「標的型攻撃は内部にスパイが侵入するようなもの。外部からの攻撃を防ぐ『万里の長城』型の対策では防げない」――。インターネットイニシアティブ(IIJ)は第35回医療情報学連合大会(第16回日本医療情報学会学術大会)において、ランチョンセミナー「最近のサイバー攻撃事情、標的型攻撃とその対策」を開催。講師として同社サービスオペレーション本部セキュリティ情報統括室長の齋藤衛氏が登壇した。

IIJサービスオペレーション本部セキュリティ情報統括室長の齋藤衛氏
IIJサービスオペレーション本部セキュリティ情報統括室長の齋藤衛氏

 齋藤氏が率いるセキュリティ情報統括室は、対外的に「IIJ-SECT(Security Coordination Team)」という組織名でセキュリティー情報を発信している。2013年12月には中国製の日本語入力ソフトがユーザーの同意を得ないまま、オンラインの変換機能を使って入力内容を無断で取得していることを指摘して、一躍注目を集めた。

 官公庁や大企業を狙った標的型攻撃は、2010年以前にも話題になったことがある。だが、齋藤氏によると2014年9月ころから特定の行為者によるものと推定される標的型攻撃が再び頻発しているという。「2014年秋以降に攻撃を受けた企業、大学、研究所、官公庁の数は、延べ100組織ほどにもなる」(齋藤氏)。ターゲットも、官公庁の研究機関や大企業だけでなく、ごく普通の民間企業にまで広がっている。