武田圭史

「最近憧れのキャラ武田先生のBlogの更新が止まっている。ファンとしては心配だ。」

日本のインターネットを終了しますか？：武田圭史で武田先生のエントリーが途絶えている・・・
（まっちゃだいふくの日記★とれんどふりーく★, 10/11）

ぁ・・・ありがとうございます。恐縮です。
たぶんまだ終了しません・・・。

自宅の高木さんが携帯やWebの固有IDの問題について日記エントリーの大作を完成された。
私も白浜での議論の場にいた一人であり大変興味深く読ませていただいた。

当日の議論より疑問のまま残っていて結局この日記のエントリーでも明らかにならなかったのは、

１　携帯で固有IDを送信するようになるとパソコンでも同様のことが行われるようになるということの信憑性　
（さすがにそれは現実的に起こり得ないんじゃないとか。また楽観的すぎると怒られそうだけど。）

２　仮に上記の状況が実現したとして「実際どんな被害が出るの？」という疑問
　（問題の大きさを理解する上で。）
　
高木さんは「実際どんな被害が出たの？」という質問があったように書いているけど、このときの質問は「実際どんな被害が出る」（と想定される）？という質問だった。被害が出ないから問題がないということを言っているのではなくて、想定される被害を明らかにすることで問題の大きさや必要な対策が明らかになるからだ。

１の状況が望ましくないことはセキュリティやプライバシーに関わるものなら当然理解できるが、現実問題、利便性やコストと天秤にかけられたときに、この問題を広く様々な立場の人に説明するにあたっては２を明確に伝える必要がある。これらの疑問にきちんと答えられれば、高木さんの言うように「「PCもケータイ同様に!」という勢力に対して、ID送信の何が問題で、どうしてインターネットではそれをやってはいけないのか、いつでもすぐに30秒で説明できる」だろう。

高木さんは固有IDによる被害の例として「広告被害」と「ワンクリック不当料金請求サイトを訪れてしまった際に、住所氏名を示して請求されることが起こり得る。 」ことを挙げているけが、それが「「日本のインターネットが終了」するということなのだろうか？

（・・・もちろん、これらは発生すべきでない事象であることには間違いないが、インターネットが終わるというからには、もっと大きな問題をはらんでいるんじゃないかという意味。）

P.S.この手の話を冷静に議論できればよいのですが、どうも感情的なものが入りがちなようで、まぁそういう方はぜひお手柔らかにお願いします。いや感情こそが問題の本質なのかもしれませんが。

P.S.2 問題があるようにも見える技術が使われたりもしながらも試行錯誤の上、良いもの、受け入れられるものが残っていくというのがインターネットのスタイルかもしれません。

P.S.3 「契約者固有ID送信時代の安全なケータイWeb利用リテラシ」として「（可能な場合）固有IDを通知しないよう設定して使用する」というのがあってもよさそうだが・・・。少なくとも私は日常的に通知しない状態で使用しているが今のところ問題も不便なケースも発生していない。

P.S.4 一般に欧米は素晴らしく日本がいかに駄目かという話をすると受けるのだが、米国での生活を経験したものとしてはことプライバシーに関しては相当疑問点が残る。そういった事例の一つとして（昔の）トラッキングクッキーを使ったdoubleclickの話やChoicePointのような企業の存在を持ち出した。米国ではISPが「ユーザーのインターネット閲覧状態を監視して行動を分析し，検索内容や訪問したWebサイトに関連のあるターゲット広告を提供する。」なんてことを今でもやっている。もちろん海外で様々な問題が先に発生するので、その恩恵を日本がこうむっているということについては同意するが・・・。

P.S.5 英国でも「ISPネットワーク経由で収集したユーザーのサイト閲覧動向データを基に、ユーザーの興味に合った広告を表示するという技術。」を持つ企業が「BT、Virgin Media、Carphone Warehouse Group傘下のTalkTalkとの提携を発表」みたいなことになってる。

■参考情報
日本のインターネットが終了する日（高木浩光＠自宅の日記, 7/10）
http://takagi-hiromitsu.jp/diary/20080710.html#p01

日本のウェブアプリケーションセキュリティのの祭典 WASForum Conference が今週末に開催されます。残席わずかで、そろそろ参加申込が締め切られそうなので興味のある方はお早目にどうぞ。

金曜はセキュリティ侵害の事件当事者の方々の講演もあり大変興味深いです。私は会議の都合で途中抜けなければならず、全部聞けないのが非常に悔やまれます。土曜日の方もウェブセキュリティの最新の動向などが聞けそうで楽しみにしています。

ウェブアプリケーションのイベントだけに申し込みがウェブからでできるようになったのはよかったのだけど、フィッシングサイトですらＳＳＬが導入されるこの時代、EV-SSLでもなくオレオレ証明書でもなく生httpで勝負するところが自信が感じられて素敵です。

【イベント】
■7月4,5日、WASForum Conference 2008開催
http://wasforum.jp/conf2008/

■デファクトCIO、CTOに捧げる、WEBサイトの危機におけるガバナンスと品格
http://wasforum.jp/conf2008/74-cio-ct-day/

12:00開場 13:00スタート 17:00閉会
コンファレンススクエアエムプラス1Fサクセス(東京都千代田区、丸の内)
参加費用:5000円(税込)

13:00-13:15「Web Application Security Forum Conference 2008開催挨拶」
講演者：三井物産セキュアディレクション　佐々木博

13:15-14:00「ＣＩＯが為すべきITマネージメントとセキュリティ対策」
講演者：サイオステクノロジー株式会社　執行取締役 CTO 国内事業統括補佐　兼 OSSテクノロジーセンター長　山崎 靖之

14:00-14:45 「不正アクセス事件から学んだこと」
講演者：株式会社カカクコム　取締役COO　安田幹広

15:00-15:45「Web攻撃の脅威に立ち向かうには」
講演者：株式会社サウンドハウス　代表取締役社長　中島尚彦

15:45-16:30「インターネットとセキュリティに関する企業の責任 」
講演者：ライフネット生命保険株式会社　CIO 兼 システム部長　中川達彦

16:45-17:45 パネル・ディスカッション「デファクトCIO、CTOのためのWEBサイトにまつわるITガバナンスの品格」
モデレータ：　株式会社 ユービーセキュア　目崎匠
パネラー:
サイオステクノロジー株式会社 山崎靖之
株式会社カカクコム　安田幹広
株式会社サウンドハウス　中島尚彦
ライフネット生命保険株式会社　中川達彦
奈良先端科学技術大学院大学　門林雄基
独立行政法人産業技術総合研究所　高木浩光

17:45-18:00 「Web Application Security Forum Conference 2008閉会挨拶 ＆ 2nd Day 予告」
三井物産セキュアディレクション　佐々木博
株式会社テックスタイル　岡田良太郎

■7/5 Developers DAY – 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス
http://wasforum.jp/conf2008/75-developers-day/

9:30開場 10:00スタート 17:00閉会
時事通信ホール(東京都中央区、東銀座)
参加費用:1000円(税込)

Morning Session:
今どきのWebセキュリティ

チェア: 独立行政法人産業技術総合研究所 高木浩光
10:00 – 10:30 EV SSLの意義と課題
有限責任中間法人 日本電子認証協議会 代表理事 秋山 卓司

10:30 – 11:00 SQLインジェクション対策再考
HASHコンサルティング株式会社 代表取締役 徳丸 浩

11:00 – 11:30 携帯電話向けWebのセキュリティ
グリー株式会社 取締役CTO 藤本 真樹

11:30 – 12:00 OpenIDのセキュリティ
サイボウズ・ラボ株式会社 山口 徹

Afternoon Session:
セキュリティ デベロップメント “ライフサイクル”：裏側と表側

チェア:マイクロソフト 高橋正和
13:00-14:00 セキュリティの作り込みはどのように行われているのか？
講演者：マイクロソフト 加治佐 俊一 CTO, ソニー 松並勝

14:00-15:00 Security Wars Episode III:
講演者：高橋郁夫弁護士

15:15-17:00 Webセキュリティのマルプラクティス 思い込みによるソフトウェアエラーをなんとかしろ
講演者：門林雄基、岡田良太郎

5/28(水）なにかと話題のPCI DSSに関するセミナーで講演することになりました。

満員御礼だったのですが定員を拡張したそうです。

「来場された方、全員に「日経コンピュータ」定期購読（1年間分）をプレゼント」だったそうで、、、

それは太っ腹すぎでしょう・・・。

（今から申し込んでもプレゼントはないようです。すみません・・・。）

■「PCIデータセキュリティ基準　完全対策」出版記念セミナー（ネットワンシステムズ株式会社, 5/28, 海運クラブ）
http://www.netone.co.jp/seminar/tfa9q1000000879b.html

以前より想定されていた不正なハードウェア混入による情報セキュリティの脅威が現実味を帯びてきた。

「FBI Criminal Investigation Cisco Routers」と題されたレポートが以下のサイトに掲載されており、パワーポイントファイルのダウンロードも可能だ。（ファイルが正規のもので安全かどうかは不明）

資料に掲載されている偽シスコ製品はルータ(1000, 2000シリーズ)、スイッチ（WS-C2950-24, WS-X4418-GB）、GBIC(WS-G5483, WS-G5487)、WIC(VWIC-1MFT-E1, VWIC-2MFT-G703, WIC-1DSU-T1-V2)。2002年頃からその存在が確認されているようだ。バックドアやサービス妨害の潜在的な脅威が考えられるが、これだけの時間を経てリモートから攻撃可能な手段が確認されていないということは、今のところ単なる低品質の偽ブランド製品として出荷されたということか（FBIの調査能力を信用するなら）。同資料では米国政府の調達方法とCiscoが直販を行わないなどの条件が組み合わさり、このような偽製品が混入が発生しやすいと政府調達のサプライチェーンに関する問題点を指摘している。

我が国にも同様の偽シスコが上陸していないとも限らない。一部製品(Cisco1721)の偽物の見分け方も記載されているので入手経路にかかわらず確認しておいた方が良いだろう。

【参考情報】
FBI Fears Chinese Hackers Have Back Door Into US Government & Military(abovetopsecret.com, 4/21)
http://www.abovetopsecret.com/forum/thread350381/pg1

http://www.abovetopsecret.com/forum/thread350381/pg2

■中国製のシスコ製品のニセモノが米政府機関で多数発見、FBIが本格捜査に着手(technobahn, 4/23)
http://www.technobahn.com/news/2008/200804230005.html

メディアが「スピアー攻撃」という用語を不用意に使用することによってスピアフィッシング攻撃（Spear Phishing Attack）と標的型トロイの木馬攻撃が混同され混乱が治まらない件について、先の「スピアー攻撃言うなキャンペーン」開催の甲斐もあってかついに日経IT ProのWeb上において改善の兆しが見え始めた。

日経IT Proのセキュリティ・セクションのトップページに以下のようなタイトル文字が表示されている。

「【世界のセキュリティ・ラボから】その攻撃，「標的型」と言い切れますか」 (日経IT Pro, 4/17)

「お～日経IT Proが『標的型』をタイトルに使ってる～」と思ってクリックをすると

「その攻撃，「スピア攻撃」と言い切れますか」　　　の大きなタイトル文字が・・・。(日経IT Pro, 4/17)

まだ更新の作業途中ということかもしれないが、時代の変化とともに定義のあやふやな用語の使用を避けようとする姿勢は高く評価したい。（ありがとうございます。）

この記事本文の内容だが、米国のセキュリティ業界においてもやはり同様に何でもかんでも「Targeted（標的型）」と呼ばれることへの疑問の声があるようで、私が以前から指摘していた内容と同じであり大変興味深い。この中で筆者はある攻撃を標的型(Targeted)と分類する基準として（攻撃対象の）「選り分け(discrimination)」が行われているいることをあげている。私が前のエントリーで書いた「特定の組織・人を対象とする」よりも広い概念となるが、実際に米国では大手企業のCEOなど同一の属性を持つ異なる組織に属する人物を対象とした（選り分けた）攻撃も発生していることからもより適切な判断基準だと思われる。

　特定のユーザーのみを対象とした攻撃について，メディアが見出しを書くときの難しさは十分に理解している。ただ残念なのは，「Targeted」という言葉が多用されるあまり，問題の評価がかなり変わってしまうことだ。

まさにそのとおり。

元記事の方も「スピア攻撃」という文字を「標的型攻撃」と脳内変換しながらご一読いただきたい。

【参考情報】
■その攻撃，「スピア攻撃」と言い切れますか(IT Pro, 4/17)
http://itpro.nikkeibp.co.jp/article/COLUMN/20080415/299058/?ST=security

■スピアー攻撃言うなキャンペーン開催中！(武田圭史, 4/15)
http://motivate.jp/archives/2008/04/post_150.html

同様の攻撃は昨年より継続しており、米国内の組織に対しても同様の傾向が観測されている。
攻撃対象は幅広いが、攻撃者は政治、軍事、外交方面などに関心があるかこれらに関心を持つユーザに関心がある模様。送付対象が広い場合にこれを標的型攻撃と呼ぶか否かについては議論の余地はあるが、何らかの意図を持って行われている可能性は高いと思われる。

当面の対策として以下が考えられる。

・関連のメールの特徴情報（送信元IP、添付ファイル、タイトル、本文）を共有しサーバーのログ等から類似したメールが組織に届いていないかを確認する。脅威レベルが高いと思われる組織では、これら情報に基づくフィルタリングルールを設定するか必要に応じて添付ファイル等の使用を制限することなどを検討する。

　例）2008/4/16 12:00 現在の公知情報

　　送信元IP： 84.18.200.200
　　From: 防衛省
　　Subject: 防衛省所管公益法人一覧

　　ソース：http://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/04.html#20080414_virus

　　※送信元IP： 84.18.200.200については英国にあるFree VPNを使用している模様

・同様にトロイの木馬実行時にみられる振る舞いに関する情報（ 3233.org ドメインへのアクセスなど　）を共有しルータ、ファイアウォール、IDS/IPSなどのログを確認また、これらのドメインへのアクセスを制限または監視する設定を行う。

　例）2008/4/16 12:00 現在の公知情報

　接続先：　cyhk.3322.org
　　　　　　　hi222.3322.org

　ソース：http://www.symantec.com/enterprise/security_response/weblog/2008/04/email_spoofed_from_japanese_go.html”>http://www.symantec.com/enterprise/security_response/weblog/2008/04/email_spoofed_from_japanese_go.html”>http://www.symantec.com/enterprise/security_response/weblog/2008/04/email_spoofed_from_japanese_go.html

・上記のような情報を広く公知しユーザを含め注意を促す。

※対策情報の共有のため関連情報を入手された方は、JPCERT/CCやIPAなどしかるべき機関への情報提供にあわせ、本ページ右上にあるメールアドレスまでご連絡いただければ幸いです。

【関連情報】
■Japanese Companies Targeted(The Dark Visitor, 4/14)
http://www.thedarkvisitor.com/2008/04/japanese-companies-targeted/

■Chinese hackers target US defense contractors(The Dark Visitor, 4/11)
http://www.thedarkvisitor.com/2008/04/chinese-hackers-target-us-defense-contractors/

■The New E-spionage Threat(Business Week, 4/10)
http://www.businessweek.com/magazine/content/08_16/b4080032218430.htm?chan=magazine+channel_top+stories

■トロイの木馬が埋め込まれたMicrosoft Wordファイルによるターゲット攻撃(トレンドマイクロ, 2008/2/1)
http://blog.trendmicro.co.jp/archives/1287

■福田首相のＨＰ閉鎖　「なりすましメール」出回る(Asahi.com, 2007/10/3)
http://www.asahi.com/digital/internet/JJT200710030005.html

■「福田首相」メール、添付ファイルにマルウェア仕込む(ITmedia, 2007/9/26)
http://www.itmedia.co.jp/enterprise/articles/0709/26/news021.html

■福田新首相を騙った不審なメール（トレンドマイクロ, 2007/9/28）
http://blog.trendmicro.co.jp/archives/1219

■福田新首相の名を騙るメールに注意、Symantecが警告(InternetWatch, 2007/9/26)
http://internet.watch.impress.co.jp/cda/news/2007/09/26/16986.html

■New Prime Minister, New Trojan(symantec, 2007/9/25)
http://www.symantec.com/enterprise/security_response/weblog/2007/09/new_prime_minister_new_trojan.html

■福田新首相をかたるウイルスメールがさっそく出現(IT Pro 2007/9/25)
http://itpro.nikkeibp.co.jp/article/NEWS/20070926/282955/?ST=security

■2006年上半期データセキュリティ総括（日本エフセキュア株式会社, 2006/6/30）
http://www.f-secure.co.jp/news/200606301/

「3322.org」は、中国の無料ホスト・サービスです。誰でも、「3322.org」に自由なホスト名を登録することができ、そのホスト名を任意の指定したIPアドレスに向けるサービスです。他にも、「8866.org」、「2288.org」、「6600.org」、「8800.org」、「9966.org」など同様のサービスがあります。Eメールを入力したWord文書の出先に疑いを感じる場合は、自社のゲートウェイ・ログをチェックし、どのようなトラフィックがあるかを確認することを推奨します。

■Free VPN account in UK,3/10(A Web Resource Seeker, 3/10)

http://www.iwebseeker.com/free-vpn-proxy/free-vpn-account-in-uk-3-10-2008/

メールの送信元として使用される可能性があるIPアドレス（予想：上記リストから関連しそうなものをピックアップ）

61.116.84.199

66.186.35.205
66.186.59.162
66.186.59.165
66.186.59.170
66.186.59.180
66.186.59.190
66.186.59.194
66.186.59.200
66.186.59.210
66.186.60.194
66.186.61.18
66.186.61.20

67.43.158.125
67.198.195.67
67.198.192.77
67.228.31.80
67.228.31.81
67.228.31.82
67.228.31.83
67.229.127.27

74.86.2.219
74.86.61.224
74.86.61.225
74.86.61.226
74.86.61.227
74.86.88.16
74.86.88.17
74.86.88.18
74.86.88.19
74.86.88.20
74.86.90.64
74.86.90.65
74.86.90.66
74.86.100.61
74.86.177.64
74.86.177.65
74.86.177.66
74.86.177.67
74.86.190.112
74.86.190.113
74.86.190.114
74.86.190.128
74.86.190.129
74.86.190.130
74.86.190.168
74.86.190.169
74.86.190.170
74.222.130.115
74.222.189.7

84.18.200.200
84.18.200.203
84.18.200.204
84.18.200.207
84.18.200.210
84.18.200.211
84.18.200.212

89.145.80.1
89.145.80.2
89.145.80.3
89.145.80.4
89.145.80.5
89.145.80.6
89.145.80.7
89.145.80.8
89.145.80.9
89.145.80.10
89.145.80.11
89.145.80.12
89.145.80.13
89.145.80.14
89.145.81.1
89.145.81.2
89.145.81.3
89.145.81.4
89.145.81.5
89.145.81.6
89.145.81.7
89.145.81.8
89.145.81.21
89.145.81.22
89.145.81.23
89.145.81.24
89.145.81.25
89.145.81.31
89.145.81.32
89.145.81.33

209.11.242.91

210.245.219.250

※リストは網羅的ではありません。また、これらのアドレスから送信されたメールが全て危険というわけではありません。

ここ数日、日本語の本文とともにバックドアなどをしかけるための悪意のある添付ファイル（トロイの木馬）が日本のメールアドレスに広く送付されているようである。

この件については当初京大の上原先生の「標的型攻撃?(Tetsu=TaLowの雑記, 4/9)」というエントリーで見て知ったのだが、その後、龍谷大の小島先生のところでも同様の攻撃が確認され、「今日のウイルスメール (2008.04.14) (龍谷大, 4/14)」というエントリーでメールの本文がヘッダの一部とともに公開された。

メールの本文の内容及び送信者、受信者の間に密接な関係がなく、受信者が当該メールを受信する必然性がないと思われることから、トロイの木馬が偽装メッセージとともに大量送信される海外ではよく見られるたぐいの攻撃であると考えられた。

その後シマンテック社のブログ（英文）に「Email Spoofed from Japanese Government Agency Targets Japanese Companies(Symantec, 4/14)」という記事が掲載され同様の攻撃が複数の組織から報告されていることが確認された。添付された実行ファイルは、マシンにキーロガーとバックドアを設置するものだったようだ。

一連のインシデントについてはITmediaと日経IT Proが報じているが、ITmediaがSymantecのブログエントリーに基づき事実を淡々と解説するに留めているのに対し、日経IT Proの方はこの攻撃について「日本の企業を狙った『スピアー攻撃（標的型攻撃）』とみられる。」といささか過激な表現を用いている。

ニュースソースと思われる symantec社のブログによれば「possible targeted spam attack against several Japanese companies.」と表現されており、これを日経IT Proでは「日本の企業を狙った『スピアー攻撃（標的型攻撃）』とみられる。」と訳したと思われる。

最初に述べているようにこの攻撃は大学に対しても送付されていることから、比較的広い範囲に対して送付されていると思われ、この攻撃を標的型攻撃と決めつけるのは時期尚早と思われる。symantec社も「possible targeted spam attack」と微妙な表現を用いている。

今回のように多くのメールアドレスに対してそれ自体は感染拡大能力を持たないトロイの木馬を送付する攻撃は古くから行われており古典的な攻撃である。この場合同じトロイの木馬は基本的に何度も使用しないため、ウイルス対策ソフトウェアの定義ファイルにマッチせず検知することが困難になる。

攻撃対象を限定せず広範囲にトロイの木馬が送付されているとすれば英語でいう 「massive Trojan attack（大規模トロイ攻撃）」が適切な表現であり、「spam Trojan attack（スパム型トロイの木馬攻撃）」などと呼ばれることもある。特定組織を対象として巧妙にバックドアなどを組織内送り込む標的型トロイの木馬攻撃(Targeted Trojan Attack)とは、大きく性質の異なるものである。

最近は標的型攻撃という呼び方が定着してきていて、「スピアー攻撃」などと出所の定かではない少々恥ずかしい呼び方をする人はかなり減ってきているが、日経IT Proがいつまでも「スピアー攻撃」という表現を使用しているために混乱が治まらないでいる。

結果として、政府関連の報告書の中にも「標的型攻撃（スピアー攻撃とも呼ばれる）」などと毎回書かなければならないし、日経IT Pro自身も記事の中で「スピアー攻撃（標的型攻撃）」などと両方の表現を併記しており余計な文字数によって日本のネットワーク帯域を圧迫する原因となっている。

しかし今回のようなものは現段階では「標的型攻撃」とはいいがたく、このような報道は混乱と誤解を招きかねず、注意が必要だ。

以下、日経IT Proではスピアー攻撃と十把一絡げにされているが、海外では区別されていて対策を取る場合にも区別が必要な攻撃手法をあげてみる。（他にもあるかもしれない・・・。）

【Targeted Attack = 標的型攻撃】
特定組織・人を対象とした攻撃

【Targeted Trojan Attack = 標的型トロイの木馬攻撃】
特定組織・人を対象としトロイの木馬を使用した攻撃

【Spear Phishing Attack = スピア・フィッシング攻撃】
特定組織・人を対象としフィッシングを使用した攻撃

【massive Trojan Attack/spam Trojan Attack = 大規模トロイの木馬攻撃/スパム型トロイの木馬攻撃】
トロイの木馬を大量のメールアドレスに送信する攻撃

今回のケースについては受信範囲を精査し、それらの間に何らかの共通性が見られれば、明確な意図を持った本当の標的型攻撃であるという可能性がないわけではない。またsymantec社が「possible targeted spam attack」と表現しているように、ある程度攻撃範囲を限定した形での「標的型スパム型トロイの木馬攻撃」の可能性が高い。今後一般家庭のユーザなどに対しても同様のメールが届くようであれば単なる「スパム型トロイの木馬攻撃」ということになるだろう。

いずれにせよ今の段階で標的型攻撃と断言するのは時期尚早であるし、スピアー型などという曖昧模糊とした表現の使用は今後も含め避けるべきだろう。

【参考情報】
■標的型攻撃?(Tetsu=TaLowの雑記, 4/9)
　http://d.hatena.ne.jp/tetsutalow/20080409#p2

■またきたよ(Tetsu=TaLowの雑記, 4/11)
　http://d.hatena.ne.jp/tetsutalow/20080411#p1

■今日のウイルスメール (2008.04.14) (龍谷大, 2008.04.14)
　http://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/04.html#20080414_virus　

■龍谷にもきたらしいよ(Tetsu=TaLowの雑記, 4/14)
　http://d.hatena.ne.jp/tetsutalow/20080414#p1

■Email Spoofed from Japanese Government Agency Targets Japanese Companies(Symantec, 4/14)　http://www.symantec.com/enterprise/security_response/weblog/2008/04/email_spoofed_from_japanese_go.html

■日本政府をかたる偽メール、日本企業がターゲット(ITmedia, 4/15)
　　http://www.itmedia.co.jp/news/articles/0804/15/news019.html

■日本企業を狙った「スピアー攻撃」、日本政府からのメールを装う(日経IT Pro, 4/15)
　　http://itpro.nikkeibp.co.jp/article/NEWS/20080415/299063/

日本の電子投票のセキュリティについて分析した昨年の研究プロジェクトの成果がカーネギーメロン大学のトップページで紹介されました。

■e-Voting in Japan, Student Research Alters Course(Carnegie Mellon University)
http://www.cmu.edu/

（一定期間後は下記にアーカイブされます。）
http://www.cmu.edu/homepage/global/2008/winter/e-voting-in-japan.shtml

「近年の標的型攻撃に関する調査研究－調査報告書」という報告書がＩＰＡから公開された。

■近年の標的型攻撃に関する調査研究－調査報告書－（IPA, 3/18）
http://www.ipa.go.jp/security/fy19/reports/sequential/index.html

このページの中で気になるフレーズがあった。

「近年、特定の企業あるいは組織イントラネット内のパソコンを標的とした「標的型攻撃」により、個人情報等の機密情報が漏洩するなどの被害が深刻化しています。」

標的型攻撃についてその試みについては多数確認されており多くの報道が行われている。しかし、それによって実際に日本国内で発生した被害（攻撃をされただけではなく実際に被害を受けるに至ったもの）についての報道は私が知る限り下記２件のみである。

■「防ぎようがなかった……」、ネット銀不正引き出しの被害者語る(ITmedia, 2005/7/22)
http://www.itmedia.co.jp/enterprise/articles/0507/22/news089.html

■郵送CD-ROMで不正送金、千葉銀行の名前をかたる（ITmedia, 2005/11/02）
http://www.itmedia.co.jp/news/articles/0511/02/news036.html

仕事柄情報セキュリティに関わる多くの技術者や実務者と接する機会があり、ことあるごとに標的型攻撃の被害実態について聞くようにしているが、一様にその脅威の存在については言及するものの、実際に被害を確認したという人物は極めて少数である。多くは「・・・という話を聞いた。」という伝聞レベルである。

情報セキュリティの被害実態に関するある程度信頼度の高い情報源として、国家公安委員会、総務大臣、経済産業大臣が不正アクセス禁止法に基づき毎年発表している不正アクセス行為の発生状況に関する統計がある。

■不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況（2008/2/29）
http://www.npa.go.jp/cyber/statics/h20/pdf40.pdf

このうち警察に関する統計は「平成19年中に全国の都道府県警察から警察庁に報告のあった不正アクセス行為を対象とした。」とあるように、実際に警察に届けられた被害に基づくものであり、伝聞などの情報に比べ信ぴょう性が高いと考えられる。

この警察に関する統計においては「標的型攻撃」による被害の発生については一言も触れられていない。検挙に至った1,438件の内訳が「不正アクセス行為に係る犯行の手口の内訳」に示されているが、この中には標的型攻撃という記述はなく、「スパイウェア等のプログラムを使用して識別符号を入手したもの」55件がある程度である。標的型攻撃は「スパイウェア等のプログラムを使用して識別符号を入手したもの」に含まれると考えられるが攻撃対象を限定しないスパイウェアの被害が多く発生していることを考えれば全体に占める割合は小さい。ちなみに最も多い手口である「フィッシングサイトにより入手したもの」は1,157件とされている。

この文書では「不正アクセス関連行為の関係団体への届出状況について」として「IPA に届出のあったコンピュータ不正アクセス」に関する情報（218件）、「JPCERT コーディネーションセンターに届出があった不正アクセス関連行為の状況」(3,140件)が示されているが、いずれも標的型攻撃に関する記述はない。

これらの機関は被害が深刻化しているものについては下記のような緊急対策情報のページを通じて注意喚起を行うのが一般的であるが、警察庁が平成17年に上記CD-ROM送付による攻撃と平成18年にスパイウェアに対する一般的な注意喚起を行っているほかは、標的型攻撃に関する注意喚起の記述はみあたらない。

■CYBER WARNING（警察庁）
http://www.npa.go.jp/cyber/warning/index.html

■緊急対策情報 一覧（IPA）
http://www.ipa.go.jp/security/announce/alert.html

■注意喚起 & 緊急報告（JPCERT/CC）
http://www.jpcert.or.jp/at/

セキュリティに関する事業を維持・継続していくためには対策が必要とされる「仮想敵」が必要となるわけだが、実在しない被害が存在するかのように表現することだけは避けなければならない。

本件が事実に基づかない情報だとは思わないが、実際の状況が広く認知されていないこのような事象については根拠となる事実の存在について確認された被害件数だけでも示すべきだろう。