武田圭史

メディアが「スピアー攻撃」という用語を不用意に使用することによってスピアフィッシング攻撃（Spear Phishing Attack）と標的型トロイの木馬攻撃が混同され混乱が治まらない件について、先の「スピアー攻撃言うなキャンペーン」開催の甲斐もあってかついに日経IT ProのWeb上において改善の兆しが見え始めた。

日経IT Proのセキュリティ・セクションのトップページに以下のようなタイトル文字が表示されている。

「【世界のセキュリティ・ラボから】その攻撃，「標的型」と言い切れますか」 (日経IT Pro, 4/17)

「お～日経IT Proが『標的型』をタイトルに使ってる～」と思ってクリックをすると

「その攻撃，「スピア攻撃」と言い切れますか」　　　の大きなタイトル文字が・・・。(日経IT Pro, 4/17)

まだ更新の作業途中ということかもしれないが、時代の変化とともに定義のあやふやな用語の使用を避けようとする姿勢は高く評価したい。（ありがとうございます。）

この記事本文の内容だが、米国のセキュリティ業界においてもやはり同様に何でもかんでも「Targeted（標的型）」と呼ばれることへの疑問の声があるようで、私が以前から指摘していた内容と同じであり大変興味深い。この中で筆者はある攻撃を標的型(Targeted)と分類する基準として（攻撃対象の）「選り分け(discrimination)」が行われているいることをあげている。私が前のエントリーで書いた「特定の組織・人を対象とする」よりも広い概念となるが、実際に米国では大手企業のCEOなど同一の属性を持つ異なる組織に属する人物を対象とした（選り分けた）攻撃も発生していることからもより適切な判断基準だと思われる。

　特定のユーザーのみを対象とした攻撃について，メディアが見出しを書くときの難しさは十分に理解している。ただ残念なのは，「Targeted」という言葉が多用されるあまり，問題の評価がかなり変わってしまうことだ。

まさにそのとおり。

元記事の方も「スピア攻撃」という文字を「標的型攻撃」と脳内変換しながらご一読いただきたい。

【参考情報】
■その攻撃，「スピア攻撃」と言い切れますか(IT Pro, 4/17)
http://itpro.nikkeibp.co.jp/article/COLUMN/20080415/299058/?ST=security

■スピアー攻撃言うなキャンペーン開催中！(武田圭史, 4/15)
http://motivate.jp/archives/2008/04/post_150.html