気になったIT関連記事（2022年12月上旬）

個人的に気なった記事を【要約】や【選定理由】付きで紹介します。

気になった記事

　今月は防衛3文書の話題が多く、特にサイバー関連では「能動的サイバー防衛」との文言が記事を賑わせています。

■サイバー防衛、法整備へ

サイバー防衛、法整備へ

【要約】
・新たなサイバー防衛
　政府の防衛3文書の中には、兆候段階でも攻撃元のシステムを監視、、侵入を可能にすることを念頭に置く「能動的サイバー防衛」が含まれる。「国、重要インフラなどに対する安全保障上の懸念を生じさせる恐れがある場合」を想定し、被害が発生する前に対処するもの。
・実現にはサイバー防衛の法整備が必要
　有事にならなければ対応できないとされる現行法の存在がある。これまでは憲法9条の専守防衛や21条（表現の自由）によって限定されてきた。不正アクセス禁止法やウイルス作成を制限する刑法に抵触する恐れがあり、現行法の解釈、法改正や新法の議論を必要となる。日本のサイバー政策の転換点となるか。
・新組織の設置
　サイバー防衛を指揮する司令塔機能を担う組織を新設する。現在のNISC（内閣セイバーセキュリティセンター）を発展的に改組することになる。

2022.12.11

【選定理由】
　まさに、日本のサイバー政策の転換期にあると言えます。2023年からの法審議に注目です。（16日に防衛3文書が閣議決定）
　注意したいのは、政府案では、監視対象は「国、重要インフラ」と限定している点です。攻撃されると広く国民の生活に影響を及ぼす組織のみが対象となります。つまり、これが実現しても（重要インフラ分野でない）民間企業や市民個人を直接的に守るミッションではないことは理解しておきたいです。引き続き、自分の身は自分で守るとの考え方が必要になってきます。

■戦争「武力以外が８割」-日本 法整備なく脆弱-

　※12/20 日経新聞の1面記事でした。

戦争｢武力以外が8割｣　サイバー防衛、日本は法整備脆弱

【要約】
・ロシアの参謀総長はクリミア併合前の13年に「非軍事的手段と軍事的手段の割合は4対1だ」と予告。サイバー、外交、経済などに当たる。
・ウクライナが序盤に持ちこたえたのは、その「5分の4」に入るサイバーの力によるところが大きいとされる。
・一方の日本は、専守防衛で攻撃を感知してから対処する。攻撃者や背景を特定するには「逆侵入」や「探知」が必要だが、法的な壁から現状はできない。
・12月16日に閣議決定した「能動的サイバー防衛」の具体化は23年以降となり、いまウクライナのような攻撃を受けても、国民の安全は守れない。

202212.20

【選定理由】
　「能動的サイバー防衛」における法的が壁がクリアできたからと言って、すぐに防衛力が上がるわけではありません。相手への「逆侵入」「探知」のための「専用装置の導入」はその後に始まるものと思いますし、手段の具体的な検討と人材育成、能力の向上など、、、実現はまだまだ先になりそうです。
　そもそも、それまでの間に責められたら日本は対抗できないだろう、と、この記事が警鐘を鳴らしています。「敵」が待ってくれるでしょうか。

■１５年前の「戦争」糧に　サイバー防衛で世界リード―専門家育成へ英才教育・エストニア

１５年前の「戦争」糧に　サイバー防衛で世界リード―専門家育成へ英才教育・エストニア：時事ドットコム

【要約】
　人口約１３０万人の小国エストニアは１５年前、世界初の国家に対する大規模な「サイバー戦争」を仕掛けられた。攻撃元はロシアとされているが、政府機関や銀行、報道機関のウェブサイトが機能停止に陥り、攻撃は22日間続いた。
　この経験を糧に、同国はサイバー防衛で世界をリードするに至っている。同国では、スマートフォンやタブレット端末を触り始める就学前の年齢からサイバー空間に潜む危険を教え始める。中学生からは教師の監督の下、
「防御を学ぶには、攻撃手段も知る必要がある」との考えから、ハッキングの技術も学ぶ。
　「国家サイバーセキュリティー指数」によると、エストニアは世界１６０カ国中４位。米国は４１位、日本は４５位だった。

2022.12.4

【選定理由】
　人口130万人の国がサイバー大国に成長している理由の一つが、幼少期からの教育にあるとこの記事から垣間見えます。一方の日本では、ただでさえ少ないサイバー教育の機会のほとんどを「守る」ことや「攻撃を受けた後」（インシデントレスポンス）に割かれており、「攻撃手段」を学ぶチャンスはほとんどありません。
　日本政府は「アクティブディフェンス」や「能動的防衛」の実現に向けて動きだしていますが、それができる人材を国内で育成することも重要です。日本がエストニアに学ぶことはとても多いと感じます。

■サイバー攻撃 事業継続計画なく…大阪の病院、「災害」は作成

サイバー攻撃 事業継続計画なく…大阪の病院、「災害」は作成：地域ニュース

【要約】
　1か月前にサイバー攻撃の被害を受けた大阪の病院は、災害用のBCPを作成しており訓練も毎年実施していた。しかし、送電は3日以内に復旧するとの前提で、訓練とは全く違った。紙カルテの長期運用は想定外であった。
　専門家は、最短で診療を再開できるよう、災害用とは別のサイバー攻撃用のBCPを策定すべきで、社会全体で解決策を検討する必要があると指摘する。
　この病院（大阪急性期・総合医療センター）では、現在もシステム自体は復旧しておらず、紙のカルテを使って診療している。

2022.12.11

【選定理由】
　多くの場合、BCPは自然災害を念頭に置いて作成されているはずで、このように、サイバー被害は性質が異なるものとの認識を持つ必要がありそうです。この大阪の病院の事案はサイバー用のBCP策定の必要性について考えさせられる事例として、後も使われそうです。

■Z世代の6割がSNS上のフェイクニュース・デマを信じた経験

Z世代の6割がSNS上のフェイクニュース・デマを信じた経験 | ScanNetSecurity

【要約】
　中高生含むZ世代の約9割がSNSでフェイクニュース・デマを気にし、ファクトチェックする割合が高いことが調査により示された。
　この調査は、全国の「Studyplus」ユーザー（全年齢）を対象にインターネットにて実施。12歳～25歳を「Z世代」（2,708名が回答）、26歳以上を「X・Y世代」（786名が回答）と定義。
　フェイクニュースやデマを見極めるために何を見て判断しているか尋ねたところ、Z世代では「投稿へのコメント内容」「投稿者のフォロワー数」「投稿へのいいね数・コメント数」がX・Y世代よりも高い傾向にあり、X・Y世代の中でも「ロスジェネ世代（36歳～45歳）」以上での世代では、「投稿者のプロフィール」を重視する傾向にあることがわかった。

2022.12.7

【選定理由】
　情報過多の世界では、デマか事実かを判断する「ファクトチェック能力」が求められてきます。ただこの調査によれば、特に若い世代で「コメント内容」や「いいね数」で判断されてしまっている傾向があることに懸念を覚えます。ただこれはどの世代でも気を付けるべきことですし、特にYahooニュースのコメントも非常に危うい場合があります。各自、正確な情報にたどり着くための「調査手段」を備え、情報リテラシーを養っておきたいです。

■ZIP and RAR named most prevalent malware carriers（ZIPとRARが最も一般的なマルウェア伝搬手段として選ばれた）

https://cybernews.com/news/zip-rar-malware/

【要約】
・今年、ZIPとRARファイルが、マルウェア伝搬手段として最も一般的となり、3年ぶりにOfficeファイルを上回った。
・攻撃者はメールゲートウェイを回避しようと、例えば、次のような方法を試みる。
　①HTMLを使って、ユーザーにオンラインの偽ファイルに誘導
　②ユーザーがパスワードを入力してそのZIPファイルを解凍
　③PCにマルウェア感染
・この方法は検知が難しく、ユーザのリテラシーに依存する。
・攻撃者にとってこの方法は応用を利かせ易く、ランサムウェアやスパイウェアなど、相手に合わせて戦術を適用できる。

2022.12.1

【選定理由】
　英語×セキュリティエンジニアを学ぶ人にとってはどちらも勉強になる記事であり、文章も短く読みやすい。launch attacks（攻撃を開始する）、masquerade（成りすます）、conceal（秘匿する）といった”ならでは”の単語が出てきますので、押さえておきたいです。