テクノロジー

知っておきたいサイバー攻撃の〝道具〟として使わている「ゼロ・デイ脆弱性」

(みやもと・くにお)
1969年東京生まれ。電気通信大学通信工学科を卒業後、NTTデータ通信(当時)に入社。コンピューターのオペレーティング・システム(OS)や電子商取引実験システム、情報セキュリティー関連技術の研究開発と社内技術支援、所属部門における情報セキュリティー推進管理業務などを担当。在職中に情報セキュリティ大学院大学情報セキュリティ専攻科博士後期課程に入学、2011年に修了。博士(情報学)。現在はNTTデータ品質保証部情報セキュリティ推進室に設置されている「NTTDATA︲CERT」のメンバーである。社内ではエグゼクティブITスペシャリスト(セキュリティー)にも認定されている。
 独立行政法人・情報処理推進機構の「脅威と対策」研究会メンバーや、サイバー・セキュリティー面の若手の人材発掘・育成を目的とした民間団体「セキュリティ・キャンプ実施協議会」の企画・実行委員なども務めている。監訳書に『欠陥ソフトウェアの経済学』(オーム社)、共同監訳書に『実践Metasploit』(オライリージャパン)などがある。

 今回は、株式会社NTTデータ(東京都江東区)品質保証部情報セキュリティ推進室の「NTTDATA︱CERT(Computer Emergency Response Team) 」シニアエキスパートである宮本久仁男氏に登場いただいた。

 同氏は、サイバーセキュリティーの実務者としてNTTデータ社内およびグループ企業約210社でセキュリティー事故が起きた際、即座に出動し、復旧を支援する業務に従事。また事故対応や防止のため研究・開発も担当している。このほか社外活動として、サイバーセキュリティーに従事することのできる人材の発掘や育成活動にも取り組んでいる。同氏は、現在、各地で行われているサイバー攻撃は「ゼロ・デイ脆弱性」を悪用したものだと指摘した。

ーー宮本さんがサイバー攻撃問題に取り組み始めたきっかけは?

宮本 私は20年以上前からOS(Operating System=コンピュータを動作させるための基本的な機能を備えたソフトウェア)などの基盤ソフトウエアや通信ネットワークに強い興味を持ち、その技術を調べたり、自分でシステムを作ったりしてきました。それだけだと単なる〝ソフト屋〟ですが、私の場合は自宅のサーバーに不正侵入されたり、普段使っていたコンピューターがウイルスに感染したりという被害を受けたことがありました。それに対応した際、大変に痛い目に遭ったことも手伝って、サイバーセキュリティー問題に取り組み始めました。

 

攻撃と被害との因果関係を特定することの困難さ

 ーー現在、各地で起きているサイバー攻撃の実態についてどう見ていますか。

宮本 攻撃というと、まず物理的な攻撃を思い浮かべますが、物理的な攻撃については、人が傷ついたり、ものが壊れたりと攻撃の結果をすぐに確認することができます。

 他方、サイバー攻撃を受けると、コンピューターが誤動作したり、コンピューター内に保管しているデータが外部に漏れたり、改ざんされたりすることがあります。しかし、攻撃された側は、何が起きたのかについて、すぐに目に見える形で実感できないことが多く、攻撃と、攻撃による被害の因果関係をすぐに特定することが困難という特徴があります。

 コンピューターやインターネットの利用が当たり前になった現在、サイバー攻撃を受けて困らない人は少ないと考えます。攻撃された跡が見えないうえに困ったことになってしまうわけですから、一般の人たちは「何?それ怖い」と、未知なるものに対して恐怖心を持ってしまうのではないでしょうか。

ーー恐怖心を除去する方法は?

宮本 第一にサイバー攻撃のことをよく知ることです。未知のものでなくなれば、ある程度、怖くなくなります。第二にサイバー攻撃を仕掛けてきた相手を完全に解明するのは通常、困難だと割切ることです。第三に因果関係を推しはかり、攻撃者が使う攻撃の〝道具〟を知っておく必要があるということです。

 

今夏の中央省庁攻撃には「ゼロ・デイ脆弱性」も

ーー その道具とは?

宮本 道具とは攻撃に使われる手法や、狙われる脆弱性のことを指しますが、私が持った印象は、以前から知られている攻撃手法や脆弱性をはじめとして、使い古された道具が多いのでは、ということです。もちろん、そんなものばかりではなく、真に恐れるべき道具もあります。その代表例の1つが「ゼロ・デイ(zero‒day)脆弱性」と呼ばれるものです。これは「0‒day脆弱性」と表記されたり、「ゼロ・デイ攻撃」と言われたりもしますが、その意味は「まだ解決方法や対処方法が公知になっていない、つまり一般的に知られていない脆弱性(セキュリティーホールとも呼ばれる。ソフトウェアのバグ=誤り=に起因するものが多いが、仕様により引き起こされることもある)を使って攻撃する」というものです。

「ゼロ・デイ」とはまさに「対処するいとまもない」「猶予期間もない」「時間がない」という状況を指しています。「ゼロ・デイ」は対処が難しいとされていますが、それを攻撃側が効果的に使おうとした場合、費用がかかります。このため、多くの攻撃では使い古された道具が使用される傾向にあるようです。もちろん、使い古されているからといって油断してはなりませんが。

ーー 「ソフトウエアには脆弱性がある」ということは知っていましたが、「ゼロ・デイ脆弱性」という用語は初めて聞きました。

宮本 サイバーセキュリティーの世界では「ゼロ・デイ脆弱性を使って攻撃された」と聞けば、「それはまずい」という声が出るほどの共通認知を得ています。

ーー そうですか。では具体的な攻撃例は? 

宮本 今年8月から9月にかけて日本の中央省庁などがウィルス感染を試みるような攻撃を受けました。その攻撃の中には「ゼロ・デイ脆弱性」が使われた部分もありました。このように対象を特定の範囲に絞った攻撃は「標的型攻撃」と呼ばれますが、攻撃者がその攻撃によってもくろんだ効果次第では「ゼロ・デイ脆弱性」を投入することも十分ありえます。

ーー ソフトウエアが持つ脆弱性の実情や、それへの対処方法は次回に伺いましょう。

関連記事

好評連載

エネルギーフォーカス

一覧へ

緑の経済成長とエネルギー

[連載] エネルギーフォーカス

Energy Focus

[連載] エネルギーフォーカス

電力業界のイノベーション

[連載] エネルギーフォーカス

10年後の電力業界の様相(2)

[連載] エネルギーフォーカス

発電単価から既存原発の経済性を考える

[連載] エネルギーフォーカス

日本は再生エネルギーで世界トップとなる決断を

金の卵発掘プロジェクト

一覧へ

テクノロジー潮流

一覧へ

アジア大会とノーベル賞

[連載] テクノロジー潮流

テクノロジー潮流

[連載] テクノロジー潮流

水素社会へのステップ

[連載] テクノロジー潮流

エボラ出血熱と情報セキュリティー

[連載] テクノロジー潮流

21世紀の日本のかたち 農電業と漁電業

[連載] テクノロジー潮流

工学システムの安全について

ビジネストレンド新着記事

注目企業

一覧へ

「日本初」にこだわる男のユニークな発想とビジネス――佐野秀光(情報通信ネットワークグループ社長)

「損して得を取る」事業モデル  不動産登記情報を扱う「登記簿図書館」をご存じだろうか。 かつては法務局でしか取得できなかった登記簿情報がオンラインで簡単に取得でき、かつ、法務局では対応できないさまざまなサービスを提供するというものだ。保有登記情報は全国2450万件、会員数9500社を誇る。 この登記簿図書館を…

支持政党なし

外国人を中心に需要が高まるソーシャルレジデンスで快走―オークハウス

独自のプラットフォーム戦略で、外食産業の新たなスタンダードを創造する――きちり社長 平川昌紀

新社長登場

一覧へ

「技術立脚の理念の下、付加価値の高い香料を開発します」――高砂香料工業社長 桝村聡

創業から95年、海外に進出してから50年以上たつ国際派企業の高砂香料工業。合成香料では日本最大手であり、国際的にも6%以上のシェアを持つ優良企業だ。 100年弱の歴史を持つ合成香料のトップメーカー ── まず御社の特徴をお聞かせください。 桝村 1920年創業ですから、2020年に100周年を迎える…

桝村 聡

「ネット広告が変わってもクライアント本位の姿勢は変わりません」--バリューコマース社長 香川仁

「最新情報を発信、人と企業の働く環境を良くしていきます」--マンパワーグループ社長 池田匡弥

イノベーターズ

一覧へ

老舗コニャックメゾンがブランド強化で日本市場を深耕――Remy Cointreau Japan代表取締役 宮﨑俊治

フランスの大手高級酒グループ、レミー・コアントロー社の日本法人。18世紀から愛飲されてきた名門コニャックの「レミーマルタン」や世界有数のリキュール「コアントロー」をはじめ、スピリッツやウイスキーなど戦略的なラインアップを日本市場で展開している。同社の宮﨑俊治代表取締役に事業展開について聞いた。 &nbs…

20150609_INNOV_P02

デザイナーズ家具のEC販売で業界の“常識打破”に挑戦――リグナ社長 小澤良介

内装空間の総合プロデュースで想いをカタチに創り上げる――ユニオンテック社長 大川祐介

大学の挑戦

一覧へ

専門分野に特化した“差別化戦略”で新設大学ながら知名度・ブランド力向上を実現――了徳寺大学・了徳寺健二理事長・学長

2000年設立で、了徳寺大学が母体のグループ法人。医療法人社団了徳寺会をグループ内に持つ。大学名の「了」は悟る、了解する、「徳」は精神の修養により、その身に得た優れた品性、人格を指す。「了徳寺」は人間としての品性、道を論す館の意味を込めた大学名だ。 聞き手=本誌/榎本正義 、写真/佐々木 伸 教育部門と…

大学の挑戦

創立100周年を控えて「世界に貢献し、インパクトを与える人」の育成に努めます――西南学院大学・K.J.シャフナー学長

「“STAND BY YOU”のスローガンの下、学生一人ひとりに寄り添う教育を」――中央学院大学・佐藤英明学長

企業eye

一覧へ

社員の人間力を武器に5期連続増収を果たす投資用不動産会社――パートナーズ

パートナーズは全国の中古投資用不動産の売買仲介を手掛けている。2011年の創業以来、5期連続増収を達成。吉村社長は業績好調の原動力を「社員の人間力を養い、顧客満足度の向上に取り組む姿勢にある」と語る。── 数ある投資用不動産会社の中、独自の強みについて。吉村 当社では、社員の人間力を徹底的に磨きな…

企業eye

クラウドソーシングを活用した動画制作やオンライン動画制作プラットフォームを提供――Crevo

海外ビジネスの第一線で活躍した2400人のエキスパートを擁し、日本企業の海外事業を支援。

経済界からのお知らせ

最新号のご案内

経済界6月号 [月刊記念特別号]
[特集]
トップ企業の経営哲学

  • ・永守重信(日本電産会長兼社長)
  • ・新浪剛史(サントリーホールディングス社長)
  • ・北尾吉孝(SBIホールディングス社長)
  • ・林野 宏(クレディセゾン社長)
  • ・茂木友三郎(キッコーマン取締役名誉会長 取締役会議長)
  • ・樋口武男(大和ハウス工業会長)
  • ・北島義俊(大日本印刷社長)
  • ・澤田秀雄(エイチ・アイ・エス会長兼社長)
  • ・似鳥昭雄(ニトリホールディングス会長)
  • ・押味至一(鹿島社長)

[Interview]

 貝沼由久(ミネベアミツミ社長)

 経営統合で技術の受け皿を広げ新たなIoT時代に備える

[NEWS REPORT]

◆三井住友銀行、脱・たすき掛けの深層

◆一人負け、ソフトバンクに何が起きている

◆大塚家具、ロッテ……親子・兄弟相続の相克

◆ドキュメント シャープ鴻海入り1年のドラマ

◆長者番付で分かった日の丸ベンチャーの弱点

[政知巡礼]

 石破 茂(衆議院議員)

 「地方創生こそがポストオリンピックの鍵だ」

ページ上部へ戻る