2ちゃん、ニコ動、外務省。次の標的は貴社のサイト!?:情報マネージャとSEのための「今週の1冊」(64)
サイバー攻撃の脅威は身近なところに存在する。あなたの会社がいつターゲットにされても決しておかしくはないのだ。
サイバー・クライム
・著=ジョセフ・メン「これからおまえらのサイトを攻撃する。今日の正午までに4万ドル送金してもらおうか。金を払えば今後1年間は見逃してやろう。支払いに応じなければ向こう5カ月間、週末ごとに攻撃を仕掛けてやる。そうなったら廃業は免れないぞ」――
脅迫メールの受信後、すさまじい勢いでDDoS攻撃が始まった。10分ほどでトップレイヤのPCは使い物にならなくなり、ベットクリス社のWebサイトはアクセス不能に陥った。攻撃の余波はインターネットサービスプロバイダにも及び、プロバイダ側はやむなくベットクリス社をネットワークから隔離。一時的なサイト閉鎖に追い込まれた同社は、1日当たり最大500万ドルの被害を負うことになった。だが犯人は、同社の動揺をせせら笑うかのようにメールを送り付けてくるのだった。「もう少しだけ時間をやるから上納金を用意しろよ。早くしないと金額を吊り上げるぞ」
本書、「サイバークライム」は国際規模で頻発しているサイバー攻撃の実態を明かしたノンフィクション作品である。冒頭は中央アメリカ南部に位置する“ギャンブル大国”コスタリカでスポーツ賭博を運営するベットクリス社で実際に起こった事件だ。
DDoS攻撃とは、「インターネット上にウイルスをばらまき、世界中の膨大な数のパソコンを遠隔操作できる状態に変え」、それらを使ってターゲットのWebサイトにアクセス、大量のトラフィックを集中させて機能をパンクさせる攻撃手法だ。Webサイトのセキュリティホールに対する攻撃なら、セキュリティホールを修正すればまだ対応できるが、この「DDoS攻撃の場合にはWebに弱点がなくても攻撃の被害を受けてしまう。シンプルながら、きわめてたちの悪い攻撃法」なのである。そして近年、このDDoS攻撃をはじめとするサイバー攻撃が世界規模で頻発しているのだ。
本書ではこうしたサイバー攻撃の実態をストーリーとして描写。カリフォルニアに住むコンピュータ・セキュリティの専門家、バーレット・ライアンが、ベットクリス社の幹部らとともに、本格的に犯人調査に乗り出す様をドラマチックに描いている。特に目を引かれるのは、サイバー攻撃によって企業が受ける被害や、対策の苦労、難しさを極めて具体的にまとめている点だ。本書を読めば、ストーリー展開を楽しみながらも、言葉だけのものになりがちな「サイバー攻撃」の身近さ、恐しさを体感できるはずだ。
実際、ベットクリス社と同様の事件はこの日本でも起こっている。例えば、ネット上でゲームサイトを運営するある企業の場合、「今から攻撃を開始する。被害を受けたくなければ100万円払え」という脅迫メールが届き、その直後からWebサイトが高負荷でダウンしたという。他にも「2ちゃんねる」や、オンラインゲームの「ファイナル・ファンタジー」「ラグナロクオンライン」、ドワンゴが運営する「ニコニコ動画」、外務省などもDDoS攻撃を受けた過去がある。決して遠い世界の出来事などではないのだ。
ただ、本書が最も強く訴えているのは、サイバー攻撃に対する危機感を持つとともに、仮にターゲットにされても「決して要求に応じてはいけない」というメッセージだ。例えばベットクリス社の場合、「地道な作業に心血を注ぎ、さらに2週間の試行錯誤を経て」、ようやく攻撃を遮断し、Webサイトをほぼ正常な状態にまで戻した。だが、犯人の最初の要求額は4万ドルであったのに対し、セキュリティ対策に掛かったコストは実に100万ドル近くにまで膨らんでいた。
「おまえらはとんだ間抜けだな」――犯人からは負け惜しみのようなメールが届くのだが、ベットクリス社のCEO、ミッキー・リチャードソンは「いや、俺の判断は正しかった」と自分に言い聞かせるのだ。「このセキュリティ対策がサイバー犯罪者へのメッセージとなり、『あそこは面倒だ』と思わせることにつながる可能性が高い」。今回の対策によって「巨大なデータ処理容量を手に入れたし、社内の結束も高まった」――
これは日本でも同じだ。先のオンラインゲーム会社に寄せられた脅迫の要求額は100万円。同社の場合、1日の売り上げが数百万円に達する日もあり、販路がインターネットしかない以上、100万円ほどなら「みかじめ料として納めるのも経営判断としては妥当……」と判断してしまう危険性も十分にあった。だが攻撃に屈することなく、サーバ増強やチューニングを続け、脅迫に打ち勝ったのである。同社の社長は「社員の団結力が高まっただけでなく、顧客からの信頼も勝ち取り、売り上げ増加にもつながるなど、最終的には脅迫に応じずに良かった」とコメントしたという。ただ「サイバー空間の中では警察は頼りにならない」とも感じたそうだ。
セキュリティ対策は守りの施策であり、収益向上に寄与する取り組みではないことから消極的になりがちな傾向も強い。だが、インターネットが浸透し、ネットワークを介して業務を行うことが当たり前になっている今、自分の会社がいつ攻撃対象にされてもおかしくない。そして実際に攻撃され始めてから慌てても、あとの祭りなのである。本書に描かれたリアルな被害体験から、セキュリティ対策に対する認識を、もう一度あらためておいてはいかがだろうか。
- 人はなぜ不正を働くのか?
- なぜIKEAは世界中で支持されるのか
- 今こそ「メディア」を考える
- 部下を信じ、尊敬する
- ご機嫌取りになれ
- “暗い未来”に漫然と向かわないために
- 1つの行動が社会を変革する
- あなたには確固たる「ミッション」があるか?
- 「会社に行きたくない」人ほど会社に依存している
- 失敗の2大パターンは“精神論とお役所仕事”
- コミュニケーションは、ツールではなく人が行うもの
- 社員が疲弊している会社は、経営層とITに問題あり
- ロジカルシンキングで成果が出ない訳
- 手段ばかりを求めていると、結果は出せない
- 「技術へのこだわり」という日本企業の根深い病
- 日本軍とまったく同じ、日本企業の“敗戦理由”
- “技術だけ”では、開発プロジェクトは失敗する
- 断捨離で、業務とシステムはもっと快適になる
- 仕事でモメたくない人のための教科書
- その油断と慢心が“炎上”を招く
- 本当は怖いフェイスブック
- 組織も自分もダメにする「自分大好き」という病
- 災害対策、コスト削減、システム改善は全て同じ問題
- あなたなら、自社システムをどう攻撃する?
- “想定外”から1年、見て見ぬふりはしていませんか?
- ナイトライダーも示唆する人とシステムのあるべき関係
- アップルが成功し、ソニーが失敗した理由
- 貴社のビジネス、ITシステムに“マインド”はあるか?
- 何のために働くのか? その回答はシンプルそのものだ
- 事故を起こす企業の特徴は、「責任者が不明」
- スマホ導入は、セキュリティポリシー設定がキモ
- 失敗は、「簡単なこと」「当たり前のこと」で起こる
- ITがどれほど進展しても、経営の基本は変わらない
- コピペやお絵かきが得意な人は“中毒”の疑いあり
- 情報は、人間関係があって初めて有効に活用できる
- “顧客”や“ユーザー”との関係作りを見直そう
- システム導入・浸透のポイントは“楽しさ”にあり
- “当たり前”を覆すチャンスはまだまだ埋まっている
- ソーシャルメディア・リテラシが収益を左右する
- 技術者はアーティストであり、製造業者ではない
- 分析するのは「ツール」ではなく「人」である
- ブランドは、消耗品である
- 当然のことを当然にこなすための指南書
- リスクを知っていてこそ、スマホは使いこなせる
- 個人でも企業でも、“ナンパ野郎”はウザいだけ
- 「見える化」だけでは、ビジネスは進まない
- 2ちゃん、ニコ動、外務省。次の標的は貴社のサイト!?
- あなたの会社は「突然死」の危機にさらされている
- BCPは、業務部門と情シスが連携して初めて成功する
- 仕事や人生、そして復興にも、秘策はない
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
- 生成AIは便利だが“リスクだらけ”? 上手に使いこなすために必要なこと
ITmediaはアイティメディア株式会社の登録商標です。