先月、マルウェアやフィッシングを悪用した遠隔操作によって脅迫文などがなりすましで送りつけられ、複数の無関係の人が誤認逮捕される事件がありました。

その後の分析や犯行声明などから、マルウェアやフィッシングのリンクは犯人が自作したもので、誤認逮捕された人が自分の PC にダウンロードしたり、悪意のあるリンクをクリックするなどしたことにより、犯人による操作が可能になったことがわかっています。

今回の事件は不特定の個人を狙ったもののようでしたが、この手口は企業に対して行われる可能性も十分にあるケースで、大きな脅威です。企業の方々は、決して他人事と思ってはならないと思います。

どの辺が「大きな脅威」だというのでしょうか。簡単におさらいしておきましょう。

まず、自作のマルウェアというのは、ウイルス対策ソフトなどで検知するのがかなり困難です。特に今回のもののように、既存のソフトウェアの脆弱性を突いたものでない場合は、網にかけるきっかけがないために検知の難易度が格段に上がります。

また企業が狙われた場合、今回の事件のような自己顕示目的よりも、情報の盗用や金銭目的であることが多く、被害側がいつまでも気づかずに発覚しない恐れもあります。

仮に発見できたとしても、犯人を特定することはまた困難であるのが、残念ながら現状です。

今回の事件でもそうですし、話題になっている中国のハッカーやアノニマスが不正アクセスや改ざん行為を繰り返しているにもかかわらずなかなか逮捕されないのも、その証左です。なぜ難しいかといえば、犯人は自分の端末から直接ターゲットを狙うことはしないために足がつきにくいことや、犯人がアクセスの痕跡を巧みに消すことなどが原因です。

このような状況の中で、企業にとって重要になるプロアクティブな対策がいくつかあると思います。

まず、「出口を監視する」対策です。つまり、企業の内部から出ていくトラフィックを監視して、普段使っている状況ではあり得ない異常を見つけるのです。

こうした対策を行うツールやソリューションがすでに販売されてはいます。ただし重要なのは、それらを導入することよりも、「ユーザー企業が常に監視を続ける」ということです。

異常というものは、正常な状態とはどういうものかがわかっていて初めて、理解できます。普段監視をしていない企業には、正常がどういうものかわかりません。だからそういう企業に、異常は発見できないのです。

監視など素人には難しいのではないかと思うかもしれませんが、普段と違うかどうか判定することは、どちらかというと経験の問題です。スキルはそれなりに必要ではありますが、この場合はすこし勉強すればすぐ克服できる程度のレベルだと思います。

もうひとつ重要な対策は、「証拠の保全ができるようにしておく」ことです。

ただでさえ犯人は痕跡を消そうとしますから、証拠になるものはあまり残されていないのが常です。さらに不都合なことに、実は、証拠になるような情報はすぐに消えてしまいやすい傾向にあるのです。例えば、再起動したり、電源のオフをしてしまったり、ウイルスのスキャンを実行したりすると、消えてしまうような証拠情報もあるのです。

その意味で証拠保全は、あらかじめ一定の手順なり方法なりを確立しておかないと、有事にミスを犯して消してしまう可能性が高くなります。

こうした取り組み、どれも以前から言われていることで、すぐに思いつくような話なのですが、きちんと実践できている企業は本当に少ないです。

これはまさに、マネジメントの話だと感じずにはいられません。

運用作業全般に言えることなのですが、こうした取り組みには目に見える成果が普段から現れるわけではなく、何も起こらなければ目立たない特徴があります。その分、マネジメントサイドが気に留めない、評価しない傾向があるのが問題ではないでしょうか。

こうした取り組みの重要性に気づいている担当者が社内にいたとしても、マネジメントが気にしないために「正式な、やるべき仕事」として取り扱われない環境が生まれている場合もあります。わたし個人も経験がありますが、担当レベルで一生懸命頑張っていてもマネジメントレベルが聞き流すような「仕事」は、結果として良い取り組みになりません。

情報セキュリティ対策について、わたしは常々「トップマネジメントの見識の高さが出る」と考えています。こうした社会的事件を他山の石と捉えて、意識を新たにするきっかけにしていただきたいと、こんな話が発生するたびに願う次第です。