海の向こうの“セキュリティ”

　1年の最初となる今回は、昨年1年間のセキュリティを振り返りながら、「その後」の話題などを紹介します。

●サイバー攻撃に関する報道の過熱化

　2011年のセキュリティといえば、やはり「ハクティビスト（hacktivist）」と呼ばれる活動家によるサイバー攻撃の多発がまず第一に挙げられるでしょう。特にAnonymousやLulzSecというグループ名が一般のメディアでも大きく紹介されたのは強く印象に残っています。

　このような中、日本に限らず、世界各国のメディアがサイバー攻撃に関する報道を積極的に行うようになり、これまでならIT系のメディアでしか取り上げられなかったであろう話題でも、一般のメディアが大々的に報道するケースも見られました。

　そんな若干過熱気味にも見える報道に危ういものを感じていたところに起きたのが、前回の連載でも紹介した、11月に報道された米イリノイ州の水道システムへの攻撃に関する話題です。今回はその話題の「その後」を紹介します。

　この事件は当初、イリノイ州の水道システムを制御しているSCADA（Supervisory Control And Data Acquisition）にロシアを発信源とする攻撃が行われ、最終的にポンプが故障したと報道されました。これが事実ならば米国の水道システムがサイバー攻撃によって実際に被害を受けた最初の事例となることから、米国内では大きく報道され、SCADAへの脅威を広く知らしめることとなりました。ところがその後、詳細な調査を行っていた国土安全保障省とFBIが、ポンプの故障がサイバー攻撃によるものであることを示す証拠は見つからなかったと発表し、サイバー攻撃は「誤報」だったとされたのですが、最初の報道とあまりに違う調査結果にかえって疑惑を生む結果になりました。

　このまま事実はうやむやにされてしまうのではとあきらめていたところ、その後、詳細な「事実」が改めて報道されたのです。

　それによると、イリノイ州の水道システムのSCADAをセットアップした業者の1つであるNavionics Research社の創設者でオーナーのJim Mimlitz氏が、6月に休暇で家族とロシアを旅行している際に、水道会社からある案件でアドバイスが欲しいとの依頼が携帯電話にあり、仕方なくリモートからSCADAのシステムにログインしたことがあるらしく、これが「ロシアからの攻撃」と誤認されたというのです。

　ロシアからもログインできる状態が果たして良いのかという問題はさておき、「正規のログイン」を攻撃と誤認してしまうとは情けないにもほどがあります。実際、ログにはロシアのIPアドレスとともにMimlitz氏のユーザ名も記されており、普通ならまずMimlitz氏にロシアからログインしたことがあるかを確認すべき。ところが、誰もそれをしようとはせず、ただロシアのIPアドレスがあるというだけで「ロシアからの攻撃だ!!」と騒ぎ立ててしまったというわけです。

　結果的にはセキュリティインシデントではなかったのですが、これは「悪いインシデント対応」の典型例。極めて初歩的なミスでインシデントであると誤解し、その誤解のままメディアにリークしてしまうなど、インシデントマネジメントが全くできていない証しです。

　米国の重要インフラに対しては、オンサイトで実際に対応するCSIRT「ICS-CERT（Industrial Control Systems Cyber Emergency Response Team）」が国土安全保障省の下に組織され、今回のイリノイ州の件でも実際の調査分析を行っていますが、いくらICS-CERTが頑張っても、重要インフラ事業者側でインシデントマネジメントが全くできていなければ、今回のような事態は再び発生するでしょう。今回は結果的に「セキュリティインシデントではなかった」ということで重大な事態には至らなかったから良かったものの、重要インフラ事業者のインシデントマネジメント能力の欠如は、基本的なセキュリティ対策自体も十分にできていない可能性を示すものであり、信頼は大きく損なわれます。今回の件が教訓となり、ICS-CERTに任せておけばOKというのではなく、事業者自身にもインシデントマネジメント能力が必要であるとの「改心」を願うばかりです。

　このようにイリノイ州の件は、一応「誤報」ということで片付けられていますが、この事件をきっかけに起きたpr0fと名乗る者によるテキサス州の水道システムへの侵入事件については相変わらず詳細は不明なまま。そんな中、FBI副長官代理（deputy assistant director）のMichael Welch氏がロンドンで行われた国際会議の場で、米国の3つの市のインフラがSCADAシステム経由で外部の第三者からアクセスされた事件があったと話したことが波紋を呼びました。イリノイ州やテキサス州での事件の直後だけに、その関連性が気になるところですが、Welch氏はそれを明言しなかったため、ますます事態を混乱させてしまったのです。この発言の根拠がどこにあるかは結局不明ですが、時機を見ない無責任な発言とのそしりは免れないでしょう。

　さて、イリノイ州の「誤報」の件は、インフラ事業者側のインシデントマネジメント能力の欠如が最大の原因ですが、同時にメディア側の過熱気味の報道姿勢にも責任の一端はあると言えます。そうした過熱気味の報道がある中で、FBIのサイバー関連予算はぐっと増えるらしく、何となく「話が出来過ぎじゃね？（Sound too good to be true ?）」と言いたくなるのは私だけではないようです（苦笑）。

■URL
　Information Age（2011年11月29日付記事）
　Hackers accessed city infrastructure via SCADA - FBI
　http://www.information-age.com/channels/security-and-continuity/news/1676243/hackers-accessed-city-infrastructure-via-scada-fbi.thtml
　Wired.com（2011年11月30日付記事）
　Exclusive: Comedy of Errors Led to False ‘Water-Pump Hack’ Report
　http://www.wired.com/threatlevel/2011/11/water-pump-hack-mystery-solved/
　Sophos Naked Security（2011年12月13日付記事）
　FBI acknowledges more SCADA attacks, increases cyber budget
　http://nakedsecurity.sophos.com/2011/12/13/fbi-acknowledges-more-scada-attacks-increases-cyber-budget/

■関連記事
　・第63回：米国イリノイ州とテキサス州の水道システムが侵入される？
　　http://internet.watch.impress.co.jp/docs/column/security/20111201_494535.html

●韓国、子供たちを対象としたオンラインゲーム規制のその後

　この連載ではおなじみの韓国の話題を1つ。

　韓国で11月20日から施行された、16歳（数え年）未満の子供たちの深夜0時から朝6時までのオンラインゲームの利用を禁止する、いわゆる「シャットダウン制」のその後について紹介します。

　この制度は、数年前から導入に向けた動きがありながら、省庁間の政治的駆け引きの末に2010年12月にようやく合意に至った、いわくつきの制度。制度導入前からその実効性には疑問の声が多く、すぐに撤廃されるだろうと言われていましたが、まさにその通りの状況が見え始めています。

　実際に韓国のメディアが中学生らにインタビューしたところによれば、中学生の子供たちが主に楽しむゲームはそもそも19歳以上の大人向けのもので、最初から親の住民登録番号で登録しているので制度の導入に関しては全く影響を受けていないのだそうです。

　また、保護者からは、子供が親の名義で勝手にゲームに登録していることを分かっていても、退会の手続きが難しくて対応できないとの声も上がっています。

　他にも子供たちからは「勉強は深夜を過ぎてもやらせるのに、ゲームだけ深夜を過ぎては駄目なのは矛盾している」という意見や、中学校教員からは「遊ぶ時間のない子供たちに一人でできる遊び（息抜き）であるゲームを奪っている」との指摘もあり、今回導入された制度に賛成する意見はほとんど見られなかったそうです。

　いずれも予想通りのものですが、「イケイケ」の韓国らしい「シャットダウン制」がいつまで続くのか、「生温かく」見守ろうと思います（笑）。

■URL
　電子新聞（2011年12月20日付記事、韓国語）
　“純真な政府”…シャットダウン制、鼻でせせら笑う子供たち
　施行1カ月…“純真な政府の100％滅びた制度”
　http://www.etnews.com/201112200008

■関連記事
　・第46回：青少年へのオンラインゲーム規制、韓国で「シャットダウン制」案
　　http://internet.watch.impress.co.jp/docs/column/security/20100709_379029.html
　・第54回：韓国オンラインゲーム「シャットダウン制」導入へ
　　http://internet.watch.impress.co.jp/docs/column/security/20110307_431186.html

●「APT攻撃」という用語

　最後に個人的な「思い」を1つ。

　2011年に広まったセキュリティ関連用語として「APT（Advanced Persistent Threat）攻撃」がありますが、この用語には甚だ疑問を感じています。わざわざAPT攻撃という新しい言い回しを使うことで、かえって問題を複雑化しているだけのように思えてならないのです。

　APT攻撃とは、日本語で簡単に言ってしまえば「粘着的標的型攻撃」。攻撃が執拗で「（非技術的な部分で）巧み」になっただけで、技術的には普通の標的型攻撃に比べて際立って高度と言うわけでもないのに、あえて「Advanced」と称することで危機感を必要以上に煽り、「新たな脅威」として「新しいビジネス」に結び付けようというのは、これに限ったことではないですが、それにしてもちょっと露骨でしょう。

　とは言っても、すでにこれだけ広まってしまった以上、今さら「使うな」というのも無理な話なんでしょうが、少なくとも日本では「APT攻撃（粘着的標的型攻撃）」くらいの表記にして欲しいところです。