かつて「セキュリティが脆弱な国」とさんざん非難されてきた日本企業は、ネットワークの整備が進んだ2000年ごろから、急速にセキュリティポリシーの策定やファイアーウォールの導入などを進めるようになった。セキュリティポリシーの策定率だけを見れば、世界のトップレベルへと入るようになったのである。2003年に1月にウイルス「SQL Slammer」が韓国で大流行し、基幹網がダウンして「インターネット大乱」と呼ばれたほどの騒ぎになったのに対し、総務省あたりでは日本でほとんど感染がなかったことをとらえて「日本はセキュリティの意識が高い」「日本企業のセキュリティレベルはきわめて高度だ」と自画自賛する向きもあった。
ところがこうした“幻想”は、瞬く間に崩壊してしまった。特にSQL Slammer騒動から半年後の昨年夏、世界各地に蔓延したウイルス「MSBlast」のインパクトは大きかった。日本国内でも被害を大きく拡大し、日本の組織のセキュリティの脆弱さを露呈してしまったのである。公になっているだけでも、たとえば日本郵政公社や大阪府庁、山口県庁、松本市役所などでは一時業務がストップし、各地のケーブルテレビやインターネットプロバイダにも広範囲に被害が広がった。世田谷区役所では住基ネットへの感染を恐れ、庁内LANが一時閉鎖される事態にまで陥った。
MSBlastが感染を広げた理由はいくつかある。MSBlastは「MS03-026」というWindowsの脆弱性を突いて侵入するのだが、この脆弱性がマイクロソフトから公表されたのは、ウイルスが出現したわずか1カ月前。修正パッチをまだあてていない企業が多く存在していたとみられる。これに加え、MSBlastの感染経路の多くは「内部感染」だった。ファイアーウォールを突破してインターネットから侵入するのではなく、家庭などで感染してしまったノートパソコンが社内に持ち込まれ、マシンを社内LANに接続することで感染を広げてしまったケースが数多く報告されたのである。
侵入・感染といった外部からの攻撃は、必ずしもインターネットから正面切って行われるわけではない。だが日本企業のセキュリティポリシーは、こうした“搦め手”の攻撃に対応し切れていない。その実態が、MSBlastによってはからずしも明るみに出てしまったのである。
セキュリティ対策で知られるラックの取締役本部長、西本逸郎氏は「セキュリティに対するマネジメントが欠如しているのが、最大の問題だ。形骸化してしまったセキュリティポリシーは、無駄なだけではなく逆に企業のセキュリティ対策の足を引っ張り、害になってしまう」と指摘する。
またセキュリティアナリストの古川泰弘氏によると、こうした攻撃の多様化は実は1998年ごろから始まっていたのだという。だが具体的な社会問題となって表面化してきたのは、つい最近になってからだ。このタイムラグが徒となり、企業の抜本的対策が遅れてしまう結果にもつながった。古川氏は話す。
「90年代末になり、個人がインターネットを利用するようになり、海外のセキュリティ情報を容易に入手できるようになった。その一方で、政府や企業はインターネットには接続してはいるものの、ウイルス対策やファイアーウォールの導入方針もばらばらで、法整備も遅れていた。不正アクセスを試すには絶好の状況で、この隙を狙うかたちで攻撃する側は手法を高度化、多様化させていったという背景がある」
表に攻撃手法が、どのように多様化していったのかを示そう。
いずれにせよ、現状では日本のセキュリティはあちこちに綻びが起きていると言っても間違いではない。しかしメディアではこうした被害はほとんど報告はされていない。そこを取って「企業のリスクを大声で言いつのるのは、セキュリティ業界の売り込み文句ではないか」といった指摘も起きている。だが日本企業の場合、歴史的に社内の事件や不祥事については、過剰なほどに明るみに出したがらないという風土がある。ラックの西本氏は、「MSBlastは全企業の20%が被害を受けたとされているが、実はもっと多いのではないかと見ている。被害を隠す企業が多いため、このような低い数字になっているのではないか。MSBlastのようなウイルス被害でさえも秘匿されているのだから、不正アクセスなどがきちんと公表されるはずがない」と指摘する。
「ハインリッヒの法則」という言葉がある。労働災害の発生確率を説明する際に使われる言葉で、1件の重大な災害の裏には29件のケガを伴う災害があり、そしてその背後には、事故には至らないが「ヒヤリ」とするレベルの経験が300件は起きている、というものだ。この法則は、企業セキュリティにも当てはまるのではないだろうか。1件のセキュリティインシデントの背景には、たぶん300件もの「ヒヤリ」が存在しているのである。
では、こうしたリスクの多様化・高度化にはどのように対応すればいいのだろうか。アナリストの古川氏は、日本のセキュリティ対策の不備についてこう説明する。
「日本の企業や役所には、インシデントマネジメントと業務継続管理の視点が欠落している。ネットワーク社会では組織内だけでなく、組織外との連携が求められるが、その点がまだ不十分。米国では裁判に備え、証拠保全を意識したサーバーフォレンジックの分野にまで踏み込んできている。また業務継続管理は、企業活動を維持するために経営者の視点で作られる管理手法だが、業務を分析し、優先すべき業務を考慮した計画の作成や教育・訓練まで行っている会社は少数派にとどまっている」
そしてセキュリティ対策としては少なくとも、情報セキュリティマネジメントシステム(ISMS)の適合性評価を利用し、ISMS認証を取得することを勧めている。ISMSとは、ウイルスや不正アクセスなど個別の技術対策だけでなく、組織のマネジメントの一環としてリスク評価を行い、必要なセキュリティレベルを決定してシステムを運用することを指す。数年前に策定した旧来のセキュリティポリシーを放置しているだけでは、RFID(電子ICタグ)や無線LANなどの新技術にかかわる脆弱性や、個人情報漏洩や風評被害といったあらたなリスクのパラダイムには対応できない。
ラックの西村氏は、セキュリティのフェーズを5段階に分けて考えることを勧めている。その内容を図に示そう。
いま重要となりつつあるのは、後段の「検知」と「回復」という2フェーズ。これらがインシデントレスポンスである。インシデントの防御だけではなく、インシデントが発生してしまった場合にどう対応し、被害を最小限に防ぐことができるか。また発生した被害からの教訓を、今後の対策にどう生かすことができるか。リスクが決してゼロにはならない以上、リスクをきちんとマネジメントすることが求められている。そしてそれは単なるシステムのセキュリティではなく、企業の「危機管理」の枠組みに入ってくることになる。
西村氏は話す。
「何か脆弱性が発見されるたび、修正パッチの配布システムを作ったり、ワーム防御プログラムを導入すればすむという問題ではない。根幹にきちんと企業防衛を考えるべきだ。たとえば他社で個人情報漏洩事件が起きた場合、それが自社で発生したらどういう影響が起きるのかといったシミュレーションを日々重ねていく必要がある」
雪印乳業事件を思い出せばわかる通り、リスクに対するマネジメントが欠如していたため、企業生命が危機にさらされたケースは、過去の歴史を見れば枚挙にいとまがない。今やセキュリティマネジメントは、企業の経営の根幹のひとつとなりつつあるのである。
以下、新たな企業のリスクの数々を、紹介しよう。これらを一望すれば、新たなセキュリティポリシーとインシデントマネジメントを確立することが、いかに危急であるかがわかっていただけるはずだ。
■スパイウエア
スパイウエアというのは、ユーザーが気づかないうちに特定のプログラムがクライアントマシンにインストールされ、ハードディスク内のデータやキーボードのタイプ履歴などをこっそりと外部に送出するプログラムのことを言う。
スパイウエアがからんだ事件としては、米国連邦捜査局(FBI)によるマフィアの幹部の逮捕劇が知られている。ニコデモ・スカルフォという名前のこの幹部は、マフィア組織内でのメールのやりとりに公開鍵方式の暗号であるPGP(Pretty Good Privacy)を使い、捜査当局の監視の目を逃れようとしていた。実際、FBIはスカルフォ容疑者のアジトのインターネットトラフィックをすべて細くしていたのにも関わらず、その送受信内容を解読できないでいたのだ。
このため、当時「マジックランタン」というコードネームで呼ばれていたプログラム開発プロジェクトの実戦投入が計画された。マジックランタンはキーロガー(Key Logger)の一種である。インストールされたマシンのキータイプをすべて保存し、ネット経由でFBIのサーバに送信してしまうのだ。この当時のマジックランタンはまだ開発途上だったため、ネット経由での侵入・感染という方法は採られず、かわりにFBIの捜査官がスカルフォ容疑者のアジトにこっそり侵入し、フロッピーディスク経由でマシンにインストールしたという。そして何も知らずにアジトに戻ってきたスカルフォ容疑者はメールを送信するために、PGPのパスフレーズをタイプ。このタイプ履歴がFBIに送信され、FBI側はメールの全文を解読することに成功。スカルフォ容疑者の逮捕へとこぎ着けることができたのである。
完成版のマジックランタンはWindowsなどの一般的な脆弱性を利用し、友人や家族からのメールに偽装し、ターゲットのマシンに感染させることができるのだという。
この事件では、スパイウエアを駆使したのは捜査当局の側だった。しかしこうしたプログラムの開発自体はそう難しいことではない。実際、フリーウエアで利用できるキーロガープログラムなどはインターネットで検索すれば、いくらでも見つけることができる。同種のプログラムが悪意のある第三者によって使われ、産業スパイなどに利用される可能性は否定できない。
実際、キーロガーは日本でも犯罪に利用されている。2002年9月、外資系銀行を舞台に起きた「スパイウエア預金引き出し事件」がそうだ。この事件の被害者である転職支援サイト運営者の男性は、事件を振り返ってこう話す。
「ある人突然、銀行から『振り込み完了』の自動応答メールが送られてきた。まったく身に覚えのない話なのでネットバンキングにログインしてみると、1640万円あったはずの預金がすべて消えていたんです」
預金は、他行の口座あてにすべて振り込まれていたのである。警察のは仮名口座などを手がかりに捜査し、約半年後に大手金融機関系列のシンクタンク社員ら2人を不正アクセス禁止法違反、電子計算機使用詐欺、窃盗の各容疑で逮捕する。そして判明したのは、容疑者らは渋谷のインターネットカフェにキーロガーを仕掛け、利用者のタイプを片っ端から保存していたのである。そして被害者の男性も一度だけ、このネットカフェでネットバンキングを利用したことがあった。このときにIDとパスワードが盗まれていたのだ。ネットカフェなどでは悪用防止のためにCD-ROMドライブやフロッピーディスクドライブなどを使えないようにしているところも多いが、容疑者はウエブ経由で利用できるインターネットストレージからキーロガープログラムをダウンロードしてこっそりインストール。数週間後にネットカフェに再度出向き、保存されていたキーロガーのログを自分のウエブメールアドレス宛に送信し、今度は別のネットカフェで受信してログを解析。その場でネットバンキングにアクセスし、預金を送金する手続きをとっていたという。
この容疑者はプログラマーでもシステム管理者でもなく、技術的レベルはきわめて低かったという。手口については「書店でパソコン雑誌を立ち読みしていて、手口を思いついた」と供述しているというのだ。このレベルで実行可能な犯罪なのである。
社内の機密文書の扱いをどれだけ厳重にしようとも、その文書の作成者がタイプした文字をキーロガーでこっそり盗まれてしまえば、どうなるだろうか。役員など社内のキーマンのクライアントマシンにこっそりこの種のプログラムを潜ませておけば、この人物のメールでのやりとりや非公開掲示板などでの発言、作成した文書などの内容がすべて暴かれてしまうことになる。
キーロガーは、ファイアーウォールでは防ぐことはできない。セキュリティ問題に詳しいアナリストの古川泰弘氏は、「一般的なウイルス対策ソフトでも一部のキーロガーを検知できるが、完全ではなく、きちんとした対策を採るにはホスト型の侵入検知ソフト(IDS)が必要。またタイピングの信号を暗号化させてパソコンに送ることができる専用キーボードを使えば、キーロガーで記録されても内容はわからない」と対策を話す。だが日本国内では、キーロガー対策を採っている企業はまだ少ないだろう。
■スパム
ただの迷惑メールだと思ってはいけない。スパムの氾濫は、企業活動にとって今やたいへんな驚異となりつつあるのである。英語圏でその暴走ぶりは特に顕著だ。アンチスパム対策企業である米ブライトメールの統計によれば、2004年1月に同社のProbe Networkというサービスでフィルタリングされたメール約850億通のうち、スパムは510億通にも上った。全メールの約60%に達しているという計算になる。同社は、この数字が年内に80%近くにまで達するとみている。また昨年、全米で費やされたスパム対策費用は100億ドル(約1兆2000億円)に達しているという試算もある。地下経済とでもいうべきスパムに、インターネットが呑み込まれようとしているといっても過言ではない。
おまけにこのスパムという存在は、発信する側にとってはまことに都合の良いビジネスなのだ。「スパム送信」というビジネスを立ち上げる際に必要な初期導入コスト、運用コストを考えてみよう。
必要なのは、送信先のメールアドレスとスパムを送出するためのメールクライアント、メールサーバ、それに通信回線の3つである。メールアドレスについては、名簿業者などからCD-Rに入った名簿を購入する場合もあるが、最近ではウエブや掲示板からメールアドレスを自動収集してくれるソフトを使う場合が多い。また“スパム先進国”の米国では、DHA(Directory Harvest Attack)という新たな手口も使われている。これは特定のドメインに対して、適当なアドレスのメールを大量に送りつけるというものだ。たとえばxxxx.co.jpというドメインに対して、jim@xxxx.co.jpやtaro@xxxx.co.jpといったアドレスを予想し、スパムを送るのだ。このうちエラーが帰ってきた場合はデータベースから取り除き、反応がなかった場合に限ってインデックスに加えていく。メールサーバがエラーを返さないようにすれば対応できるものの、対策をとっていない企業も多い。おまけにこの手口は、大量のエラーメールが期せずして送信元のメールサーバへのDoS攻撃になってしまうという厄介な副産物も生み出す。
いずれにせよ、こうしたアプリケーションはあちこちで開発されており、シェアウエアとして流通している。安価なものでは数千円程度から手に入る。
そして第2に、メールクライアント。スパム専用のそれも、アングラ界では無数に流通している。たとえば2003年6月に茨城県警が摘発した「架空請求メール事件」のケースでは、大量に送付されたメールのどれにも、ヘッダに以下のような記述があった。
Received: from BAGGIO X-Library: Indy 8.0.22
送信側は、BAGGIOという文字列を送り出すメールクライアントを使っていた。Indyというのはオープンソースのインターネットコンポーネントなので、Indyを使って開発されたスパムソフトなのだろうか。逮捕された27歳の無職男がどこからこのソフトを手に入れたのかはわからないが、警察の聴取には「逮捕されるまでの4カ月間に、計110万通のメールを送った」と供述しているという。
メールサーバについては、自前でメールサーバを立てている例もあるが、多くは無料の海外サーバを経由する方法を採っているようだ。後はADSL回線でもあれば、簡単にスパムを送出してしまえる。アンチスパムを生業にしている専門家に聞いてみると、「上り速度1MbpsのADSL回線が1本あれば、1日数十万通のメールを送り出すことができる」という。
いずれにせよ、初期導入コストはすべて合わせても数万円程度。ランニングコストに至っては、ADSLの料金だけという安易さである。給料の安い若い会社員が副業として自宅のワンルームマンションで始められる、というレベルの話だ。
もちろん、スパムに対して反応してくる受信者はめったにいない。専門家は「100万通送っても、反応があるのは数十通程度。回収率は0.001%ぐらいだろうか。だが原価がきわめて安いため、この程度でもビジネスとして成り立ってしまう」。数日かけて数百万人にメールを送り、その結果、数人が出会い系サイトを利用したり、怪しげな商品を購入してくれれば、それだけで数万円程度の収入が期待できる。一方で人件費はほとんどかからず、運用コストも低い――つまり損益分岐点のきわめて低いビジネスといえるのである。
一方で、この安易にまき散らされているスパムが企業活動に与える影響は、きわめて大きい。まず第1に、膨大な数のスパムを日々、削除し続けるために消費されるリソース。このために新たな人員を投入したり、あるいは高価なスパム対策ソフトやシステムを導入しなければならない。またスパムの中に重要なメッセージが紛れ込んでしまい、日々の活動に支障が出る場合も少なくないだろう。
第2に、ウイルスはスパムと結びつき、たいへんな被害になってしまうケースが増えている。第3に、氾濫するメールサーバのリソースを食い荒らしている。このために企業は以前よりもていねいにメール関連のシステム管理を行わなければならなくなり、コスト押し上げのひとつの要因にもなっている。
日本国内においては、まだスパムの氾濫は目立ったほどではない。だが海外からのスパム流入が目立ち始めているのと同時に、国内のスパム業者も大規模化し、大量の迷惑メールをまき散らすケースもちらほらと見受けられるようになっている。今後、国内でもスパム被害が深刻化していく可能性は高い。
■サイバーデモ
2003年はじめ、インターネットの巨大匿名掲示板「2ちゃんねる」でたいへんな騒動が起きた。韓国のインターネットユーザーが大挙し、「F5アタック」と呼ばれる手法で2ちゃんねるに攻撃を加えたのである。
「攻撃」といっても、その内容はごく簡単なものだ。Internet ExplorerではF5はリロード(画面再読込)に割り当てられている。このF5ボタンを連打することで、クライアントマシンはウエブサーバに対してひたすら画面の送信要求を送り続ける。多数のクライアントから送信要求がやってこればサーバが想定している最大接続数を超えてしまい、過負荷状態となってアクセス不能に落ちいっってしまうのである。何とも原始的な手法だが、単純かつ強力なDoS(サービス拒否)攻撃といえるだろう。
この事件のきっかけは、「竹島切手」だった。竹島は韓国名を独島といい、日韓で長く領有権が争われている。竹島をデザインした切手約56万枚を、韓国の郵政事業本部が1月中旬に発行し、これが日本政府をいたく刺激した。麻生総務相や川口外相、安部官房長官らが相次いで不快の念を表し、韓国政府を批判したのである。
これに強く反発したのが、韓国のインターネットユーザーだった。おまけに同時期、竹島とは無関係と見られる日本人が「Kの国の方式」と名付けたウエブサイトをインフォシーク・ジャパンの無料ホームページ上に開き、韓国の写真を面白おかしく紹介。これが火をつけるかたちとなり、怒りの炎はあっという間に広がった。攻撃の火の手は、2ちゃんねるの韓国・朝鮮関連掲示板「ハングル板」にも飛び火し、この掲示板に対する攻撃が韓国の多くの掲示板で呼びかけられたのだ。
攻撃は1月10~12日にかけて断続的に行われ、2ちゃんねるは一時ダウン寸前までいったとみられている。だが2ちゃんねるの管理者らは、.krドメインからのアクセスを遮断する方法で対応し、最終的には大きな影響は受けなかった。
日本では大きくは報じられなかったが、この攻撃の間、韓国ではメディアも巻き込んだ大きな騒ぎとなった。朝鮮日報をはじめとする有力紙は「韓日サイバー大戦が勃発」「サイバー壬辰倭乱』に発展」といったセンセーショナルな記事をリアルタイムで配信したのである。「壬辰倭乱」というのは豊臣秀吉の朝鮮出兵のことで、この中世の戦争に匹敵する戦いだったというのだ。もっとも、日本側からは大きな反撃が行われた形跡はない。
ここ数年、世界各国で政治的行動をこうしたインターネット上の攻撃へと結びつける動きが加速化している。たとえばインドやパキスタン、中東などの紛争地域でその動きは顕著だ。これらの国ではこうした行動に走る人を「ハクティビスト」と呼んでいる。ハクティビストというのは、ハッカーとアクティビスト(活動家)の合成語。ウエブを改ざんし、政治的なメッセージをに書き換えるなどの攻撃によって政治的主張を行っているグループを指す。
この動きは東アジア一帯でも過激になりつつある。古くは2000年初頭、南京大虐殺に抗議して中国人と見られるハクティビストたちが、運輸省(現国土交通省)や文部省(現文部科学省)などのウエブサイトを改ざんした事件もあった。そして今回のような、F5アタックに多くの人が参加し、ターゲットとなるウエブをアクセス不能に陥れる行動はサイバーデモなどと呼ばれている。高度に技術化された専門家が行うサイバーテロと異なり、ごく簡単な手法を使われることが多いからだ。また実行者が、インターネット掲示板などで呼びかけられた不特定多数の群衆であるのも大きな特徴だ。
今回は韓国のサイバーデモの標的となってしまった2ちゃんねるだが、過去には2ちゃんねるのユーザーたちが集結してサイバーデモを行ったこともある。WinMXやWinnyなどを使った違法なファイル交換の排除を進めている財団法人・コンピュータソフトウエア著作権協会(ACCS)に対して2002年4月、2ちゃんねるのユーザーたちが「聖戦」と称してF5アタックを仕掛けたのだ。この攻撃に耐えきれず、ACCSのウエブサーバは10時間にわたってアクセス不能となった。
こうした事件は、今後も頻発してくる可能性があるだろう。日本企業がサイバーデモの標的になる可能性は、決してゼロではない。
■風評被害
インターネット上では、さまざまな情報が24時間、休むことなしに流れ続けている。そしてネットの情報によって引き起こされるもっとも大きなリスクは、自社の良くない風評が書き込まれることによって名誉が毀損され、ひいては株価の下落や信用の低下などにつながってしまうことである。
その最も端的な例は、2003年12月に起きた佐賀銀行のケースだろう。この事件は、次のような1通のメールが起爆剤となって始まった。
>緊急事態発生
緊急ニュースです!某友人からの情報によると26日に佐賀銀行がつぶれるそうです!
預けている人は明日中に全額おろすことをお勧めします。
信じるか信じないかは自由ですが、不安なので明日全額おろすつもりです!
以上緊急ニュースでした。
このメールが携帯電話経由で何通かばらまかれ、それがやがてチェーンメールとなって佐賀県内に爆発的に拡大していったのである。メールを見た人はあわてて親せきや友人、知人らにメールを再送信したり、電話で連絡を取ったりした。「知ってる? 佐賀銀行がつぶれるんだって」「明日には預金がおろせなくなるらしいよ」といったたぐいの会話が佐賀県内で無数に交わされ、メールが最初に発信されたその日の夕方には、佐賀銀行の本支店前に預金者が列を作る騒ぎへと発展したのだ。本店のATMには約300人もの列ができ、列の長さは100メートルにもなったという。佐賀銀行は県内外210カ所にあるATMの取り扱い終了時間を通常の午後9時から午後10時半にまで延長し、必死で対応を続けたが、この日1日で佐賀銀行から引き出された預金は180億円にも上ったという。各支店からは「預金が足りない」という連絡が本店に殺到し、一部のATMは現金不足で休止してしまった。これがさらにパニックを倍加する結果となった。
佐賀銀行はメールの発信者を被疑者不詳のまま警察に告訴したが、佐賀県警は約2カ月後、佐賀県内の20歳代の女性を突き止め、信用毀損容疑で書類送検した。女性は友人から電話で「佐賀銀行が12月26日につぶれるらしい」と聞いて信じ、他の友人ら26人にメールを送ったという。ここからチェーンメールがスタートし、最終的にたいへんな取りつけ騒ぎを引き起こしてしまったのだ。
こうした風評被害は、ここ数年、恐ろしい勢いで増えている。2001年秋には、日本生命に対する中傷が2ちゃんねるに書き込まれる事件が起き、同社は書き込み削除を求める仮処分申請を東京地裁に行っている。また2002年には、東京都内の動物病院が2ちゃんねるで「過剰診療、誤診、詐欺、知ったかぶり」「ヤブ医者」などと中傷され、2ちゃんねる側に400万円の損害賠償を求める判決が下される事件もあった。
しかし中には風評ではなく、企業がひた隠しにしていた不祥事が表沙汰になってしまったケースなどもあり、対応は非常に難しい。おまけに裁判で勝訴し、事実無根であることが認められても、いったん損なわれた名誉はなかなか回復しない。
こうした被害に対する防御策は、事前に掲示板などでの情報を収集し、いち早く対応する方法しかない。米国では、情報のモニタリングサービスともいえるサービスも現れている。ネットの掲示板やニュースグループ、メーリングリストなどから顧客の企業に関する情報を集め、即座に顧客の担当者に通知するというものだ。担当者は対応の必要があれば弁護士などと連携し、書き込みの削除などを求めることができる。
しかしこうしたサービスが有効かどうかといえば、微妙なところもある。顧客企業の側が即時対応できないケースも現実には多く、また、流された風評が真実だった場合にどう対応するのかといったポリシーを検討している企業はほとんどないからだ。インシデントが起きた場合のマネジメントが求められているのである。
■攻撃型ウイルス
2004年1月26日、「史上最悪」と呼ばれた凶悪なコンピュータウイルスが驚異的なスピードでインターネット上に広がっていった。別名「Novarg」「Mimail.R」とも呼ばれる「MyDoom」である。このウイルスは電子メールの添付ファイルの形で送りつけられ、被害者のパソコンに感染すると、ひそかにバックドアを開く。そしてこのバックドアを通じ、2月1日から12日にかけ、米SCOのウエブサーバに大量のデータを送りつけるように仕組まれていた。DDoS(分散型サービス拒否)攻撃がコンピュータウイルスと合体した、新たなタイプのワームのである。
このウイルスの感染の速度はすさまじく、出現からわずか1日後にはインターネットで送信されるメールの12通に1通が感染していたという(電子メールサービスの米メッセージラボの統計による)。
メールの添付ファイルを騙ったウイルスというのは今では珍しい存在ではないが、MyDoomが米国を中心に感染を拡大した原因は、その巧みな偽装ぶりにある。MyDoomは感染すると、Outlook Expressのアドレス帳にあるメールアドレスに無差別にウイルスメールをばらまくだけでなく、その際にfromアドレスを偽装する。受信した側は送信者とは別の人物からウイルスメールを受け取ったと誤解してしまうのだ。おまけにウイルスメールのsubjectは「Undelivered Mail Returned to Sender」などメールサーバからのエラー通知に偽装されている。受信者が添付ファイルをクリックしてしまうよう、巧みに心理的な誘導を試みているのだ。ソーシャルエンジニアリング的な手法に長けた人物が作成したのだろう。
そしてこのメールは、SCOグループに攻撃を加える時限爆弾が組み込まれていた。2月1日、SCOのウエブサーバは洪水のようなリクエストを受けて完全にダウン。同社はこの事態を予測し、さまざまな対策を講じていたが、役に立たなかったようだ。SCOはダウンした www.sco.com にかわり、www.thescogroup.com という代替ドメインを立ち上げなければならない羽目に陥ったのである。SCOのダール・マクブライドCEOは、「MyDoomによる攻撃で、世界中の企業が受けた被害は10億ドルを超えている」というコメントを発表。そしてMyDoom作者の逮捕につながる情報の提供者に対し、25万ドルの報奨金を出すことを決めた。
MyDoom出現の数日後には、亜種「MyDoom.B」も登場した。このMyDoom.Bは、米マイクロソフトのウエブサーバにDDos攻撃を仕掛けるのと同時に、ウイルス対策メーカーから最新のウイルスパターンファイルを感染マシンがダウンロードするのを妨害する能力も備わっていた。マイクロソフトは大きな被害は受けなかったが、SCO同様、犯人逮捕に25万ドルの報奨金を出すことを発表している。
MyDoomの作者がなぜSCOを狙ったのかは明確ではないが、同社は最近、保有しているUNIX関連の知的所有権がLinuxのカーネル関連の技術にも及ぶと主張し、Linuxのオープンソースコミュニティから猛反発を受けていた。この主張が、ウイルス作成の引き金になってしまった可能性は高い。
いずれにせよ、特定の企業がウイルス攻撃の対象になるという新たな手法が出現してしまったのである。そしてこうした傾向は、近年強まりつつある。2003年夏に大流行したMSBlastの亜種「MSBlast.D」は、感染するとMSBlastの原種を探して強制終了させ、さらにdownload.microsoft.comからMSBlastが悪用する脆弱性「MS03-026」の修正パッチをダウンロードして実行するという不思議な機能を持っていた。そしてさらに不思議なことに、
思議なことにNachiは感染する際に攻撃対象のOSの言語の判定を行っており、英語と簡体字中国語、繁体字中国語、韓国語の場合はMS03-026の各言語用修正パッチをあてる。しかし日本語の場合は、コード内に判定のルーチンがあるのにも関わらず、パッチを当てないで処理を終えてしまうのだ。この性質をとらえ、「日本をターゲットにしたウイルスである可能性が高い」とする専門家は多い。
それにしても、コンピュータウイルスが特定の企業や組織、国家をターゲットにするという手法は、ひょっとしたらパンドラの箱になるのだろうか? インターネット世界で反発を受けた企業は、今後はウイルスによってDDoS攻撃を食らう可能性がでてきたということなのだ。そしてDDosのような原始的かつ単純な攻撃に対しては、抜本的な対策は難しい。
■プライバシー漏洩
顧客の個人情報が漏洩する事故が、後を絶たない。しかも多くの場合、流出がどのように行われたのかさえ特定できていないのが現状だ。
たとえば最近では、2004年1月にADSLサービス「Yahoo!BB」の顧客情報242人分の住所と名前、メールアドレスなどが社外流出する事件が起きている。ソフトバンクによると、外部の人間から「顧客情報が流出している」という電話があり、数日後に242人のデータが郵送されてきたという。クレジットカード番号や利用履歴などの重要なデータが漏洩しなかったのは不幸中の幸いだが、漏洩経路は判明していない。同社は顧客情報にアクセスできる役職レベルの引き上げや、セキュリティマネジメントの見直しなどを勧めている。また業務委託先などへの管理も進めるという。
また2003年11月には、コンビニエンスストア「ファミリーマート」のネット通販向け会員制度「ファミマ・クラブ」の会員情報18万人分が漏洩する事件が起きた。流出したのはメルマガ購読者の住所、名前、生年月日、電話番号、性別、メールアドレスで、「登録したアドレスに架空請求メールが届いた」と顧客から苦情の電話がかかってきたことから発覚した。経路は判明していないが、ファミリーマート側は「メルマガの企画委託先の企業が関与した可能性が高い」と発表している。この企業の関係者が個人情報データをコピーし、名簿業者に売り飛ばした可能性が高いということなのだろう。データはネットの裏ビジネス業界に流出し、結果として約5600人に対して架空請求メールが送りつけられたという。ファミリーマートは社長ら幹部6人が減給処分となるなど、社会的信用を損なう結果となった。
こうした個人情報漏洩事件の多くは、従来のセキュリティポリシーではほとんど歯が立たない。ネット経由で不正アクセスなどによって盗まれることはほとんどなく、社員や関係者などの内部犯行によるケース、単なる事故やミスによるケースなどの方が圧倒的に多いとみられているからだ。
たとえば2004年2月には、神戸市が垂水区役所の廃棄文書をゴミ収集車で焼却場に運ぶ際、誤って区民約340人の名前、住所、年収などが書かれた書類27枚を道路に落とすという事故が起きている。近所の住民が見つけて通報し、あわてて職員らが回収したものの、悪用される危険性は十分にあった。
落とし穴は無数にある。
たとえば社員の使うノートパソコンがそうだ。省スペースになるため日本企業での利用率が高いが、ポータビリティの高さが脆弱性につながっている。社外に持ち出されれば、盗難や紛失の危険性は高まる。盗まれたパソコンはどうなるのだろうか。多くが中古パソコン店やリサイクルショップなどに持ち込まれ、売り飛ばされているとみられる。その結果、リサイクルショップで売られていたパソコンの中から個人情報データが見つかった……というお粗末きわまりない事態を招くことになる。
もっとひどい例もある。たとえば2003年春に三重県四日市市で起きた事件。用地買収などを担当していた市役所の水道局職員が、古くなった私物のノートパソコンをゴミに出した。ハードディスクを壊しておけば大丈夫、と職員の妻がパソコンを地面に数度叩きつけ、回収所に放置しておいたという。ところが最近のハードディスクは耐衝撃性が非常に優れている。この程度ではデータは壊れなかった。裸で捨てられていたこのパソコンを偶然拾った男性が電源を投じてみたところ、見事にOSが起動し、データを閲覧することができたのである。中には市道用地の地権者の名前や用地買収による補償金額などがびっしりと書き込まれていた。
また2002年には、福岡県久留米市のリサイクルショップで売られていた中古のパソコンに、警察に補導された少年の名前や住所がずらりと残っていたとう物騒な話もあった。福岡県警の警察官が、データを消さないままリサイクルショップに私物のパソコンを売っていたのが原因だった。
こうした事故を、完璧に未然に防ぐのは不可能だ。どこにでも落とし穴は存在しているのである。こうした事故に対しては防止ではなく、発生後の対応の素早さや的確さが求められるのである。インシデントマネジメントの重要性はそこにあるといえる。
Recent Comments