「ダイ・ハード4.0」は情報セキュリティ攻撃の極み

今回は、悪意あるハッカー（正しくはクラッカー）が情報セキュリティを脅かす攻撃の基本的な手口と引き起こされる問題について紹介する。なお、正統派ハッカーの名誉のために言えば、防御策策定のため侵入テストのニーズが最近増えており、倫理的ハッカーも活躍している。


● 情報セキュリティ攻撃の基本

米国のノーベル賞物理学者 Feynman 博士が原爆開発のマンハッタン計画に参加していたころ、趣味として同僚の金庫破りの腕を磨いたという逸話がある。 彼はその後、原爆の製造方法という超極秘情報が保管された金庫破りにも成功するが、その秘訣は、ダイアル式の鍵の番号が工場出荷時のままか、円周率や自然対数のような持ち主の特性（物理学者）から予想し易いものだったことだという。

鍵で守られる金庫がパスワードで守られるコンピューターとなった今日も、この状況は基本的に変わっていない。

パソコン雑誌で知れ渡っていた Macintosh の出荷時のパスワードで、ショッピングモールのデモ用 Mac にログインできたという実例もあるが、情報セキュリティに様々なテクノロジーが応用されても、それを使うのは人間であるということである（この例では鍵番号やパスワードの設定）。

「Our laziness is often more than enough to provide a wide open door to attack. （Edward Amorosso 著“Cyber Security”）」とあるように、セキュリティが脅かされる根底には、常に人間の怠慢さ、不注意、といった不完全性がある。セキュリティ攻撃者はこれを突いてくる。

コンピュータネットワーク上での攻撃の手口は、以下の5つのステップを踏むのが基本的である。

1.情報収集：ターゲットについて、素人でもインターネット上で10年前のプロ以上の情報を集めることが可能。ヘッドハンターを装って、転職を考えているシステム管理者からシステムの詳細情報を聞き出す、ソーシャル・エンジニアリングという手口もある。

2.スキャン：ソフトウェア・ツールを使って、ターゲットのネットワーク・アドレスに何がつながり、どんなサービスが利用可能かを探索。様々なツールが無料で入手可能。

3.アクセス：収集したシステムの脆弱性情報を使って、ターゲットのシステムに入り込む。セキュリティ対策の多くはこのステップに設定される。

4.ダメージ：古き良き時代のハッカーと違い、これが今日の攻撃の目的。後で述べるような損害を引き起こす。

5.証拠消し：ターゲットおよび中継のシステムに残された痕跡を消去し、フォレンジック（攻撃についての科学的捜査、調査分析）を困難にする。


● 情報セキュリティ攻撃の狙うダメージ

以上のステップを踏んで仕掛けられた攻撃がもたらすダメージは、大きく以下の4つに分類される。

・情報漏洩：クレジットカード番号や企業機密など、経済価値のある情報がそれを不正に利用する者の手に渡ること
・破壊：情報を改ざん、削除し、情報の持つ価値や機能を失わせること
・盗難：ID やパスワードを盗み出し、情報漏洩や破壊のために不正に利用
・機能不全：本来提供されるべきサービスの意図的な妨害、いわゆる DOS（Denial of Service）

これらは個人レベルで引き起こされても当然困ったことになるが、企業に対してのものであれば経済的損失はもっと大きくなり、さらに交通制御や電力供給、通信、金融など重要インフラに対して起こされれば社会的なパニックにまで発展しうる。

これをテーマとして扱ったのが、昨年公開された「ダイ・ハード4.0」である。情報セキュリティというバーチュアルなイメージのものへの攻撃が、リアルな物理的損害をもたらすことが、映画というフォーマットの中でうまく表現されている。そして、映画の中の話だと高をくくっていられなくなりつつあるのだ。

（AT＆T ジャパン株式会社 ソリューション企画部長 門野健治）