平成の30年間は情報セキュリティの観点から振り返ってみると、まさに「悪意ある攻撃の巧妙化」と「情報セキュリティ技術の進化」とのイタチごっこでした。
そこで今回は、社会に大きなインパクトを残し、今日の情報セキュリティを作り上げる礎となったインシデントをいくつか紹介していきます。巧妙化する攻撃に対し、セキュリティ技術がどの様に変化を遂げ、いかに進化してきたのかを過去から探り、今後隆盛するであろうIoT(Internet of Things)時代のセキュリティ対策についても触れていきたいと思います。
平成はコンピュータの進歩そのものの歴史
平成という時代は、個人向けコンピュータが大きく花開いた時代でした。
家庭用コンピュータや個人向けに最適化されたOSが次々と発売されたことで、それまで法人利用が中心だったインターネットを個人であっても気軽に利用することが可能になったのです。
広大な情報ネットワークを得た人類は、その利便性を駆使しながら飛躍的な進歩を遂げてきました。一方、不特定多数の情報とつながるようになったことで、多くの悪意にさらされるようにもなったのです。
インターネット黎明期から現在に至るまで、実際にどのような悪意あるセキュリティインシデントが引き起こされたのかを振り返っていきます。
平成元年:日本初のコンピュータウイルス
初めて国産のコンピュータウイルス「Japanese Christmas」が確認されました。
これはMS-DOSにおいて発見されたメモリ常駐型のコンピュータウイルスで、当時使われていたフロッピーを経由して感染が拡大していくといったものでした。
被害内容としては、12月25日のクリスマス当日になると画面上にクリスマスツリーが表示されるという、今から考えれば他愛のないものでしたが、自動で感染・拡大していくウイルスとして、日本で初めて確認された事例として知られています。
平成7年:Officeファイルに感染する自己増殖型ウイルス
Windows95が発売されたことで個人向けコンピュータが大流行しました。
それに伴い、Officeソフトも広く普及していったのですが、そのことで目立つようになったのが「マクロ感染型ウイルス」です。WordやExcelといったファイルのマクロ機能にウイルスを忍ばせ、メールで送付することで感染を拡大させていきました。
このウイルスの特徴は、何と言っても“自己増殖し感染していく”ということです。最初に感染したファイルから別のファイルへと感染を拡大し増殖していくマクロ型ウイルスは、昨今一般的になっているコンピュータウイルスのひとつの契機となったと言えるでしょう。
平成10年:大規模ハッキングのはじまり
アメリカ国内の学術ネットワークや軍・政府系のコンピュータまでもが被害を受けた「ソーラー・サンライズ」と呼ばれる大規模なハッキング事件が発生しました。当時の政治的な争いを背景に、様々な機関のコンピュータが不正にアクセスされ、内部の情報を搾取されたのです。
この事件は、世界中に「サイバー攻撃」への姿勢を改めさせたとして、現在の情報セキュリティ体制を語るうえで欠かすことのできない事例となっています。
平成11年:データ漏洩による住民基本台帳データ販売事件
全国に先駆けて住民基本台帳の電子データ化に取り組んでいた宇治市で約22万人分の個人情報漏えい事件が発生しました。
流出の原因は不正アクセスやクラッキングによるものではなく、システム開発を再々委託された企業の従業員が不正に搾取したというものでした。さらに驚くべきなのは、漏洩した情報が繰り返し再販売され、その中で情報を手に入れた業者が「宇治市が保管していた個人情報を販売する」という広告をインターネット上に配信していたのです。
このことは個人情報を搾取した従業員はもちろん、当時の個人情報に対する世間の意識の弱さや、データそのものの取り扱いに関する概念の欠如を表しているとも言えます。
ちなみにこの事件は、日本で初めて情報流出に対して慰謝料が支払われたことでも有名です。法廷で示された基準は現在でも参考にされており、慰謝料の相場観を方向付けた事件だったといえます。
平成12年:省庁WEBの改ざんと不正アクセス禁止法施行
2000年問題がひと段落したのも束の間、複数省庁のWEBページ改ざん事件が発生しました。日本の主要機関が一斉に改ざん被害を受けたのは初めてのことです。
“不正アクセス禁止法”の施行直前だったことや、個人向けの高速インターネットが飛躍的に拡大していたことなどから、メディア等でも大きく報道されました。
その後、情報セキュリティ対策推進室が内閣官房に設置されるなど、官民に広くセキュリティ意識が形成され、社会全体にセキュリティレベルを向上させようという機運が高まりました。
平成16年:フィッシング詐欺の始まりと加速するインターネット
これまでのセキュリティインシデントと言えば、コンピュータ内部にあるプログラムやファイル、WEBページなどに悪事を働くことで情報を搾取したり、WEBページを改ざんしたりするものが大半でした。しかし、この年になると、現在でも多くの被害を出している「フィッシングメール」が見られるようになります。
それまでの攻撃との一番の違いは、第三者機関に保存されている情報を搾取するのではなく、直接個人に悪意のある攻撃を仕掛けるという点です。
この背景にあるのはADSL(高速インターネット)回線の普及だと見られています。個人でも高速インターネットの利用が可能になったことで攻撃者に狙われやすくなったのです。
平成17年:多様化するセキュリティ攻撃
この頃になると、コンピュータやインターネットがさらに一般化していきました。しかし「便利さの影」で悪意ある攻撃も同時に一般化していき、私たちの生活を脅かすようになったのです。
大規模インシデントが続出したこの年は、実に多様な攻撃が見られました。振り返ってみると、いま存在している攻撃手法のほとんどはこの頃に出揃っています。
ミクシィに日記が自動投稿されてしまう「ぼくはまちちゃん」事件(CSRF攻撃)やDDoS攻撃の増加拡大、価格ドットコムへの大規模不正アクセス。これらの事件をご存知の方も多いのではないでしょうか。また、“個人情報保護法”が制定されたのもこの年です。
個人向けセキュリティソフトの導入が本格的に叫ばれ始めたのもこの頃からです。多様化する攻撃に対してどのように防御していけば良いのか、各メーカーが工夫を凝らし、可能な限りセキュリティ性能を高めようと新機能を続々とリリースしていました。
一方、機能に重きを置きすぎたためにコンピュータの挙動が遅くなり、「機能」と「軽さ」のバランスという、現代にまで続く問題が模索され始めたのもこの頃のことです。
攻撃は一般化し、セキュリティソフトが必須の時代へ
平成20年以降、さらにインターネット環境は進化していきました。光ファイバーやそれに類する高速回線(FTTHや4G、5Gネットワーク)が登場し、情報通信環境は今もなお拡充され続けています。
しかし、この進化は私たちにとって便利であると同時に、悪意ある攻撃者に付け入られる隙が大きくなっているということも忘れてはなりません。
ここまで攻撃環境が整い、語弊を恐れず言えば「隙だらけ」になった現在、セキュリティソフトを導入していないコンピュータはもはや「存在してはならない」といっても過言ではないでしょう。
ただ、一昔前まではネットワークとつながる機器といえばコンピュータかせいぜい携帯電話くらいのものでしたが、最近ではスマートフォンやタブレット、スマートスピーカー、果ては冷蔵庫などの白物家電までもがネットワークにつながる時代となりました。
コンピュータにセキュリティソフトを入れるのは、もはや当たり前の時代です。今後はIoTデバイスに代表されるコンピュータ以外の機器に、どの様にしてセキュリティ対策を施していくのか、と言うことが重要になっていきます。
IoT時代に備えるセキュリティの未来、LANからWANへ
これまでは家庭に設置されているLAN(Local Area Network)にぶら下がる形で通信を行っていたデバイスたちですが、今後はモバイルネットワーク(実用化目前の5G回線など)に直接つながっていくものと思われます。そのため、今後はそれぞれのデバイスごとにセキュリティを担保していかなければなりません。
そのデバイス新元号に対応していますか?
私たちが日常的に使用しているIT機器の中には、意外と改元に対応していないものが多くあることをご存知でしょうか?
最もわかりやすいのは、Windowsのコンシューマー向けOSです。WindowsがリリースしているOSのうち、本稿の執筆時点で『新元号に対応している』と明確に表明し、アップデートが保証されているのは、Windows10のみです。
セキュリティ担当者として、身の回りの設備や端末がきちんと最新の状態で保たれているか、そしてきちんと情報セキュリティが担保されているかを確認するようにしましょう。