正体不明のハッカー集団
企業もこれまでの対策は通用しない。4月に発生したソニーグループ全体で1億件にものぼる一連の個人情報流出事件がそうだ。きっかけは、不特定多数のメンバーで構成される謎の国際ハッカー集団「アノニマス」(匿名の意味)によるサイバー攻撃だった。
彼らを「ネット上での表現の自由を守る」ことを主な目的とした(3)に分類されるハッカーで、それまでも政府や企業を徹底的に攻撃してきた。
ハッカーたちを怒らせたのは、ソニーのゲーム機プレイステーション3の改造プログラムをウェブサイトで公開した米国人ハッカーを提訴し、さらに同サイトにアクセスしたユーザー情報の開示まで裁判所に請求するなどソニーが強硬な手段をとったことだったといわれる。ネット上の自由が侵害されるととらえたアノニマスは、4月3日にブログ上で「オペレーション・ソニー」(ソニー作戦)と称して、ソニーに対してサイバー攻撃をしかけると宣戦布告した。
ソニーが運営するウェブサイトは接続不能となったが、その後登場するのが(4)のタイプに分類される別のハッカー集団「ラルズセック」。ソニーのネットワークシステムの脆弱性をついて不正にデータベースにアクセスし、大量の個人情報を盗み取ったとみられる。彼らはその後も任天堂、米連邦捜査局(FBI)、米中央情報局(CIA)などにもサイバー攻撃を加え、6月26日、同集団のウェブサイトで50日間におよぶ一連のサイバー攻撃の終了と組織の解散が宣言された。
ソニーは、この事件に関して11年度だけで140億円の費用を計上した。サイバー攻撃の標的になって個人情報が流出すれば、賠償や対策のため多額の出費を余儀なくされるだけでなく、企業イメージが低下するなど、その損害は甚大なものとなる。
一部にはソニー側の脆弱性を問題視する声もあるが、どの企業でも「第2のソニー」になる可能があることを強く認識する必要がある。
イラン政府を震え上がらせた攻撃
サイバー攻撃の標的は企業だけにとどまらない。まるでSF小説さながらに国家を狙ったと思われるサイバー攻撃が、すでにイランの核関連施設で起きている。これは「Stuxnet(スタックスネット)」と呼ばれる不正プログラムがウラン濃縮施設のコンピュータを攻撃し、遠心分離機をコントロールする制御システムのプログラムを書き換え、回転数を意図的に変えるというものだった。核兵器に利用する濃縮ウランを製造できなくなり、実際に「イランの核開発を数年遅らせた」(クリントン米国務長官)と米ニューヨーク・タイムズ紙は報じている。
このスタックスネットは、これまでのサイバー攻撃の常識を覆した。通常、核関連施設や重要インフラなどは外部と遮断された閉鎖的なネットワークで構築されている。しかし、今回はUSBを媒体として巧みに何人もの人間を介して感染が拡大した。最終的には核関連施設内のコンピュータにまで侵入していった。またこの不正プログラムは、独シーメンス社製のある周波数変換器が特定の周波数で遠心分離機を制御するときのみに作動するように作成されていた。
発見当初からスタックスネットの解析をしてきたセキュリティソフト会社シマンテックの濵田譲治シニアセキュリティレスポンスマネージャは「開発には数千万円のコストと10人ほどの高度な技術者が半年以上の期間をかけなければ不可能と思われる」と話す。作成したのは、米国やイスラエルなどではないかと報道されているが、詳細は不明である。
「風邪」レベルだったコンピュータウイルスは、新型インフルエンザを経て生物兵器にまで進化している。攻撃手段の質が高くなっている上に、それを簡単に手に入れることができてしまう時代に入っており、量的にも拡大している。「今まで狙われなかったから大丈夫」「狙われるような情報はない」という過信はもはや幻想だ。
「WEDGE8月号」特集「サイバーテロ ソニーは明日の我が身」では、他に以下の記事が読めます。
◎認識不足の経営者 穴だらけの国家
◎米国発緊急寄稿「米政府が抱く危機意識」
パトリック・リンカーン(米国土安全保障省)/清貞 智会(米SRI)
■「WEDGE Infinity」のメルマガを受け取る(=isMedia会員登録)
週に一度、「最新記事」や「編集部のおすすめ記事」等、旬な情報をお届けいたします。