有効な対策としては、SINETにアクセスする際には、二要素認証を実施して認証することだ。二要素認証とはパスワードだけでなくもう一つの認証技術を組み合わせて認証することをいう。例えばICカードをかざさなければ認証されないなどの仕組みを併用することが望まれる。
それともう一つ大事なことは、学術情報データベースなどにアクセスする場合には、「排他制御」を行うことだろう。そして学生が卒業した場合には、IDを無効にした上で、継続してアクセスが必要な者に対して再申請させるなど、IDの管理システムがしっかりと機能することが大切である。
政府はマイナンバーの普及に躍起だが、学生や教授などに対してマイナンバーの認証機能を利用させてはどうか。日本の知財を守る最低限のセキュリティの仕組み作りが大切だ。
セキュリティが無いに等しい日本の大学
IDとパスワードのセットが大量に闇サイトで販売されている背景には、メールシステムの不備がある。一旦メールシステムに脆弱性が見つかると、そのメールシステムで管理されているIDやパスワードがごっそり持ち去られてしまう。パスワードが暗号化されて保存されているケースでも復号化されて販売されているのが実態だ。
売買されているメールアドレスやパスワードは、大半がこうして収集されている。そして、その手口で用いられるシステムの脆弱性情報もまた闇サイトで販売されているのが現状だ。東京大学を例に取ると22年2月22日現在、9000種類ものシステムの脆弱性情報が売りに出されているのが確認されている。
例えばロシアの「ExitQ」というハンドル名のハッカーが、ロシアの地下フォーラム「XSS.IS」で、東京大学のVPN装置の脆弱性情報を700ドルで販売すると告知している。VPVはインターネット上に特定の人だけが使える仮想の専用線を構築する装置で、盗聴や改ざんから通信を守る働きがある。
東京大学ではVPN装置として米国製品のPulse Secureを使っているが、そのPulse Secureの脆弱性情報や管理者のID、パスワードが売りに出されているのだ。Pulse Secureのホームページでは、一連の脆弱性への対処方法がアナウンスされているが、早急に対処しなければ、VPNが乗っ取られることにもなりかねない。
いま、日本では病院を狙ったランサムウェアの被害が深刻だと大騒ぎしているが、知財の流出は被害者の自覚がないまま、静かに進行しているのが現実だ。これ以上、被害が拡大しないよう、IDのライフサイクルに応じた管理方法やデータベースの排他制御、ネットワークのセキュリティ強化など、検討すべき課題は多い。
いまやすべての人間と国家が、サイバー攻撃の対象となっている。国境のないネット空間で、日々ハッカーたちが蠢き、さまざまな手で忍び寄る。その背後には誰がいるのか。彼らの狙いは何か。その影響はどこまで拡がるのか─。われわれが日々使うデバイスから、企業の情報・技術管理、そして国家の安全保障へ。すべてが繋がる便利な時代に、国を揺るがす脅威もまた、すべてに繋がっている。
特集はWedge Online Premiumにてご購入することができます。
▲「Wedge ONLINE」の新着記事などをお届けしています。
