テクノロジー

宮本久仁男氏が語る 知っておきたい「ゼロ・デイ脆弱性」

(みやもと・くにお)
1969年東京生まれ。電気通信大学通信工学科を卒業後、NTTデータ通信(当時)に入社。コンピューターのオペレーティング・システム(OS)や電子商取引実験システム、情報セキュリティー関連技術の研究開発と社内技術支援、所属部門における情報セキュリティー推進管理業務などを担当。在職中に情報セキュリティ大学院大学情報セキュリティ専攻科博士後期課程に入学、2011年に修了。博士(情報学)。現在はNTTデータ品質保証部情報セキュリティ推進室に設置されている「NTTDATA︲CERT」のメンバーである。社内ではエグゼクティブITスペシャリスト(セキュリティー)にも認定されている。
 独立行政法人・情報処理推進機構の「脅威と対策」研究会メンバーや、サイバー・セキュリティー面の若手の人材発掘・育成を目的とした民間団体「セキュリティ・キャンプ実施協議会」の企画・実行委員なども務めている。監訳書に『欠陥ソフトウェアの経済学』(オーム社)、共同監訳書に『実践Metasploit』(オライリージャパン)などがある。

 今回は、株式会社NTTデータ(東京都江東区)品質保証部情報セキュリティ推進室の「NTTDATA︱CERT(Computer Emergency Response Team) 」シニアエキスパートである宮本久仁男氏に登場いただいた。

 同氏は、サイバーセキュリティーの実務者としてNTTデータ社内およびグループ企業約210社でセキュリティー事故が起きた際、即座に出動し、復旧を支援する業務に従事。また事故対応や防止のため研究・開発も担当している。このほか社外活動として、サイバーセキュリティーに従事することのできる人材の発掘や育成活動にも取り組んでいる。同氏は、現在、各地で行われているサイバー攻撃は「ゼロ・デイ脆弱性」を悪用したものだと指摘した。

ーー宮本さんがサイバー攻撃問題に取り組み始めたきっかけは?

宮本 私は20年以上前からOS(Operating System=コンピュータを動作させるための基本的な機能を備えたソフトウェア)などの基盤ソフトウエアや通信ネットワークに強い興味を持ち、その技術を調べたり、自分でシステムを作ったりしてきました。それだけだと単なる〝ソフト屋〟ですが、私の場合は自宅のサーバーに不正侵入されたり、普段使っていたコンピューターがウイルスに感染したりという被害を受けたことがありました。それに対応した際、大変に痛い目に遭ったことも手伝って、サイバーセキュリティー問題に取り組み始めました。

攻撃と被害との因果関係を特定することは困難と語る宮本久仁男氏

 ーー現在、各地で起きているサイバー攻撃の実態についてどう見ていますか。

宮本 攻撃というと、まず物理的な攻撃を思い浮かべますが、物理的な攻撃については、人が傷ついたり、ものが壊れたりと攻撃の結果をすぐに確認することができます。

 他方、サイバー攻撃を受けると、コンピューターが誤動作したり、コンピューター内に保管しているデータが外部に漏れたり、改ざんされたりすることがあります。しかし、攻撃された側は、何が起きたのかについて、すぐに目に見える形で実感できないことが多く、攻撃と、攻撃による被害の因果関係をすぐに特定することが困難という特徴があります。

 コンピューターやインターネットの利用が当たり前になった現在、サイバー攻撃を受けて困らない人は少ないと考えます。攻撃された跡が見えないうえに困ったことになってしまうわけですから、一般の人たちは「何?それ怖い」と、未知なるものに対して恐怖心を持ってしまうのではないでしょうか。

ーー恐怖心を除去する方法は?

宮本 第一にサイバー攻撃のことをよく知ることです。未知のものでなくなれば、ある程度、怖くなくなります。第二にサイバー攻撃を仕掛けてきた相手を完全に解明するのは通常、困難だと割切ることです。第三に因果関係を推しはかり、攻撃者が使う攻撃の〝道具〟を知っておく必要があるということです。

宮本久仁男氏の見解 中央省庁攻撃には「ゼロ・デイ脆弱性」も使用された

ーー その道具とは?

宮本 道具とは攻撃に使われる手法や、狙われる脆弱性のことを指しますが、私が持った印象は、以前から知られている攻撃手法や脆弱性をはじめとして、使い古された道具が多いのでは、ということです。もちろん、そんなものばかりではなく、真に恐れるべき道具もあります。その代表例の1つが「ゼロ・デイ(zero‒day)脆弱性」と呼ばれるものです。これは「0‒day脆弱性」と表記されたり、「ゼロ・デイ攻撃」と言われたりもしますが、その意味は「まだ解決方法や対処方法が公知になっていない、つまり一般的に知られていない脆弱性(セキュリティーホールとも呼ばれる。ソフトウェアのバグ=誤り=に起因するものが多いが、仕様により引き起こされることもある)を使って攻撃する」というものです。

「ゼロ・デイ」とはまさに「対処するいとまもない」「猶予期間もない」「時間がない」という状況を指しています。「ゼロ・デイ」は対処が難しいとされていますが、それを攻撃側が効果的に使おうとした場合、費用がかかります。このため、多くの攻撃では使い古された道具が使用される傾向にあるようです。もちろん、使い古されているからといって油断してはなりませんが。

ーー 「ソフトウエアには脆弱性がある」ということは知っていましたが、「ゼロ・デイ脆弱性」という用語は初めて聞きました。

宮本 サイバーセキュリティーの世界では「ゼロ・デイ脆弱性を使って攻撃された」と聞けば、「それはまずい」という声が出るほどの共通認知を得ています。

ーー そうですか。では具体的な攻撃例は? 

宮本 今年8月から9月にかけて日本の中央省庁などがウィルス感染を試みるような攻撃を受けました。その攻撃の中には「ゼロ・デイ脆弱性」が使われた部分もありました。このように対象を特定の範囲に絞った攻撃は「標的型攻撃」と呼ばれますが、攻撃者がその攻撃によってもくろんだ効果次第では「ゼロ・デイ脆弱性」を投入することも十分ありえます。

ーー ソフトウエアが持つ脆弱性の実情や、それへの対処方法は次回に伺いましょう。

 
経済界 電子雑誌版のご購入はこちら!
雑誌の紙面がそのままタブレットやスマートフォンで読める!
電子雑誌版は毎月25日発売です
Amazon Kindleストア
楽天kobo
honto
MAGASTORE
ebookjapan
 

雑誌「経済界」定期購読のご案内はこちら

経済界電子版トップへ戻る

関連記事

好評連載

エネルギーフォーカス

一覧へ

緑の経済成長とエネルギー

[連載] エネルギーフォーカス

Energy Focus

[連載] エネルギーフォーカス

今後、10年後の電力業界の様相(2)

[連載] エネルギーフォーカス

発電単価から既存原発の経済性を考える

テクノロジー潮流

一覧へ

科学技術開発とチームプレー

[連載] テクノロジー潮流

テクノロジー潮流

[連載] テクノロジー潮流

エボラ出血熱と情報セキュリティー

[連載] テクノロジー潮流

21世紀の日本のかたち 農電業と漁電業

[連載] テクノロジー潮流

工学システムの安全について

[連載] テクノロジー潮流

エネルギー移行と国民の価値観の変化

ビジネストレンド新着記事

注目企業

一覧へ

社員17人で41億円を売り上げた社長が語る「中国で越境ECを成功させる秘訣」―栖原徹(ピルボックスジャパン社長)

今や米国と並び、世界最大級の消費市場となった中国。その中国で爆発的なヒットを飛ばしているのが健康食品・サプリメントなどの越境ECで展開するピルボックスジャパンだ。同社を率いる栖原徹社長に、中国市場で成功するための秘訣を聞いた。(取材・文=吉田浩) 栖原徹・ピルボックスジャパン社長プロフィール…

栖原徹・ピルボックスジャパン社長

意思決定の効率化を実現しデータ活用に革命を起こす―インティメート・マージャー

総合事業プロデューサーとして顧客と共に成長する―中尾賢一郎(グランドビジョン社長)

新社長登場

一覧へ

森島寛晃・セレッソ大阪社長が目指すクラブ経営とは

前身のヤンマーディーゼルサッカー部を経て1993年に創設されたセレッソ大阪。その25周年にあたる2018年12月に社長に就任した森島寛晃氏は、ヤンマー時代も含めて通算28年間セレッソ一筋、「ミスターセレッソ」の愛称を持つ。今も多くのファンに愛される新社長が目指すクラブ経営とは。聞き手=島本哲平 Photo=藤…

森島寛晃・セレッソ大阪社長

カリスマ創業者の後任として描く「新しいマネックス証券像」― マネックス証券社長 清明祐子

「若者需要の開拓でビール市場を盛り上げていく」塩澤賢一(アサヒビール社長)

イノベーターズ

一覧へ

起業家にとって「志」が綺麗ごとではなく重要な理由―坂本憲彦(一般財団法人立志財団理事長)

 企業経営者にとって「理念」や「志」が大事とはよく言われるものの、今一つピンと来ない向きも多いのではないだろうか。成功した経営者がいくら精神面の重要性を説いても、日々の現実と格闘している経営者にとっては、ただの綺麗ごとに聞こえてしまうかもしれない。 それでも、ビジネスを成功させるために最も大切なのは「志」だと…

立志財団

勉強ノウハウと法律知識で企業の「働き方改革」を促進する―鬼頭政人(サイトビジット社長)

アスリートのセカンドキャリア問題に真正面から取り組む―中田仁之(一般社団法人S.E.A代表理事)

大学の挑戦

一覧へ

専門分野に特化した“差別化戦略”で新設大学ながら知名度・ブランド力向上を実現――了徳寺大学・了徳寺健二理事長・学長

2000年設立で、了徳寺大学が母体のグループ法人。医療法人社団了徳寺会をグループ内に持つ。大学名の「了」は悟る、了解する、「徳」は精神の修養により、その身に得た優れた品性、人格を指す。「了徳寺」は人間としての品性、道を論す館の意味を込めた大学名だ。 聞き手=本誌/榎本正義 、写真/佐々木 伸 …

大学の挑戦

創立100周年、西南学院大学・K.J.シャフナー学長「世界に貢献しインパクトを与える人材を育てる」〜国際交流・就職支援・インターネット出願〜 

「“STAND BY YOU”のスローガンの下、学生一人ひとりに寄り添う教育を」――中央学院大学・佐藤英明学長

経済界からのお知らせ

最新号のご案内

経済界2020年3月号
[特集] 令和女史のリーダー哲学
  • ・元谷芙美子(アパホテル社長)
  • ・石黒不二代(ネットイヤーグループ社長)
  • ・小巻亜矢(サンリオエンターテイメント社長)
  • ・石渡美奈(ホッピービバレッジ社長)
  • ・戸田泰子(理化電子社長)
  • ・吉本新喜劇で初の女性座長は「イキらず、驕らず、高ぶらず」の支えるリーダー
  • ・敏腕ヘッドハンターが語る リーダーに求められる力は使命感に裏付けられた勇気
  • ・本と映画に学ぶ女史たちの生き様
[Special Interview]

 橋本聖子(女性活躍・東京五輪・男女共同参画担当大臣)

 女性が輝く新時代へ 政治家もOne Team

[NEWS REPORT]

◆CESでコンセプトカーを発表 ソニーが自動車メーカーになる日

◆アマゾンと提携したライフ 新規顧客獲得は成功するのか

◆ゴーン被告逃亡の影響は? 内田誠・日産新社長の前途

◆血液によるがん診断で日本の医療費は高騰する

[特集2]

 スタートアップ!関西

 日本の起業家たちが関西に注目する理由

ページ上部へ戻る