深刻な事態である。富山大学の核融合関連の研究センターが標的型サイバー攻撃を受け、研究者の端末から情報が流出した恐れがある、ということである。幸いにも同大学によれば10月上旬に「成果は公表済みで機密性の高い研究情報はなかった」「悪用された可能性はなし」と発表したが、感染したのは、昨年秋、発覚したのは今年6月であった。この発表、報道の範囲では、問題点も見えてくる。各企業、自治体関係者は、この事件を参考として、サイバー攻撃を受けた時の対応の準備を急いでもらいたい。

まず、深刻なのは、日本の安全保障にかかわる重要施設へのサイバー攻撃である。こうした施設はセキュリティ対策に厳重な米国でもしばしば攻撃を受けて情報流出の被害を受けているので、日本で防ぎ切れなかった、ということだけで非難するのは酷だろう。

しかし、最近は「秘密分散処理」によって、ファイルを無意味なデータに断片化して保管し、データが流出しても「情報」に復元できない、という仕組みで安全を保つ、という方法も登場している。こうした高度の重要情報は、「防ぐ」だけではなく、防ぎ切れなかった際にも断片化されたデータで情報として意味を持たない、という状態で保管していくことを徹底する必要があるだろう。

次に、警戒しなければならないのは、個人情報などの流出と違い、流出したことになかなか気づかないことだ。情報を盗むのはモノを盗むのと違って、コピーなので、原本が残る。モノならばなくなっていることで気付くが、情報はなくなっていないのでなかなか気が付かない。

個人情報の場合は、悪用されれば、不審に思ったユーザーから出所元と思われるところに問い合わせるか、消費者センター、警察などに届け出る。その段階で発覚するケースが多い。この場合でも流出してから1か月や2か月経過していることが多いが、機密情報の類は関係者が特定の人々、機関なので、水面下でずっと流通している。盗まれた側は気が付くチャンスがない。偶然に発覚するときがあるが、発覚しないままの事例も相当数あるのではないかと推測される。

富山大学のケースも半年以上、ハッキングに気が付かず、その間、情報が流出し続けていたという。

さらに攻撃する側の手口も巧妙になってきた。

システムに入り込んでファイルを盗む場合、短時間に大きなファイルが特定の相手先に送信されるので、データ量の異常で注意信号が付き、調査の結果、ハッキングがあったと発覚する場合がある。富山大学のケースでは、こうした検知方法の網をくぐるために、盗み出すファイルを圧縮してデータ量を減少させて送信した。異常な量のデータとしての検知が長い間、できなかった。新たな検知方法が必要になる。

またこの場合、情報流出が確認できた後の富山大学の対応に課題が残る。

流出したファイルの中には、多数の研究者のメールアドレスなどの個人情報もあった。これらのメールアドレスは次のハッキングなどの道具として悪用される可能性がある。速やかに流出したメールアドレスの主にその旨の連絡をして注意を促さなければならない。その、発覚した6月から10月末までそのアクションがなかったという。

「情報を精査するのに時間がかかった」ということだが、こうしたサイバー攻撃は防ぎ切れない。流出しても、意味をなさない信号に「秘密分散処理」がされているなどの処理をしているとか、仮に流出が判明した時には、すぐに関係機関や関係者に連絡して被害の拡大を防ぐなどの準備をしておくことが必要である。

対岸の火事ではない。富山大学のケースを警鐘にして、企業も大学も、行政機関も、もう一度、サイバー攻撃対策を再構築してもらいたい。