ICHIRO BLOG引っ越しました

やまもといちろうです。ロタウィルスが原因らしき下痢明けで体調不良です。皆様、健康には充分ご留意を。

ところで先週末、Twitterがサイバー攻撃を受け、約25万人分のパスワードやメールアドレスなどが流出するという事件がありました。

以前であれば、このようなニュースは、IT情報サイトが一報を流して終わりということも少なくありませんでしたが、今回はなんとNHKがまずニュースでとりあげ、それに続く形で各大手新聞紙も早いタイミングで報道を行いました。

ツイッターにサイバー攻撃（NHKニュース 2013/2/2）
ツイッターにサイバー攻撃２５万人分情報流出の恐れも（朝日新聞 2013/2/2）
ツイッター２５万人情報流出か…サイバー攻撃？（読売新聞 2013/2/2）
ツイッター:サイバー攻撃受け、２５万人分不正閲覧被害か（毎日新聞 2013/2/2）
ツイッターにサイバー攻撃２５万人データ閲覧か（産経新聞 2013/2/2）

やってもうたな、Twitter…という話ではなく、このぐらいのサイバー攻撃はどうも頻繁に起きており、従前からのIDとパスワードでの管理では個人情報は守れない世の中になりつつある、ということです。また、Twitterの存在感がそれなりに日本国内で大きくなったのだなという感慨と共に、サイバー攻撃が時事問題のニュースネタとして当たり前の時代になってしまったという思いもあります。

とくに今年は、海外報道ではありますが、新年早々からサイバー攻撃絡みで比較的大きな事件があり、なかなか焦臭いことになっています。

ＮＹタイムズ“中国からサイバー攻撃”（NHKニュース 2013/1/31）
NYTに続きWSJも、「中国ハッカーからサイバー攻撃を受けた」と報道（ITpro 2013/2/1）
米ワシントン・ポストもサイバー攻撃の標的（産経新聞 2013/2/2）

いずれも、アマチュアハッカーが遊びで新聞社のサーバーに侵入したというレベルではなく、完全なプロの犯行であり、なおかつそのプロの正体を国家レベルで名指しするなど、どうも穏やかではありません。もちろん、名指しされた国では否定する見解を発表していますが…。メディアに対するサイバー攻撃という点では、かねてからNASAが攻撃の対象となり続けており、その経緯から言うとかなり「やったもん勝ち」と「抜本的な対策の不在」が一番の難点でもあります。

サイバー攻撃って本当にヤバかったんですね（やまもといちろうBLOG）
中国「全くのでたらめだ」米サイバー攻撃にちらつく影（朝日新聞 2013/2/3）

今回のTwitterへのサイバー攻撃に関しても、Twitter社の公式見解は上記事件などと同様に少なくともプロの犯行という形で分析しています。

より安全にご利用いただくために（Twitterブログ 2013/2/2）

今回の攻撃はアマチュアのものとは考えにくく、Twitterだけを狙った単体のものではなかったと考えられます。とても洗練された攻撃であり、他の企業や団体にも攻撃がかけられている可能性があります。

インターネットに接続して何かをするということは、以前からそれなりにリスクを抱えた行為ではありましたが、そのリスク対策課題は年々複雑化しています。ニューヨークタイムズへのサイバー攻撃でも、市販のウイルス対策ソフトを運用していましたが、それだけでは不十分だったという報告が出ています。

New York Times紙に不正侵入、攻撃手法で対策の課題も明らかに（ITmedia 2013/2/1）

New York Timesの記事によれば、同紙は米Symantecのウイルス対策製品を使っていたが、Mandiantが調べた結果、攻撃者が使った45種類のカスタム版マルウェアのうち、Symantecの製品で検出できたのは1種類のみだったという。

こんな状況ですから、企業向けにはサイバー攻撃を対象とした損害保険も登場しています。しかし、致命的な情報漏洩が起きた場合など、今後はたして保険だけで賄えるのかどうか…。

サイバー攻撃の損害保険でリスク管理を――AIU（ITmedia 2013/1/23）
ソニーPSNの個人情報漏洩に英国で約3500万円の罰金支払い命令、「防げた事件」と判定（Engadget日本版 2013/1/25）

さて、パスワードが盗まれたことで一番気をつけなければならないのは、他のサービスでも同じパスワードを使い回している場合です。これ、意外とやってしまっている人が多いと思いますが、一旦パスワードが盗まれると、ネット上で同じパスワードを使って一斉に攻撃が開始されます。

使い回しＩＤが標的に…流出情報で不正アクセス（読売新聞 2013/2/4）

「多い時は１日１０万件以上の攻撃がくる」

この記事を読めば、パスワード攻撃がもはや日常で当たり前の出来事になっていることがよくわかります。

個人の利用ベースでも「もはやネットに安全はない」という前提で考えるべきで、その意味ではクレジットカード決済と同様に「いつでも何かが起きる可能性はある」と考えて対策を個々で打っていく必要はあるでしょう。

また、サービス側も単純なID/パスワードではお客様の情報を守れなくなっている現状をしっかり考える必要が出てきました。気がついたら大量漏洩、なんてことのないように、各社方法論については考えないといけない時期ですね。

最後に、国としてこういう情報管理を行う仕組みやサイバー攻撃に対する措置や被害軽減を行うための仕掛けをしっかり考えるタイミングが来ていると思います。世の中は、どちらかというと海外有事、NSC設立とかそっちの方向に流れていっておりますが、さてどうなりますか。