登録内容の変更新規オンライン会員登録会員サービスについて

サイバー攻撃高度化 脆弱なタコツボ日本

名和 利男氏

サイバーディフェンス研究所上級分析官(情報分析部部長)

2013年7月号 [インタビュー]
by インタビュアー 本誌 阿部重夫
名和 利男

名和 利男
(なわ としお)

サイバーディフェンス研究所上級分析官(情報分析部部長)

元航空自衛官。信務暗号・通信業務や在日米空軍との連絡調整業務、防空指揮システムなどのセキュリティ担当(プログラム幹部)業務に従事。2005年に退官し、国内ベンチャー企業のマネージャーなどを経てサイバーディフェンス研究所に参加した。農水省の参与も兼任。

——農水省の文書124点がサイバー攻撃で漏洩した事件の調査に関わりました。霞が関全体が甘いのでは?

名和 公開情報のこと以外は言えないため、個別事象については言及できないのですが、過去の知見や認識に基いて突き詰めると各官庁の設置法に行きつくんですね。所掌業務に関わる法律、規則、内規を厳格に守っているから、「エラーさえなければ漏洩など起きるはずがない」という間違った認識がある。工場みたいに一人一人が歯車で回っていて、数十年前のまま。でも、遊びがなく、他部門は興味の対象外なので、中にいるとセキュリティの必要性を感じることが少ないのでしょう。

——改革を嫌がる閉鎖性が仇?

名和 行政機関でも情報・通信に携わる部門や、ベンダーと接する部門は、意外に問題の所在を理解していて悩んでいます。外部から見るより厳しく自己批判していますが、解決する力、権限がないので諦めの心境と聞いています。欧米のような多国籍・多宗教文化では「隣の人を信じない」のが原則ですが、日本は同僚、仲間であうんの呼吸の文化なので「なあなあ」感で軽微なルール違反が横行する土壌がある。

——ガイドラインはないのですか?

名和 NISC(内閣官房情報セキュリティセンター)の一般基準に従って各官庁が情報システムを発注しますが、何を実装するかはベンダー任せ。仕様書に「一般基準に準拠すること」と書くだけで、負担は受注側ですから、まじめな業者ほど利益があがらない。改善の方向だと聞いていますが。

潜伏して遠隔操作でデータ盗む

——農水省では「トロイの木馬」型のウイルスに感染していたとか。

名和 その質問は答えられませんが、公開情報や対処経験から、最近のトロイの木馬は、複数のトロイの木馬が互いに連携しながら、一つの目的を達成しようとする傾向にあるとは言えます。一つのPCだけでなく、複数のPCに分散させることが多くなってきました。一つのPC内のトロイの木馬が発見・駆除されても、他の複数のPCに潜在しているトロイの木馬の連携活動により、目的を達成させようとするための創意工夫の一つではないかと見ています。

——かなり手の込んだ攻撃ですね。

名和 多層防衛のシステムですと、途中で諦めていると思うのですが、国内の多くの内部システムは、多層防衛の概念に基く設計がされていないことが多いんです。極めて機密性の高い情報を扱うところでは、完全にシステムやネットワークを二重化しているところもありますが、遠隔地と接点のあるところでは、止むを得ずとネット上に特別な仕組みを設けて相互通信を実装しているところがあります。その「特別な仕組み」を過剰に信頼してしまい、管理や運用保守の業者から侵入を許してしまう事案もありました。

——官民ともサイバー攻撃の高度化、隠蔽化についていけてないと……。

名和 ここ数年、一般的な反ウイルスソフトではみつからない検知回避技術を施しているものが多い。少し古い状況認識で作られた情報セキュリティ対策が、今でも維持されているところに大きな問題があると思います。また、大きな組織ほど言えることですが、厳格なまでの情報セキュリティ対策と見えても、実態は情報漏洩対策に偏重しているものが数多くあります。

——霞が関はリテラシーが低い?

名和 霞が関全体のことは知りませんが、今のサイバー攻撃に首尾よく対応できる体制ではない。専門家会議などに大学の先生や民間企業の役職者を呼んでヒアリングして決めていますが、サイバーの世界は毎日ころころ変わり、場合によっては時々刻々です。

——各省には必ずCIO(最高情報責任者)を置いていますが。

名和 CIOはかなり多忙で、責任ばかり負わされているように思います。民間人の補佐官がつきますが、資格要件が厳しいので高齢なんです。安心感はありますが、今のサイバー攻撃はわからない。ここ1、2年でサイバー攻撃は格段に高度化しました。ロボットを送りこむだけで、真犯人はじっと待つだけ。ロボットは手ぶらで入って、刃物は内部で調達し、犯行後は元に戻すから証拠がない。しかも犯行後、スーツに着替えて堂々と表から出てバスに乗る。他の乗客と区別がつかず、刃物を禁止するわけにもいかない。そういうロボットが数万、数千と送られて、「数打ちゃあたる」で攻撃してくる。

解釈変更や新法では追いつかず

——それを追跡すると「通信の秘密」に抵触するジレンマに陥ります。

名和 そもそも現行憲法はこういう事態を想定していなかった。インターネットは単なる利便性ではなく、今や買い物や送金などに欠かせない社会のインフラです。通信の秘密を守りながら、悪意のある者たちを抑制する仕組みづくりをしなければならない。数年前までは法律の解釈変更や新しい法律で対応してきた。有名なのが、令状なしに中傷記事を削除できる「プロバイダ責任制限法」です。今や、それだけでは対応できない。

——米国では、ウェブサービスを監視するNSA(国家安全保障局)のPRISM計画が明るみに出ました。

名和 力わざもありうるが、コストとリスクが大きすぎます。攻撃側は標的とするシステム内部の構成などの情報収集(インテリジェンス)から入り、潜伏期間を置いて攻撃を始めます。

——JAXA(航空宇宙研究開発機構)や三菱重工、ニューヨーク・タイムズで起きたデータ漏洩は?

名和 印象としては恐ろしいほど同じ手口です。(中国解放軍の61398部隊を突き止めた)マンディアント社がAPT1報告で警告していたんですけど生かせなかった。今の状況認識を踏まえた新しい手法を開発しなければなりません。お金儲けのビジネスというより、攻撃者と真摯に向かい合って組織を守る気概を持たないと。