブ、交渉計画、新規油田・ガス田開発に関する詳細な調査結果、ドキュメントストア、契約書、システム設計図面などがあげられています。デジタル化されたデータは何であれ狙われると考えていいでしょう。

出典：マカフィー株式会社「公式ブログ　世界14カ国、72組織をターゲットにしたOperation Shady RAT」
　　 http://blogs.mcafee.jp/mcafeeblog/2011/08/1275.html 　

2016年現在、現在の日本で、最も狙われやすい情報はマイナンバーでしょう。12桁のこの番号が漏れたとしても、まったく実害はありません。ただ、政府はマイナンバーの利用範囲を金融や医療分野などへと拡大することを想定しているため、厳重な管理を求めています。意図的な情報漏えいには「４年以下の懲役若しくは200万円以下の罰金または併科」が処されます。

また、意図的な漏えいではなくても、無防備に扱っていたがためにマイナンバーを盗まれ、犯人から金銭を要求されるといったケースが出てくる可能性もあるでしょう。盗まれないように厳重な対策が求められます。

まとめ　～ 攻撃者を想定し、それに合った対抗策を！～

「敵を知り、己を知れば百戦危うからず」という古いことわざもあります。好んで挑む戦いではありませんが、防戦は必須です。狙われる情報が自社にないか、どのようなサイバー犯罪者に狙われるかを想定し、対策を検討しましょう。