「東京五輪へのサイバー攻撃」で明らかになった「日本はデジタル後進国」という不都合な真実……なぜ日本ではフィッシングメール対策の導入が遅れているのか
東京オリンピック・パラリンピックの関係者に対し、ロシア軍参謀本部情報総局(GRU)がサイバー攻撃を行っていた──。
9月に発覚したNTTドコモの口座不正事件の余韻が残る10月19日、GRUに関する英国政府の発表は日本に衝撃を与えた。
同日、米連邦捜査局(FBI)は6人のGRUメンバーを指名手配している。罪状は、コンピューターウイルス開発や、2018年平昌冬季オリンピックを対象とした標的型攻撃の計画である。
米国や英国が、ロシアや中国のサイバー攻撃を特定し、指名手配する捜査能力の高さを見せつけたのに対し、日本は、自国へのサイバー攻撃を、他国の発表で知るという「デジタル後進国」ぶりが浮き彫りになった。
国内ではサイバー攻撃の被害に遭う企業が絶えない。
直近の例を挙げるとNTTドコモやゆうちょ銀行の口座不正引き出しが問題になっているが、またしばらくすると話題にもならなくなるのが常である。
今年1月に発覚したNECの防衛省関連ファイル約2万7000件への不正アクセスや、2月に発覚した神戸製鋼所、航空測量大手パスコ、三菱電機などの防衛関連情報へのサイバー攻撃、そして6月に入ってからホンダがサイバー攻撃を受け国内を含めた世界の11工場で生産や出荷を停止した(表)事件など、そうそうたる大企業が軒並み被害に遭っている。
防衛産業から日本を代表する製造業、個人の預貯金まで幅広く被害に遭っていながら、時間の経過とともに私たちの記憶から消え去って行くサイバー攻撃は確実に日本の体力を奪い、国力の衰退をもたらす。
私たち日本人はこうした事態に不感症に陥っているのだろうか。
あるいは「もう打つ手はない」と諦めているようにも見える。
繰り返し被害に遭う遠因として、国のサイバーセキュリティー政策にも問題がある。
サイバー演習や、ゼロトラスト(「社内外問わず誰も信頼できない」という前提に立った情報ネットワークの構築)といった、セキュリティー企業の受け売りのような政策しか実行してこなかったツケが回ってきた結果が今日の失態を招いた。
政府は根本的なサイバー攻撃が成立する要因に立ち返り、抜本的対策に真剣に取り組む必要がある。
その一つの対策が日本におけるDMARC(ディマーク)(送信者認証技術)の普及である。
なりすましメール対策の技術で、電子メールの送信元のドメインを認証する技術の一つである。
96%は偽メール原因
先に挙げた数々のサイバー攻撃の例は、いずれもがフィッシングメール、つまり実在する企業やサービスを装ったメールを送りつけ、IDやパスワード、クレジットカード番号などの個人や企業の秘密情報を窃取する詐欺メールが発端となっている。
サイバー攻撃を受けた企業の多くは、社員がフィッシングメールを開封したことからコンピューターウイルスに感染し、被害が広まったのである。
セキュリティー研究者の間では、サイバー攻撃の原因の96%はフィッシングメールによるものだとするものもあるほどだ。
サイバー攻撃の被害を無くすにはまずこのフィッシングメールを無くすことが肝要だ。
それを実現する技術がDMARCである(図)。
DMARCとは、Domain-based Message Authentication, Reporting, and Conformanceの頭文字をとったもので、送信ドメイン認証技術のことだ。
グーグル、フェイスブック、マイクロソフトらが合同でフィッシングメール対策に取り組む「DMARC.org」という団体を立ち上げ、提唱しているものがこのDMARCというセキュリティー技術である。
電子メールの送信者メールアドレスには2種類ある。
郵便に例えるなら、封筒に書かれた送信者の名前と封筒の中身、すなわち便箋に書かれた送信者の名前である。
偽メール1億通を排除
私たちが日ごろ目にしている送信者メールアドレスは便箋に書かれたアドレスであり、このアドレスは自由に書き換えることができる。
このため一見すると本物のメールのように見えてしまうのだ。
一方、封筒に書かれた送信者メールアドレスは書き換えができない。
そこでDMARCが重要になる。
DMARCは、封筒に書かれた送信者メールアドレスと便箋に書かれた送信者メールアドレスの一致を確認し、不一致であればフィッシングメールであると判断し、そのメールを保留にしたり、拒否したりできる仕組みである。
また、DMARCは送信者がメールにつけた電子署名を確認することにより真正性を担保している。
クレジットカードの国際ブランドであるVISAや、ツイッター社は、DMARCを導入したことで1日当たり1億通以上のフィシングメールを排除できたという。
海外を見ると、米国とカナダは有力なフォーチュン1000企業のうち67%がDMARCを導入しており、次にフランス(59%)、豪州(52%)、英国(50%)と続く。
一方、日本のDMARC普及率は欧米と比べて低い。
8月にセキュリティー企業のプルーフポイントが日経平均採用銘柄企業225社を対象に行ったDMARCの導入状況調査では、約4分の1の23%の企業しか導入が進んでいないことが分かった。
日本を代表する日経225クラスの大企業で23%ということは、中小企業クラスでは皆無ではないだろうか。
英国の場合は17年11月までに政府のメール(最後がgov.ukのドメイン)は全てDMARCに対応させている点は、日本政府も見習うべきだろう。
DMARCの導入といっても費用がかかるわけではない。
ほんの数行のテキストをDNSサーバー(DNS=ドメイン名とIPアドレスを変換する仕組みを提供するサーバー)に書き込むだけで導入できる。
新たな機材やソフトを持ち込む必要もない。
にもかかわらず、この導入率の低さはどこから来るのであろうか。
一つにはDMARCがまだまだ世間では知られていないことが考えられる。
サイバー攻撃に遭った企業がセキュリティー企業に駆け込んだにせよ、セキュリティー企業はどこもDMARCについて一切触れない。
それら企業が解説するサイバー攻撃の記事を読めば明らかだ。
彼らが解説するのは感染したコンピューターウイルスの挙動ばかりで、「DMARCを導入していれば被害に遭わなかった」とは言わないのである。
筆者がDMARCについて本誌で書くのはこれで4回目だ。
DMARC普及率世界一を願って毎回書くのだが、経営者に届くのはまだ先のようである。
経営者が一声DMARCに対応せよと言ってくれたらすぐにでも対応するはずだ。
8歳から教える米国
もう一つの理由があるとすれば冒頭に書いた不感症のせいだろう。
国民性というか危機管理意識の欠如が行動に結びつかないのではないだろうか。
米国で、企業や連邦政府で働くセキュリティー関係者が集まるハッカーの祭典「ブラックハット」が行われている。
続けて開かれる若者向けの「DEFCON(デフコン)」という集会には毎年数千人が参加する。
その中にある「DEFCON Kids(デフコン・キッズ)」という8〜16歳限定のコーナーを視察したことがある。
そこでは、子どもたちに、ハッキングが簡単にできてしまう現実を教えるために、パスワードを解読するツールの使い方(パスワードクラッキング・ツール)やシリンダー錠のピッキング方法を、実演しながら教えていたのを思い出す。
日本人に危機意識を植えつけるには、小学生の頃から頑丈なカギでも泥棒は簡単に開錠できる「ピッキング」のやり方を義務教育として教える必要があるのかもしれない。
(山崎文明・情報安全保障研究所首席研究員)
(本誌初出 偽メールに騙される大企業 対策は世界に周回遅れ=山崎文明 20201103)