■企業のCSOにおける「過信」を懸念～米E-Crime Watch Survey

　9月11日、米CERT/CC、Secret Service（財務省検察局）、CSOマガジンおよびMicrosoftが連名で、2007年の「E-Crime Watch Survey」の結果を公表しました。これは、企業組織のCSOや法執行機関の職員などを対象に、セキュリティに関する様々なトピックについて調査したアンケートの結果をまとめたものです。

　アンケート調査は、CSOマガジンの読者15,000人と、Secret ServiceのElectronic Crime Task Forcesのメンバーに電子メールでアンケートシステムのURLを紹介する形で行なわれ、有効回答数は671名。調査期間は2007年7月26日から8月13日で、調査対象期間は2006年7月から2007年6月、誤差は±3.79％となっています。

　調査項目は、セキュリティへの関わりの度合いから、実際に経験したコンピュータ犯罪（E-Crime）や攻撃方法、さらに攻撃から守るのに採用した方法や攻撃された後に取った法的手順などです。

　調査結果のサマリーによると、セキュリティインシデントやコンピュータ犯罪は昨年の調査結果と比較して変化はないが、その一方で企業組織のセキュリティに責任のある経営層（CSOなど）に「過信」が生まれつつあるのではないかとの懸念が示されています。

　調査によると、57％の回答者がコンピュータ犯罪に対する危機感を以前より感じていると回答しており、実際に49％の回答者（前年調査では38％）がコンピュータ犯罪を経験しているようです。この57％という数字は一見「普通」のように思えますが、逆に考えると、残りの43％は危機感を以前より感じていない、さらに言えば「セキュリティ」に対する優先度が前年よりも下がっている可能性を「示唆」しているわけです。

　この調査結果自体は、あくまでアンケートに応じてくれた人たちの回答を集計したに過ぎませんし、そもそも米国内に限られた調査ですので、この結果をもって全体を判断するのは早計だと思われます。しかし、近年の「攻撃」の多くが標的型攻撃（Targeted Attack）であり、メディアなどを通じて具体的に公表されることがないことから、実際に攻撃の被害を受ければ危機感を感じるが、被害を受けなければ危機感を感じないという、人間の心理としては極めて当たり前の結果を具体的に示すものだと思われます。

　今回の調査結果には、特に際立って興味深いデータがあったわけではありませんが、来年以降もこの調査は行なわれると思われますので、引き続き、調査結果には注目していく必要があると思います。

■今度はフランス？　またも中国人民軍の関与疑惑

　ドイツの政府機関のPCにトロイの木馬が設置された事件に、中国人民軍が関与しているのではないかとの報道があったばかり（本連載第12回を参照）ですが、今度はフランスの政府機関が攻撃されるという事件が発生しました。

　9月8日付のフランス「ルモンド」紙によると、フランス政府のネットワークが中国を発信元とするサイバー攻撃を受けたことを、フランスの国防総事務局（SGDN）が明らかにしたそうです。

　もちろんフランス政府の公式見解としては、中国政府の関与を断言する立場にないとしているようですが、報道内容のニュアンスとしては「疑惑」の存在をほのめかしています。

　また同日、英「タイムズ」紙は、中国人民軍が米軍への大々的なサイバー攻撃を準備しているとの米国防省の文書を入手したと報道しました。報道によると、2005年には米国防省への侵入の試みが79,000件以上観測され、そのうち約1,300件が成功したとのことです。

　前回の記事でも触れたように、中国人民軍にサイバー攻撃部隊が存在することはかねてより報道されていましたが、なぜ最近（8月から9月にかけて）になってこのような報道が立て続けに起こっているのか、非常に疑問です。報道されていない何かがあると考えるのは自然なことだと思われますが、本原稿執筆時点で詳細は不明です。

■米国土安全保障省のシステムの安全性、責任を問われたUnisysが反発

　9月24日、米国土安全保障委員会は5カ月にわたる調査結果から、米国土安全保障省（以下、DHS）のセキュリティ管理を外部委託している業者に重大な問題があることを指摘するとともに、DHSの監査官に対して、過去のセキュリティインシデントについて調査するように要請したことを明らかにしました。

　9月21日付で同委員会からDHSの監査官であるRichard L. Skinner氏宛に送られた要請書によると、2005年度および2006年度の間にDHSが844回もの「サイバーセキュリティインシデント」を経験していたことが今回の調査により判明したそうです。また、業者が適切な対応を取っていれば未然に防ぐことができたであろうインシデントの存在や、DHSに対して適切な情報提供を業者が怠っていたことも指摘されており、業者の責任が強く追及されています。

　一方、セキュリティ管理の委託を受けているUnisysは、当然のことながら今回の指摘に対して猛反発しており、今回の件が今後どのように展開するのか注目されるところです。

　ちなみに、公開されている要請書にも、DHSへの攻撃に関して「中国」という国名が明記されています。もちろん中国政府による諜報活動の可能性については「ほのめかす」程度にとどまっています。

■「お祈りパンダ」ウイルス作成者に禁固4年の判決、でも将来は安泰？

　以前の記事でも紹介した、「お祈りパンダ（熊猫焼香）」ウイルスを作成してばらまいた犯人とその関係者に判決が下りました。

　お祈りパンダは、2006年後半から主に中国で被害が広がり、最終的には100万台を超えるWindows PCに感染したと言われています。また、これだけの大規模な被害が中国で発生したのは初めてであることから、現地では「ウイルスの王」とまで言われていたようです。

　セキュリティベンダーSophosの情報によると、中国湖北省仙桃市の裁判所は、主犯であるリ・ジュン被告（25歳）に禁固4年、関係者3名に禁固1年から2年半の判決を下したとのことです。

　この判決内容自体が「甘い」か「厳しい」かは判断の分かれるところでしょうが、ウイルスなどマルウェアの「発生地」と呼ばれることの多い中国において、ウイルス作成者が「きちんと」処罰されたという意味では、非常に興味深い話題と言えるでしょう。

　ところが判決の翌日、中国国内の10社ほどの企業がリ・ジュン被告に対して 100万元（約1,500万円）で採用したいとの申し出をしているとの報道がありました。それらの企業の中には「お祈りパンダ」の被害を受けた企業もあるとのことです。

　これまでもこのような「犯罪」を犯した人物を採用した企業は国際的に見ても珍しくはありません。しかしそれでも、そもそも職を得られない腹いせにウイルスを作ってばらまき、金儲けをしたような犯人を採用するということは、「ウイルスを作れば高給で雇ってもらえる」とのイメージを世間に広めることにもなりかねず、企業の社会的な責任や「倫理観」が問われる問題なのではないかと思われます。

(2007/10/03)

山賀正人（やまが まさひと） セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c)2007 Impress Watch Corporation, an Impress Group company. All rights reserved.