最近、官庁や企業を狙ったサイバー攻撃が急増しています。
役所って個人情報の宝庫にもかかわらず、ITリテラシー低いから狙われやすい・・
一応、内閣サイバーセキュリティーセンターという組織が政府にありますが、機能しているのか謎。
最近のサイバー攻撃に関するニュースを調べてみると、山程あります。
- 2016年2月4日 防衛関連団体にサイバー攻撃 文書の外部流出も
- 2016年2月2日 サイバー攻撃、河野国家公安委員長「さらなる攻撃に対策検討」 HP閲覧不能で
- 2016年2月1日 財務省など主要官庁にサイバー攻撃か アノニマスがツイッターで犯行声明
- 2016年1月30日 捕鯨肯定する映画「ビハインド・ザ・コーヴ」の公式HPにサイバー攻撃か 30日の劇場公開を前に
- 2016年1月27日 警察庁HPサイバー攻撃か アノニマスが声明、空港も
- 2016年1月26日 復旧したばかりの厚労省HPにまたサイバー攻撃 2日連続、3回目
- 2016年1月23日 成田空港のHP、閲覧できず…サイバー攻撃の可能性も
サイバー攻撃とは
狙ったネットワークやコンピューターに侵入し、データの流出・サイトの改ざん・サーバーダウンなどの攻撃を行います。
役所や企業や個人を狙うものと、不特定多数の人を攻撃するものがあります。
ウェブサイトの改ざん
CMSを使っているサイトだと、システムの脆弱性が狙われるのです。
定期的なアップデートをしてないと致命傷になります。ウェブサイトを改ざんされた企業のサービス受けたくないですからね。
年間でどのくらいの件数があるのかというと、一般社団法人JPCERT コーディネーションセンターへ報告されたウェブサイトの改ざん件数を見てみます。
報告を受けた件数ということなので、実際はもっと多いです。
DDoS攻撃
大量のアクセスを一斉に送りつけ集中砲火させて、サーバーを落とします。
2015年1月31日の深夜、財務省や厚労省や金融庁のサイトもDDoS攻撃を行われていたため、閲覧できない状態になりました。
DDoS攻撃を観測している「国立研究開発法人 情報通信研究機構」では、大量のアクセスをさばける設備の導入や、バックアップサイトの導入を推奨しているようです。大量のアクセスをさばくには、AWSのようなクラウドサーバーで分散させて、高いセキュリティーを構築してサイトを運営してくってことなんだろうけど、役所にそこまで求めるのは現実的には難しい。
ちなみに、「国立研究開発法人 情報通信研究機構」って日本標準時を決定しているNICTというインターネット時刻供給サービスを展開しています。聞いたことありませんか?
標的型メール攻撃
機密情報を狙う手口として使われます。
機密情報を持っている人にウイルスメールを仕込んだメールを送って感染させるサイバー攻撃です。
平成26年下半期以降、件数は増えています。
- 平成26年上半期は216件
- 平成26年下半期1507件
- 平成27年下半期1472件
日本年金機構は6月1日、約125万件の個人情報が漏えいしたと発表した。発覚日は5月28日。メールに添付された不正プログラムが原因となった可能性があるという。
漏えいした情報は「基礎年金番号と氏名」が約3万1000件、「基礎年金番号と氏名、生年月日」が約116万7000件、「基礎年金番号と氏名、生年月日、住所」が約5万2000件の計約125万件
ハッカー集団「アノニマス」
匿名のハッカー集団。自分達の主張と合わない政府や企業へサイバー攻撃を行っています。
ここ一連の役所へのサイバー攻撃は、アノニマスがTwitterで犯行声明を出したりしています。
サイバー攻撃への対策
役所へのサイバー攻撃に対して、政府はいろんな対策をやっていますが、ほとんど無意味。
まずは役人のITリテラシーを上げるのが先でしょ。
役人のITリテラシーを上げる
役人がどの程度のITリテラシーかというと、P2Pソフト入れて不正にアプリをダウンロードしたり、USBメモリからデータ流出させたり、パスワードも使いまわしだったり、メールの添付も確認せずに開封したりというレベルなのです。もう最悪。
先日、財団法人 核物質管理センターでもやらかしてるし。核検査機関で情報流出ってやばくない?
ハッカーが機密情報にアクセスする際に狙いを付けるのは、役所の関連団体です。役所よりもセキュリティーが低いから簡単にハッキングできるようです。
役所の場合、SIerにシステムを作らせて、その下請けの業者が役所に常駐するケースが多いんだけど、もっとセキュリティーを上げる努力をすべきです。
といっても、SIerにとって役所は超お得意さん。
役所の人間はITスキル全く無いし、予算さえ確保できれば、あとは言い値でシステムを購入してくれますからね。
前年の予算申請する時も、業者に2割増の見積り作らせて予算を申請。こうしておけば、財務当局から予算の一律カットがあっても、事業が実施できます。
こんな現状なので、なかなか役人に面と向かって「リテラシー低いですね~」なんて口が裂けても言えません。
サイバー対策のポストを新設
ポストだけ作っても形骸化する典型例。
審議官級のポストというけれど、審議官って事務次官に次ぐ各省のナンバー2のポストです。頭はいいけど、基本的にITの専門家ではありません。
堀江貴文さんとか西村ひろゆきさんとか、外部からITに詳しい人を審議官にしないとダメでしょ。絶対になってくれないだろうけど・・・
菅義偉(すがよしひで)官房長官は22日午前の記者会見で、平成28年度から政府の12省庁に、サイバー対策を担う審議官級のポストを新設することを明らかにした。
菅氏は、官庁や民間企業へのサイバー攻撃の増加を踏まえ、「政府の情報システム管理やサイバーセキュリティー対策は極めて重要で喫緊の課題だ」と強調。ポスト新設の狙いについて「最高情報セキュリティー責任者と情報化統括責任者を補佐し、各省庁内を指揮監督できる強力な態勢を構築する」と説明した。
最先端のシステム
電力システムのサイバーセキュリティー向上に取り組みって素晴らしいんだけど、今の段階では、役人のリテラシーを上げるのが先。
電力システムの計測データを狙ったサイバー攻撃の危険性が指摘されている。
耐ノイズ性の高い推定手法を送電系統に適用することで、高度な攻撃も検知可能とし、その影響を排除することで安定した電力制御を行う新手法を開発した。
今後は実際の送電系統のデータを用いて研究を行い、実用化に向けた展開が期待される。
今後 サイバー攻撃を防ぐには
まずは、役人のITリテラシーを向上するのが先です。
役所のシステムを構築しているSIerが、役人のITリテラシーを教育すればいいんだけど、お得意様ということもあって、なかなか難しいです。
セキュリティーと利便性はコインの表と裏の関係です。セキュリティーを高めれば高める程、利便性は下がるので、この辺が難しいところなのです。
GoogleやAppleやAmazonなど外部からITの専門家を取り入れて、もっとしっかりと運用してもらいたいです。
ナレッジ