提議的法律將修復日本鬆散的網絡安全問題 - 彭博社

插圖：山姆·島在晚上9:10警報響起後不久，雅虎日本的風險團隊意識到他們遇到了問題。大約2000萬個用户名和密碼正被轉儲到一個可以被盜的文件中。“你到底在幹什麼？”團隊問那個正在複製加密數據的員工，風險經理高本信回憶道。“我什麼都沒做，”那名員工回答。“我在家。”應急人員設法阻止了下載。

2013年4月2日，雅虎日本遭到的攻擊，由軟銀控制，是試圖獲取訪問日本最繁忙網站的訪客身份。這仍然是對日本公眾數據的最大攻擊之一。在過去幾年中，其他目標包括索尼、防務承包商三菱重工業、日本宇宙航空研究開發機構，以及曾經占主導地位的比特幣交易所Mt. Gox。

在接下來的幾個月裏，日本政府預計將通過一項旨在加強該國令人驚訝的鬆散網絡安全的法律。根據國家信息安全中心（NISC）的一項調查，只有大約一半的日本公司擁有IT安全政策。“最大的問題，以及針對日本的網絡攻擊者最大的盟友，是普遍認為這種事情不會發生在這裏的信念，”信息技術戰略顧問威廉·齋藤説，他為首相安倍晉三的內閣提供建議。

日本的公司是世界上最脆弱的公司之一，根據日本政府和美國安全研究機構Ponemon Institute的數據，自2010年以來，針對國家實體的黑客攻擊次數增加了兩倍，每30秒就發生一次。2012年，日本的攻擊次數超過了100萬次。受影響的包括：政府貿易談判團隊、下議院和一個核能研究機構。NISC在去年的一份報告中表示，問題的一部分在於該國缺少80,000名信息安全工程師，而現有的工程師大多數缺乏應對網絡威脅的技能。

提議的法律將NISC指定為內閣的主要網絡安全協調員，並要求公司報告所有事件，無論是否會造成負面宣傳。執政的自由民主黨立法者平井卓也表示，這項立法部分是由於需要為東京2020年夏季奧運會做準備。該法案已通過下議院，正在等待上議院的投票。

雖然很難確定針對日本的日益增長的攻擊來自何處，但安全公司一致認為，大多數黑客使用的服務器位於中國，病毒通常是使用中文操作系統編寫的。儘管來自多個國家的團體似乎都參與其中，黑客可能只是使用這些服務器，但這些攻擊的規模與促使美國指控中國進行國家支持的工業間諜活動的攻擊相當，LAC的首席技術官西本逸郎表示。（中國政府否認了美國的指控。）

在雅虎日本，Koh表示他大致知道對手來自哪裏，但拒絕透露。他的經歷幫助説明了NISC和日本公司將面臨的挑戰。在2013年4月泄露事件發生一個月後，就在他的團隊完成調查並修補網絡漏洞時，攻擊者再次出現，利用了不同的系統弱點。他們還改變了策略，複製了較小的數據批次。Koh的單位再次阻止了攻擊，但在入侵者帶走了150萬客户的信息之前未能成功。Koh説，去年十月同樣的入侵者第三次攻擊，但被擊退。所有三次攻擊都使用了專門為雅虎日本的計算機設計的惡意軟件；公司的名稱被寫入了代碼中。

“在這一點上，日本只有兩種類型的公司：被攻擊過的公司和還不知道自己被攻擊的公司，”政府顧問Saito説。“這並沒有什麼可羞愧的。我們只需要意識到我們都是受害者，我們需要共同努力來改變這一點。”