武田圭史

６月１５日（金）に行った「未知の脅威に対抗する組織のセキュリティー力」と題した講演の概要が明日６月３０日（土）の日経新聞朝刊(全国)に掲載される予定です。

会場の制限のため抽選となってしまったようで、紹介しておきながら大変申し訳ありませんでした。
紙面の都合でざっくりとした内容になってしまうようですが、よろしければご覧ください。

新聞ですので紙面構成が変更になる可能性もありますのでその点ご了承ください。

(参考)
【講演】「見える化」と組織の「セキュリティー力」
http://motivate.jp/archives/2007/06/post_129.html

【イベント】日経Business Innovation Forum　－　「見える化」による情報セキュリティー整備
http://www.adnet.jp/nikkei/innovation/

タイトルのとおりセキュリティの数値化について書かれた本である。

組織における情報セキュリティとその管理活動における数値化の対象や手法について紹介している。数値化した後の具体的な分析手法等はほとんど触れられていない。投資対効果の数値化については著者はこれを否定する立場をとっている。

攻撃の発生回数と失敗と成功の回数を数えましょうなど、数えるべき対象をひたすら列挙しているようなところも多く、何か新しい発見があるというよりはこれまで漠然と言われていたことを数値化という切り口で整理しているにすぎない。

実務や研究にすごく役立つというわけではないが、セキュリティの数値化について触れている数少ない書籍なので紹介しておく。

■書籍
Security Metrics: Replacing Fear, Uncertainty, and Doubt
Andrew Jaquith (著)
Addison-Wesley
￥ 6,367　（税込）

※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。

6月21日JPCERT/CCから「標的型攻撃について」と題したレポートが発表されている。このレポート自体はこれまで一部の事例のみが語られていた日本における標的型攻撃の実態について明らかにしたものであり、大変意義のある試みと思われる。（文中CSIRT協議会が登場するあたりは多少強引な感もあるが・・・）

この中でJPCERT/CCは英語の「Targeted Attack」に相当する表現として「標的型攻撃」という訳語を用いている。

“標的型攻撃”の呼び名について
“Targeted Attack”という言葉は標的攻撃、 スピア型攻撃、 スピアー攻撃、 ターゲッ
トアタックなど様々に翻訳されている。本文書では”標的型攻撃”という訳語を用いる。
この表現が比較的定着しており、 初見でも漢字から内容を類推することが容易と思
われるからである。

（「標的型攻撃について」JPCERT/CC, 2007/6/21）

これは、特定の組織等を攻撃対象として行われる「フィッシング攻撃」を意味する「スピアフィッシング攻撃」との混同を避け、「Targeted Attack」の正確な意味が伝わるように配慮がなされているものと推察される。実際同レポートでは「スピアフィッシング攻撃」について以下のような記載が行われている。

「たとえば標的となる組織に特化した差出人や文章を使ったフィッシングを”スピアフィッシング”というが、 これは限定度が高く、 検知が難しい標的型攻撃の1つである。」

（「標的型攻撃について」JPCERT/CC, 2007/6/21）

レポートでは標的型攻撃を「スピアフィッシング」「関係者を装った社員宛のウィルスメール」「『DoSをしかける』という脅迫メール」の３つに分類をしており、「スピアフィッシング」は「標的型攻撃」の一つのタイプとして位置づけられている。

ちなみに欧米では日本で言われるTargeted AttackはTargeted Trojan-horse attackまたはTargeted Trojan attackという形で使われることが多く、この場合「トロイの木馬」を用いた攻撃を意味する。「関係者を装った社員宛のウィルスメール」がTargeted Trojan-horse attackなのかどうかは不明だが、「『DoSをしかける』という脅迫メール」がTargeted Attackと呼ばれることは少ないように思う。

さて、このレポートの内容について日経IT Proが記事として紹介しているのだが、JPCERT/CCが「標的型攻撃」としている事項について、全て「スピア－攻撃」として言い直して記載している。また文中には、

「スピアー攻撃とは、特定の企業や組織を狙った攻撃のこと。標的型攻撃とも呼ばれる。」

（「『国内企業もスピアー攻撃の標的に』――セキュリティ組織が調査」, 日経IT Pro, 6/21）

とわざわざレポート本文とは逆順に用語の定義が行われている。JPCERT/CCが吟味した用語の用法が台無しである。日経IT Proでは過去に「スピア攻撃と闘う」と題した記事の中で、下記のように「スピア攻撃」という用語について明示的に使用の方針を示しており、社内での用語の統一を保つ必要からやむを得ないのかもしれない。

「特定のユーザーや組織を狙った攻撃」は，海外では「Targeted Attack」と呼ばれ，スピア攻撃（Spear Attack）と呼ぶのは日本だけである。しかしながら，国内ではスピア攻撃のほうが現時点では一般的だと考えられるので，本稿では「スピア攻撃」とする。

（「スピア攻撃と闘う」, 日経IT Pro, 2006/9/29）

もっとも「スピア攻撃」だったり「スピアー攻撃」だったりするのでそれほど厳密に意識しているわけでもなさそうだ。

最近のセキュリティ業界関係者の発言を聞く限りでは「スピア（ー）攻撃」という用語を単独で使用することはほとんど無く、大抵「ターゲテッドアタック」や「標的型攻撃」などの他の表現と合わせて使用されている。「スピア攻撃」が一般的というのは現在では当てはまらないのではないか。

そもそも誰が言い出したのか分からない「スピア（ー）攻撃」などという紛らわしい用語を使用しなければ、すっきりすると思うのだが、何かこの言葉を使用しなければならない特別な理由があるのだろうか？

（追記）ふと考えたのは、メディアでは「標的型攻撃」と書くよりも「スピアー攻撃」と書いた方がキャッチーで注目を浴びやすいという理由があるのかもしれない。

（参考情報）
■標的型攻撃について(PDF)（JPCERT/CC, 2007/6/1）
http://www.jpcert.or.jp/research/2007/targeted_attack.pdf

■「国内企業もスピアー攻撃の標的に」――セキュリティ組織が調査（日経 IT Pro, 6/21)
http://itpro.nikkeibp.co.jp/article/NEWS/20070621/275523/

■今週のSecurity Check（第177回） スピア攻撃と闘う(ITPro, 9/22)
http://itpro.nikkeibp.co.jp/article/COLUMN/20060922/248805/

■「スピア型攻撃」より「標的型攻撃」が良いのではないでしょうか？(武田圭史, 2006/10/2)
http://motivate.jp/archives/2006/10/post_102.html

■「スピア型攻撃」は日本独自の表現？(武田圭史, 2006/7/19)
http://motivate.jp/archives/2006/07/post_96.html

いつまでこんなことを続けるのでしょうか。
もういい加減終わりにしませんか？

御冥福をお祈りします。

これまでもそうでしたが、情報漏えいインシデント対応の際は当事者、関係者に対するケアも怠らないようにしなければなりません。
（たとえ本人が悪かったとしても、こういう事態は避けるべきでしょう。）

■ウィニーで児童の個人情報流出、男性教諭が自殺　千葉http://www.asahi.com/national/update/0608/TKY200706080265.html

白浜で行われているサイバー犯罪者サイバー犯罪関係者の集まりに来ています。

今年はメイン会場で無線ＬＡＮは提供されないのでしょうか？

メイン会場でホテルロビーのがばり５で入りますね。非常に怖い状態で犯罪の温床になりそうですが。

（参考情報）
■第11回　サイバー犯罪に関する白浜シンポジウム
http://www.sccs-jp.org/SCCS2007/

リバースエンジニアリングまつり第二弾予告です。

４月９日リバースエンジニアリングをテーマにしたワークショップを秋葉原にて開催いたしましたが、大変好評につきご参加いただけない方も多数いらっしゃいました。
前回はどちらかというとイントロダクション的な意味合いもあり、深く踏み込んだ議論までできなかったという反省点もあります。その一方で実際にリバースエンジニアリングを行うための具体的な手法を紹介して欲しいという要望も多くありました。

というわけで、さらに規模を拡大したリバースエンジニアリングをテーマにしたイベントを秋開催に向けて計画中です。

時期的には９月下旬から１０月上旬、２～３日程度、東京またはその周辺を予定

・チュートリアル
・招待講演
・公募講演
・パネルまたはＢＯＦ

といった構成を検討しています。

特に今回は公募セッションとして、リバースエンジニアリングに関する取り組み、ケーススタディ、ツール、テクニックなど関連のトピックについて発表いただける方を広く募集してみようと考えています。

８月中旬頃に締切、１ヶ月前に発表していただく方を決定できればと思います。ネタをお持ちの方、またお持ちでない方も時間がありますので、ぜひご応募いただけますようご準備のほどよろしくお願いします。

例によりあくまで予定ですので途中でぽしゃったり大きな変更があるかもしれませんのでご了承ください。その他イベントに対する御希望やご意見などもありましたら遠慮なくお寄せください。

(参考情報)
■セキュリティ・ワークショップ「情報セキュリティのためのリバースエンジニアリング」 (カーネギーメロン大学日本校)
http://motivate.jp/archives/2007/04/49ws.html
■4/9リバースエンジニアリングWSにお越しの皆様へ（武田圭史, 4/6）
http://motivate.jp/archives/2007/04/49ws.html
■2007/04/09 リバースエンジニアリングまつりのメモ(by yoggyさん)
http://www.sabamiso.net/yoggy/hiki/?2007%2F04%2F09+%A5%EA%A5%D0%A1%BC%A5%B9%A5%A8%A5%F3%A5%B8%A5%CB%A5%A2%A5%EA%A5%F3%A5%B0%A4%DE%A4%C4%A4%EA%A4%CE%A5%E1%A5%E2
■「リバースエンジニアリングまつり」レポート (by eagle0wlさん on Wizard Bible vol.33)
http://wizardbible.org/33/33.txt

ほかにもレポートがあったような気がしますが・・・御存じの方ご紹介ください。

６月１５日（金）に「未知の脅威に対抗する組織のセキュリティー力（りょく）」と題して講演をしますのでご案内させていただきます。

セキュリティにおける見える化の考え方、インシデント対応を含めたいまどきのセキュリティ対策の考え方、その他最近の技術動向などについてもお話したいと思っています。

後半の「内部統制時代の情報セキュリティーガバナンス」と題したパネルでは岡村久道先生、マカフィーの久我信さん、宮崎緑さんとご一緒させていただきます。どんな展開になるのか楽しみです。

【イベント】
日経Business Innovation Forum　－　「見える化」による情報セキュリティー整備
２００７年６月１５日（金）　１３：３０～１６：４５
会場： 丸の内マイプラザホール
参加無料
http://www.adnet.jp/nikkei/innovation/