サイバー犯罪の脅威に対するクライシスマネジメント第3回「スマートフォン、SNSを対象とした攻撃の増加」

ソニー米国子会社へのサイバー攻撃による史上最大規模の情報漏えいや、イランの原子力施設を対象としたサイバー攻撃にみられるように、昨今では、特定の団体、組織を標的とし、高度な技術を用いて徹底的な攻撃を仕掛けるケースが増加しており、経営に対してより深刻な影響を与える脅威となっています。一方で、管理対象としての情報システムは、クラウドコンピューティングやスマートフォンの普及などにより、複雑さを増しており、サイバー攻撃への対処がより困難な状況になりつつあります。

本稿では、昨今のサイバー犯罪の傾向とグローバルの動向を踏まえ、経営者がどのように深刻化するサイバー犯罪の脅威に対して向き合い、対応すべきかについて考察します。

1．急速に拡大するサイバー犯罪の脅威

ソニー米国子会社の大規模情報漏えいや、国家機関へのサイバー攻撃などが連日報道されているように、情報セキュリティに係る脅威はますます大規模化・高度化・複雑化しています。最近注目された新しいタイプの攻撃として、「Operation Aurora」と呼ばれるInternet Explorerの脆弱性を利用した攻撃や、「Stuxnet」と呼ばれる原子力発電所の制御システムを対象とした攻撃を代表例として挙げることができます。これらは、一般的な防護システムを回避するように、既存の攻撃手法を巧みに組み合わせ、さらには攻撃目標に合わせて設計されていることから、「APT(Advanced Persistent Threats)」と呼ばれ、新たな脅威として認識されています。また、普及が目覚ましいスマートフォンやソーシャルネットワークを狙った攻撃の増加や、クラウドコンピューティングの利用に伴う課題なども新しい傾向です。サイバー犯罪は、テクノロジーの発展と普及に伴い、攻撃側の優位性が加速し、常に防御側が後手に回ることとなるため、時を経るごとにその脅威がますます深刻化する傾向にあります。

（3）スマートフォンを対象とした攻撃の増加

スマートフォンの爆発的な普及に伴い、スマートフォンを狙った攻撃が数多く確認されるようになりました。これまでの日本の携帯電話の多くは、各メーカにより独自に開発されたOSを採用していたのに対し、スマートフォンは、AndroidやiOS、Windows Phoneといった汎用OSを採用しており、サイバー攻撃の対象になりやすいといえます。

スマートフォンに対する攻撃を大別すると、スマートフォンの脆弱性を利用するものと、アプリケーションを装ったウイルスを利用者にインストールさせるものに分けることができます。いずれの場合も、攻撃を受けたスマートフォンは、メールや電話帳の個人情報の漏えいや、GPSによるスマートフォン保持者の位置情報のトラッキング、第三者を攻撃する踏み台になるなどの被害を受ける可能性があります。

PC並みの機能を持つスマートフォンですが、現時点ではPC並みのセキュリティ対策を実施することは困難です。脆弱性が認識されてから、スマートフォンメーカーによってセキュリティパッチが提供されるまでに時間がかかったり、アプリケーションが正規のものであるかを判断する基準などが確立していないというのが実情です。

利用者数の増加、柔軟な拡張性、不十分なセキュリティ対策と、サイバー攻撃を受けやすい状況が揃っており、スマートフォンに対するサイバー攻撃の脅威は今後益々増大するでしょう。スマートフォンの利便性や生産性を積極的に活用しようと、多くの企業が導入の検討を始めていますが、こうしたリスクを十分に勘案した運用が求められます。

（4）SNSを対象とした攻撃と情報収集

Twitterや、mixi、Facebook等のSNSサイトは、簡単に情報発信する事ができ、広範囲の人と交流を持てることから、利用者が爆発的に増加し、中には数千万人規模のサイトもあります。こうしたSNSサイトの特徴を悪用し、利用者を騙し、ウイルスに感染させようとする攻撃や、SNSサイトに公開されている情報ないし、攻撃によって入手した情報を標的型攻撃に利用するという脅威が出現しています。

典型的な攻撃の例では、Twitter上の発言の中に、ウイルス感染を目的とした外部サイトへ誘導するURLのリンクを貼るのに、長いURL文字列を短縮して利用する「短縮URL」サービスが利用されます。長いURLを短くする短縮URLサービスは、クリックするまでどのようなサイトか判断ができないため、不正なURLを覆い隠すのに絶好のカモフラージュとなります。

こうしたサービスが一般的になったことで、利用者の平均年齢が高くなり、利用者個人が所有する資産や情報の価値もまた高くなっています。この傾向は、サイバー犯罪者にとって大変魅力的です。例えばSNSサイトで推薦システム（註1）等に用いられるデータベースは、スピア型フィッシング詐欺（註2）のための格好の情報源となります。（註1：ユーザの長期的な興味や嗜好に基づき，お勧めの情報や商品をユーザに提示する技術の総称。amazon.comでの推薦サービスが有名）（註2：特定のターゲットに対して重要なデータや個人情報を奪おうとする手法）

また、企業の要職にある立場であっても、本人やその家族がSNSサイトに、趣味嗜好、行動に関する情報を事細かに公表することがあります。さらには、機密性の高いプロジェクトで知り合った顧客と個人的に仲良くなり、Facebook上で「繋がる」ことで、結果として第三者に機密保持契約に違反するような情報を推測させる可能性もあります。いずれにせよ、こうしたSNSサイトは、標的型攻撃を行う者にとって「美味しい」情報収集の場であることは間違いありません。

（堀田知行）

著者略歴：株式会社KPMG FAS　フォレンジックサービス部門　ディレクター
2005年、KPMG FAS入社。デジタルフォレンジックの技術を用い、情報漏えい、インサイダー取引、資金横領・粉飾などの不正調査および危機対応支援を担当。また、インテリジェンス（情報分析技術）、データ分析技術、IT知識を活かし、M&Aにおける戦略評価、競合分析、ITデューデリジェンス、企業分割・統合支援などにも従事。KPMG入社前は、株式会社電通国際情報サービスにて、製造業向けコンサルティングおよび戦略企画立案に従事。慶応義塾大学環境情報学部卒業