ホーム > 情報セキュリティ > 【都市伝説?】標的型攻撃による被害は深刻化しているのか?

【都市伝説?】標的型攻撃による被害は深刻化しているのか?

「近年の標的型攻撃に関する調査研究-調査報告書」という報告書がIPAから公開された。

■近年の標的型攻撃に関する調査研究-調査報告書-(IPA, 3/18)
http://www.ipa.go.jp/security/fy19/reports/sequential/index.html

このページの中で気になるフレーズがあった。

「近年、特定の企業あるいは組織イントラネット内のパソコンを標的とした「標的型攻撃」により、個人情報等の機密情報が漏洩するなどの被害が深刻化しています。」

標的型攻撃についてその試みについては多数確認されており多くの報道が行われている。しかし、それによって実際に日本国内で発生した被害(攻撃をされただけではなく実際に被害を受けるに至ったもの)についての報道は私が知る限り下記2件のみである。

■「防ぎようがなかった……」、ネット銀不正引き出しの被害者語る(ITmedia, 2005/7/22)
http://www.itmedia.co.jp/enterprise/articles/0507/22/news089.html

■郵送CD-ROMで不正送金、千葉銀行の名前をかたる(ITmedia, 2005/11/02)
http://www.itmedia.co.jp/news/articles/0511/02/news036.html

仕事柄情報セキュリティに関わる多くの技術者や実務者と接する機会があり、ことあるごとに標的型攻撃の被害実態について聞くようにしているが、一様にその脅威の存在については言及するものの、実際に被害を確認したという人物は極めて少数である。多くは「・・・という話を聞いた。」という伝聞レベルである。

情報セキュリティの被害実態に関するある程度信頼度の高い情報源として、国家公安委員会、総務大臣、経済産業大臣が不正アクセス禁止法に基づき毎年発表している不正アクセス行為の発生状況に関する統計がある。

■不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(2008/2/29)
http://www.npa.go.jp/cyber/statics/h20/pdf40.pdf

このうち警察に関する統計は「平成19年中に全国の都道府県警察から警察庁に報告のあった不正アクセス行為を対象とした。」とあるように、実際に警察に届けられた被害に基づくものであり、伝聞などの情報に比べ信ぴょう性が高いと考えられる。

この警察に関する統計においては「標的型攻撃」による被害の発生については一言も触れられていない。検挙に至った1,438件の内訳が「不正アクセス行為に係る犯行の手口の内訳」に示されているが、この中には標的型攻撃という記述はなく、「スパイウェア等のプログラムを使用して識別符号を入手したもの」55件がある程度である。標的型攻撃は「スパイウェア等のプログラムを使用して識別符号を入手したもの」に含まれると考えられるが攻撃対象を限定しないスパイウェアの被害が多く発生していることを考えれば全体に占める割合は小さい。ちなみに最も多い手口である「フィッシングサイトにより入手したもの」は1,157件とされている。

この文書では「不正アクセス関連行為の関係団体への届出状況について」として「IPA に届出のあったコンピュータ不正アクセス」に関する情報(218件)、「JPCERT コーディネーションセンターに届出があった不正アクセス関連行為の状況」(3,140件)が示されているが、いずれも標的型攻撃に関する記述はない。

これらの機関は被害が深刻化しているものについては下記のような緊急対策情報のページを通じて注意喚起を行うのが一般的であるが、警察庁が平成17年に上記CD-ROM送付による攻撃と平成18年にスパイウェアに対する一般的な注意喚起を行っているほかは、標的型攻撃に関する注意喚起の記述はみあたらない。

■CYBER WARNING(警察庁)
http://www.npa.go.jp/cyber/warning/index.html

■緊急対策情報 一覧(IPA)
http://www.ipa.go.jp/security/announce/alert.html

■注意喚起 & 緊急報告(JPCERT/CC)
http://www.jpcert.or.jp/at/

セキュリティに関する事業を維持・継続していくためには対策が必要とされる「仮想敵」が必要となるわけだが、実在しない被害が存在するかのように表現することだけは避けなければならない。

本件が事実に基づかない情報だとは思わないが、実際の状況が広く認知されていないこのような事象については根拠となる事実の存在について確認された被害件数だけでも示すべきだろう。

カテゴリー: 情報セキュリティ タグ:
  1. 2008 年 3 月 24 日 06:32 | #1

    [IT][セキュリティ]【都市伝説?】標的型攻撃による被害は深刻化しているのか?:武田圭史

    確かに標的型攻撃について、受けたという報道されている数は少ないと思っています。 僕として、標的型攻撃として一番にびっくりしたのは、これでしょうか 不審メ…

  1. トラックバックはまだありません。

CAPTCHA