2014年に露見した三つの重大課題とは、ラックが今年のサイバー事件、事故を総括：登録したら勧誘の電話が掛かってきたぞ→その原因は

　ラックは2014年12月17日、この1年のサイバー事故、事件を総括し、今後どのように対策してくべきかを考える記者説明会を開催した。同社取締役 最高技術責任者（CTO）の西本逸郎氏も登壇し、硬軟を取り混ぜた内容が語られた。

2014年に露見した三つの重大課題とは

　西本氏はまず、犯罪のO2O（Online to Offline）化が進んでいることを指摘した。これまでのように金銭的な目的だけでなく、「リアルな被害」までを狙う攻撃が増えてきている。これまで隠れていた内部犯行も表面化し、単なるスパイ行為が牙をむき始め、「遠隔操作ウイルスのころから感じていたが、単純で分かりやすい筋書きではなく、内部犯行が仕掛けられるようになった」（西本氏）と述べる。

2014年、さまざまな動きが観測された

　西本氏は、「脆弱（ぜいじゃく）性対応のスキームが破たん」「標的型攻撃の常態化」「内部犯行の被害が表面化」したことを2014年の重大課題ととらえる。

　脆弱性対応については、これまで最新のパッチを当て続けることを是としてきたが、「最新にすることで“余計な”機能が追加され、その機能が脆弱性を内包している可能性がある。パッチを当てれば当てるほど脆弱性を抱え込んでしまうことを、われわれは今年学習した」（西本氏）と指摘する。

　一方、最新パッチを当てる／バージョンを最新に保つことにまつわるさまざまなリスクを回避した結果、サポート切れのApache Struts 1が攻撃されたことも記憶に新しい。その現状の中「Apache Struts 1のサポート終了バージョンに対してもパッチを提供したNTTデータの動きは、非常にいい試みなのではないか」と述べた。

　「標的型攻撃の状態化」については、ラックが2014年12月16日に『Cyber GRID View vol.1　日本における、標的型サイバー攻撃の事故実態調査レポート』を発表している。このリポートではマルウェアがより複雑、精巧になっている現状を紹介し、感染したあとの攻撃者の振るまいに注目した内容となっているという。技術レベルの高い攻撃者は同時に複数の感染手法を悪用することに注目し、同一の証明書や同一のIPアドレスを利用している攻撃者をグループとしてとらえ、事案間の関連性をまとめている。このリポートはラックのWebサイトからダウンロードが可能で、英語版も追って公開予定とのことだ。

　内部犯行の被害件数が増えたことについて、ラックは増加したのではなく表面化した、という認識を持っている。それは世の中の流れとして公表する文化が浸透したことに加え、ログの取得やクライアント管理ソフト、フォレンジック製品の導入などにより、報告できる材料が増えたことが要因であるとした。

内部不正の元凶は？ 対策し公表した企業に対してどう接するべきか？

ラック 取締役 最高技術責任者（CTO） 西本逸郎氏

　西本氏はラックのサービスである「サイバー119サービス」での経験から、あくまでラック内の事例として「何らかのサービスに登録したら勧誘の電話が掛かってきたというケースは、100％“内部犯行”。そしてクレジットカードが不正に利用された、というケースは100％“外部犯行”、あるいは“外国人”だ」と指摘する。これは、市場として名簿屋という商売が成立していることの影響が大きいという。「名簿は持ち込めば買ってくれる市場があるが、クレジットカード情報を買ってくれる人はいない」（西本氏）。

　これらの事象に対して、「日本はセキュリティレベルが低い」と各国から指摘される件について、西本氏は「これは単にセキュリティ市場が小さいのでは」と考える。企業のセキュリティ投資が低いことについても、「よくセキュリティを経営課題に、という指摘があるが、経営者であれば人に言われずともやるはず。セキュリティ投資が少ないのはそれなりの理由がある」とコメントする。

　その理由は、脆弱性を積極的に公表する方が、隠す企業より評価が低くなるといったことにあるのでは、と西本氏は述べる。「パスワードリスト型攻撃を受けてしまい、アカウントをハックされたという事象があった場合、これを認識し、公表できるのは、セキュリティ対策をしっかりやっている企業だ。日本では、対策をしてもしなくても情報流出をしたら同じようにたたかれる。そうなると、経営者はまじめに対策しなくなってしまう」（西本氏）。

サイバー攻撃の真の目的を考えると、企業を責めるのは攻撃者の「思うつぼ」に

　また、ソニーピクチャーズに対して現在も行われているサイバー攻撃について西本氏は「恐怖による言論封鎖」ではないかと考えている。重要インフラの破壊などを狙うものではなく、情報流出による圧力を掛けるタイプの標的型攻撃だ。

　西本氏はこの事件と、2013年に韓国で起きた大規模なサイバーテロの関連性を指摘する。「当時もコメントしたが、韓国サイバーテロの本当の狙いは、アメリカに対しての脅しではないかと考えている。韓国の調査の通りこの事件が北朝鮮によるものだとしたら、日本も危ないと考えていた。そこに、ソニーという日系企業が狙われた。攻撃自体ではなく“攻撃者の目的”を阻止しなくてはならない。情報流出を起こした企業に対し、けしからんというのは簡単だが、それは犯人の思うつぼになる。そういう事件を起こした企業に対し、はたしてどこまで国が保護できるか？ という点も考えなくてはならない」（西本氏）。

西本氏による2014年を総括する漢字。内部不正や標的型攻撃などの「牙」が出てきたが、新しい対策の「芽」も出てきた、とまとめた。

質疑応答では「川口洋のセキュリティ・プライベート・アイズ」を連載する川口氏も登壇し、水飲み場攻撃の踏み台になっているサーバーが多いことを指摘。「全国の勉強会へ行って、JPCERTコーディネーションセンターとIPA（情報処理推進機構）のことを必ずアピールしている。これだけでもセキュリティレベルが上がる」と述べた