昨日はアイティメディアさんのチャリティイベントに参加させていただきました。ご参加いただいたみなさま、どうもありがとうございました。
セミナーの内容について、まとめ記事はココ、Togetterはココにあります。

事前に準備していたネタは十分消化できませんでした。ちょっと残念。どこか別にお話しできる機会があるといいですね。ただ会場からはなかなかするどい質問がたくさんでてきてよかったなと思います。顔見知りの参加者がとても多かったような気もするのですが…まあ気のせいでしょう。;)

時間がなくてやや言い足りなかった点もあるので少しだけ補足したいと思います。「攻撃傾向が読みにくい」「攻撃側の発信する情報を早くキャッチすることが大事」という趣旨の発言をしたと思いますが、言いたかったことはこういうことです。

過去を振り返ると、穴のあるWebサイトを改ざんして旗たてて名をあげて的なものから、金銭を目的とした活動に攻撃側の主眼がうつってきたという大きな流れがあると思います。最近の LulzSecの活動や AntiSecのムーブメントは、政治的な動機が背景にあるものの、結果だけを見るとやや無差別にも見える攻撃が行われていて、過去への揺り戻しが起こっているようにも見えます。しかもそれが世界中に拡散して、各地域での活動にも影響を及ぼしている。混沌として秩序だっていないところに「読みにくさ」があると思うわけです。

一方で、これまで攻撃側は不正に取得した情報を悪用することが目的だったのに対して、今起きている(表にでてきている)事件では情報の悪用が目的ではないものも多い。脆弱性があり情報を取得できた事実を「晒す」こと自体が目的で、その悪用は二の次になっています。これは実質的な被害をさほど生じなかった過去の Web改ざんと動機の点では似ているとも言えます。しかし今回の Sonyのケースを見てもわかるように、不正に流出した約1億件の情報が悪用されたとの報告はないにもかかわらず、事後の対応には莫大な費用がかかっています。株価やブランドイメージへの影響も大きい。ユーザも様々な不便を強いられています。実質的な被害がないとはとても言えません。

情報を不正に取得して悪用する(そしてその事実はなるべく隠そうとする)ことが目的の攻撃、穴があるサイトを無差別に(あるいは政治的、その他の理由で)攻撃してその情報をただ公開して晒すことが目的の攻撃、そのどちらにも対処することが求められています。ただ動機は異なるものの、とちらも攻撃手法にさほど大きな違いがあるわけではないので、特殊な対策方法が必要になるわけではありません。これまで通りの地道な対策をやるだけです。

もう一つ、Anonymousや LulzSecに代表される活動が過去のものと大きく異なるのは、彼らが活動の大半をオープンにしているという点です。IRCを通じたオペレーションは誰でも見ることができますし、Twitterや Facebookなどの SNS、ブログなどを通じた情報発信も積極的に行っています。そういう情報をちゃんと収集して分析すれば、彼らが何をやろうとしているか、次のターゲットはどこになるか、ある程度のことはわかります。さきほどとやや矛盾しますが、そういう観点から見ると「読みやすい」とも言えるわけです。

例えば最近の例でいうと、4月以降、東京電力が Anonymousのターゲット候補に挙がったことが 2回あります。どちらも最終的にはターゲットからはずれて攻撃は受けませんでした。記事などを読むと、関係者の方々は候補に挙がった時点でこの事実を把握していたようなので、もし仮に攻撃を受けたとしても不意を突かれることはなく、適切な対応ができたはずです。今後はこういうことが他の企業にも求められてくると思います。今回のようなケースに限ったことではないのですが、OSINT (Open Source Intelligence)をもっともっと強化しないといけない、というのが今の私の問題意識の一つです。

いずれにしても常に攻撃側にイニシアティブがあるという点は変わらないので、防御側としては今そこにある脅威が何かを理解して、できるだけ早くそれをキャッチして対応するしかないのでしょう。