2019年 6月

企業のITセキュリティ講座

東京オリンピックまであと1年、企業がさらされる脅威とは

ライター/吉澤亨史

来年に開催を控えた東京オリンピック。オリンピックなどの世界的なスポーツイベントはサイバー犯罪者にとっても“かき入れ時”であるため、彼らも周到な準備を進められていると思われる。事実、これまでにも大型イベントの際にはさまざまなサイバー攻撃が行われている。しかも、東京オリンピックはIoT(Internet of Things)普及後、初の大会であるため、新たなタイプのサイバー攻撃が発生することも考えられる。今回は、過去の脅威を振り返りつつ、予測される攻撃内容と対策方法について紹介する。

世界的スポーツイベントで行われたサイバー攻撃

2020年、56年ぶりに東京でオリンピックが開催される。オリンピックやサッカー、ラグビーなどのワールドカップといった世界的なスポーツイベントでは、以前からチケット詐欺などの犯罪が増加していた。それは現在でも変わらず、またインターネットが普及したことによって、サイバー犯罪やサイバー攻撃などに移行している。チケット詐欺はメールや偽サイトへと手法が変化した。

以前は主に一般ユーザーが標的となっていたのが、IT化の進展によって攻撃が可能な標的が拡大した。例えば、オリンピックの公式サイトや開催国の情報サイト、政府関連などのWebサイトが攻撃を受けるようになった。また、チケット販売システムや会場の電源システムも攻撃を受けている。世界的なスポーツイベントは、開催する都市や国が注目されるため、サイバー攻撃が成功した場合のインパクトも大きいというわけだ。

過去のイベントを振り返ると、2008年に中国で開催された北京オリンピックでは、開催期間中、1日当たり1,400万回のサイバー攻撃があったといわれている。また、2012年にイギリスで開催されたロンドンオリンピックでは、開催期間中に1億6,500万回のサイバー攻撃があり、そのうち大きなサイバー攻撃は6回あったとされている。特に、開会式を行った競技場の照明システムに、40分間にわたるDoS攻撃が行われた。公式サイトには2億2,100万回のサイバー攻撃があったという。

2016年にブラジルで開催されたリオデジャネイロオリンピックについては、信頼すべき情報が少ないのだが、少なくとも数千万回のサイバー攻撃が行われ、フィッシング詐欺やWebサイト改ざん、個人情報流出なども確認されている。2018年に韓国で開催された平昌オリンピック(冬季大会)は記憶に新しいところであるが、この大会のために作成されたマルウェアによる感染被害があったり、開会式直前にシステム障害が発生したり、チケット発券システムの障害で印刷ができないなどの影響があった。ドローンによるデモ飛行もキャンセルされた。

目次へ戻る

東京オリンピックで予想されるサイバー攻撃

過去のスポーツイベントにおけるサイバー攻撃を見ていると、攻撃の大規模化、標的の拡大、手法の多様化などの進化が分かる。リオデジャネイロ大会は前回のロンドン大会に比べ、サイバー攻撃が縮小しているが、これはサイバー犯罪者にとってリオデジャネイロのIT資産があまり魅力的なものでなかったという見方もある。その観点では、IT先進国である日本はサイバー犯罪者にとって非常に魅力的であるといえる。

2020年の東京大会は、IoTが普及して最初のオリンピックとなる。このため、サイバー攻撃の対象が従来とは比較にならないほど拡大する。東京大会ではIoTを積極的に活用する計画で、選手の体調管理や競技の管理・測定、競技施設の管理、自動運転車両による人員輸送、小型カメラを活用した映像中継とスマートフォンにも対応した放送、次世代認証方式による入場者管理などなど、さまざまな先進技術が投入される。これは、それだけ攻撃対象が増えることを意味する。

もちろん、従来のサイバー攻撃も想定される。格安チケットや無料の競技中継などをうたうスパムメールやフィッシングメールはSNSにも拡大し、公式サイトやチケットサイト、映像中継サイトなどへのDDoS攻撃、IoTを含むさまざまなシステムへのマルウェア攻撃などは、リオデジャネイロ大会の比ではないと思われる。DDoS攻撃においては、数百万台のマルウェア感染IoT機器のネットワークが使われ、今までにない規模の攻撃が行われる可能性もある。

オリンピックの大会そのものだけでなく、一般企業やサービス、電力や通信、交通などのインフラも標的にされる可能性もある。サイバー犯罪者は、大会だけでなく日本を狙うと思われる。企業活動とIT、インフラとIoTがより密接な関係になる2020年に向けて、大会本部はもちろん、政府や自治体、企業、一般ユーザーに至るまで準備を進めておく必要がある。

オリンピック運営に際しての脅威の全体像(IPA)
引用元: IPA サイバーセキュリティシンポジウム2014(https://www.ipa.go.jp/files/000037534.pdf)

目次へ戻る

新たなサイバー攻撃から企業を守るためには

2020年の東京大会では、さまざまなサイバー攻撃が考えられる。マルウェアには引き続き対策が必要であるし、不正アクセス対策も重要となる。対策のうえでポイントとなるのは、脆弱性、IoT、ソーシャルエンジニアリング、そしてリモートアクセスになりそうだ。脆弱性は、さまざまなサイバー攻撃のきっかけになる。このため、脆弱性対策をしっかり行っておけば、かなりのマルウェア感染や不正アクセスを防ぐことができる。

IoT機器は、サイバー犯罪者がその有効性に気付いている。既に家庭用のブルーレイレコーダーなどに感染するマルウェアを開発し、数百万台の感染IoT機器を使って強力なDDoS攻撃を行っている。IoT機器はCPU性能やメモリー容量が少なく、セキュリティソフトを導入できない。そこで、IoT機器が接続しているネットワークで対策することが有効となる。故にIoT機器を直接インターネットに接続することは避け、セキュリティ対策を行っているネットワークに接続するのが良いだろう。

ソーシャルエンジニアリングは、サイバー犯罪者が特に注力しているエリアだ。システム上の脆弱性ではなく、人の脆弱性、つまり心理面を悪用する。日本はこれまで、日本語が制約となってソーシャルエンジニアリングの手法を使用するサイバー攻撃は少なかった。しかし、Google翻訳などのサービスが充実してきたことで、かなり違和感の少ない日本語の文章を作成できるようになった。例えば上司や取引先からの送金指示のメールであっても、不審な点がある場合にはメール以外の方法で連絡を取り、確認するようにしたい。

リモートアクセス環境を整備しておくことも、オリンピックに向けた対策として有効だ。開催期間中は海外からも多くの観戦者が押し寄せるため、交通機関が多大な影響を受ける可能性がある。無用なトラブルを避けるためにも、競技の開催地やそこへの経由地が近い場合には、リモートアクセスによるリモートワークができるようにしておく必要があるだろう。また、外出先でWi-Fiを利用する際にも、VPNを併用するなどの対策が重要となる。

オリンピックまでに見直したいセキュリティ対策

目次へ戻る