続いて伊藤氏は、JPCERT/CCが今年3月に実施したセキュリティインシデントの実態に関する調査結果について報告。特に標的型攻撃と呼ばれる、特定の企業や組織に狙いを定めた攻撃についての話題となった。
調査では、国内の企業2,000社に調査票を配布、そのうちの282社から回答が寄せられた。結果によれば、これまで11.7%の企業が標的型攻撃と見られる攻撃を受けたと回答、そのうちの7.8%が過去1年間に攻撃を受けており、ここ最近で急激に攻撃が増えている、と伊藤氏。
伊藤氏は、これまでの標的型攻撃が官公庁などの政府機関を対象にしているものが多いと言われていたものの、民間でも業種を問わず攻撃の標的になっている現状を指摘する。
攻撃の多くはその企業の関係者を装ったメールを送信、社員のPCにウイルスをインストールさせたり、メールからWebサイトに誘導して情報を入力させたり、さらにはその企業の顧客を狙う、といった攻撃も多かったようだ。
それに対して、7割前後の企業がインシデント対応部署を明確化していたり、管理部署を一元化していたそうで、体制作りが進んでいる状況も伺わせた。
しかし、こうした攻撃は巧妙化し、より発見しにくくなっているうえに、標的型攻撃は表面化しづらい。実際、攻撃を受けた47.2%が外部への相談や連絡を行っていなかったという。どういう攻撃があったか、どう防御したのか、といった情報が外部に出ない限り、同じ手口で別の企業が狙われる危険性があるため、伊藤氏は情報共有の重要性を強調する。
伊藤氏と奥天氏は、標的型攻撃自体は目新しいものではなく、以前から行われていたと指摘。問題は、攻撃を受けた組織から情報が発信されないことで、情報は提供せずに、他の組織が攻撃された情報をほしがるような意識ではなく、各社で情報を共有することが必要だという。
それについては、日本CSIRT協議会を設立、6月以降に会員を募集する予定で、これに参加することで、クリティカルな情報が一般に出ることなく、安全な方法で攻撃の情報を協議会内で共有できるようになることを目指している。「いち早く検知情報を共有して、みんなで一丸となって攻撃者に対抗するための仕組み」(伊藤氏)だ。
とはいえ、協議会が発足してすぐに各社の情報が共有されることにはならないだろう。伊藤氏も、まずは共有することの意義や重要性を訴えて企業のマインドセットを変えていくような啓発活動を行っていく意向を示している。それが成功すれば、攻撃の事例などの情報が共有されていくと見ており、参加組織との信頼関係を構築していくため、たとえば企業にDoS攻撃の脅迫が行われたときに、何をすべきか、どこに相談し、どんな対策をすべきか、何をしてはいけないのか、などといったインシデントに対するベストプラクティスを協議会内で共有していく考えだ。
なお、伊藤氏によれば企業内のCSIRTでは、情報発信やインシデント対応など、企業によっていろいろな機能を備えることになるが、協議会へ参加するには、インシデントへの対応だけでなく、共有されている情報の取り扱いに関してしっかりとしたポリシーを持っていることも重要だという。