第1回:人を狙ったサイバー攻撃で情報が流失

2016-10-04

――攻撃する側、される側の実態

対談者

TMI総合法律事務所 パートナー弁護士 大井 哲也(写真左)
PwCサイバーサービス合同会社 上席研究員 神薗 雅紀(写真右)

企業や組織に甚大な被害をもたらすサイバー攻撃。それによる個人情報の流出は大事件に発展しています。しかし、実は、攻撃されていることにすら気が付かず、情報が外部に漏れ続けているケースもあるのです。どのようなセキュリティの穴が狙われるのでしょうか。それに対して、どのような対策をとればよいのでしょうか。多くの事例を分析し、セキュリティ対策に当たっている2人が語ります。

脆弱性を狙った攻撃から、人による攻撃へ移行

神薗 昨今、標的型攻撃による個人情報の漏えい事件が大きく報道されて話題になっています。標的型攻撃ばかりが報道されていることもあると思いますが、いろいろなかたちのサイバー攻撃がある中で特に印象的だった事件は、今年、日本の“ガラパゴス”的なアプリケーションの脆弱性を狙ったサイバー攻撃が、同時多発的に行われたことでした。

大井 そうですね。同じアプリケーションが複数の組織で使われて、それが特に汎用的なものであると、一つの脆弱性に対して攻撃を受ける企業が多数に上ります。そういう点を利用して、あるソフトウエアの対策が遅れている組織や、それに気づいていないために対策ができなかった組織に対して、一気に攻撃をかけられてしまうと、社会全体の損失となってしまいます。

神薗 そういったサイバー攻撃は、ここ数年ずっと繰り返されてきました。ただし、以前だとOSやアプリケーションなどの脆弱性を利用して侵入を試みていたケースがほとんどでした。ところが、昨今はOSやアプリケーションの完成度が高くなっており、攻撃者が利用しやすい脆弱性は減ってきているように感じます。なおかつ、政府・民間を含め、新しいシステムを導入するときは脆弱性のチェックを推奨していることもあり、脆弱性診断が充実してきています。
このような経緯もあり、攻撃者はもちろん脆弱性を狙うこともありますが、それよりソーシャルエンジニアリング、つまり、人間の心理的な隙や行動のミスにつけ込んだマルウェアを感染させる攻撃手法を多く利用しているように思われます。

大井 ソーシャルエンジニアリングの手法で言えば、公表されていないものでも、攻撃されて深刻な被害を受けているケースは、数多くあります。例えば、メーカーや商社の社員に、特定の案件に関するメールが送られてきて、そこに「送金先口座に変更があるので、こちらに振り込んでください」という内容が書かれてあったため、メーカーや商社が多額のM&Aの資金や取引の代金を偽装されたメールの指定した口座に振り込んでしまったというケースです。このような相談が、昨年から非常に増えています。攻撃者側は、そういったところを攻撃しやすい穴だと認識しているのではないかと思います。

神薗 最近はSNS(ソーシャル・ネットワーキング・サービス)が、日常的なツールとして使われるようになったので、SNSを使ったサイバー攻撃も目立ちますね。

大井 そうです。SNSの普及によって、標的型攻撃のリスクも高まっています。SNSでは、誰もが自由に情報を発信することができます。
例えば、ある会社の社員が、中国の北京空港に降り立った写真をSNSでアップしたとします。そうすると、彼をよく知る人はもちろん、彼の会社と取引のある人や、周辺の立場の人、あるいはその企業をウォッチしている人などは、彼が中国の北京で何をしようとしているのか、ある程度推測することができます。となると、今その企業でどのような案件が動いているらしいということが分かりますし、誰を標的にすればサイバー攻撃が成功するかという当たりをつけることができるので、個人に対して標的を絞りやすくなります。標的型攻撃をしようとする場合に、通常の業務命令に仮想しやすくなるわけです。そういうリスクが高まっていることは、最も大きな課題だと思います。

攻撃に気付かないまま情報が垂れ流し!?

神薗 われわれはいくつかの情報漏えい対応や予防の事案で、タッグを組ませていただいております。それ以外の事案も含めて、いろいろな組織の状況を見てみると、問題が表面化していない組織がたくさんあるのではないかと思いました。
例えば、今年、世間の注目を集めた事件は、攻撃者が脆弱性のあるアプリケーションを発見して、攻撃を仕掛けています。攻撃者は、おそらく事前に、現在そのアプリケーションをどこの組織が使っているのかを調べたのだと思います。例えば、グーグルハッキングというテクニックを使えば、脆弱性のあるアプリケーションをどこの企業が使っているのかを調査することができますから、そうやってさまざまな組織を調査した上で一斉攻撃を仕掛けたのだろうと思います。
これに対してわれわれは、セキュリティを守る側として、同じようなテクニックを使って、脆弱性のあるアプリケーションはどれか、また脆弱性のあるアプリをどの組織が使っているのか、などを分析したところ、やはりたくさんの組織が、脆弱性のあるアプリケーションを使っている事実が浮かび上がりました。
ですから、たまたま事件になって報道された企業だけが、情報漏えいというかたちで広く知られるようになりましたが、実際には、攻撃を受けたけれども情報漏えいにまで至らなかった企業もあれば、実は情報漏えいもしているのに、それに気付いていない組織もあるのではないかと思います。

大井 一番怖いのは、攻撃を受けていることを検知すらできず、気付かないまま情報が漏えいし、その状態が継続していて、長期間情報が垂れ流しになってしまっているケースです。
もちろん、企業はこういった危険を警戒して注意するべきなのですが、攻撃を受ける企業自体のリテラシーが足りなかったり、情報システム部門の知見が足りないと、被害を受けていることに気付くことができません。これは非常に怖い状態だと思います。

神薗 そのように被害に気付くことがないまま、何カ月、あるいは何年も経ってしまってから、相談されるケースもありますか。

大井 ありますね。攻撃を受けてから、半年、または1年経って、攻撃を受けて情報が漏えいしていることを外部の第三者から指摘を受けて初めて気付いたケースもありました。

神薗 そういう事態を防ぐには、やはり外部の専門会社と密な連携が必要になると思います。

大井 外部の専門家の視点を入れることは非常に有効ですね。

クラウドによって生じるメリットとデメリット

神薗 もう一つ気になったのは、最近、クラウド化の課題が大きくなってきたことです。今年、大きな事件になったケースでは、システムがクラウドに移行しているために、被害が起きていることをきちんと把握できなかったり、分析に時間を要していることが多いように思いました。
われわれが分析した事案では、攻撃者はTOR(トーア)といった秘匿ネットワークから攻撃を仕掛けていました。その際、例えばクラウドサービスがIPアドレスごとにサーバーを切り替える、負荷分散を行っていることがあります。そうすると、攻撃者はTOR経由で攻撃を仕掛けているので、TORの性質上、IPアドレスがころころ変わってしまいます。だから、実際には攻撃が成功しているにもかかわらず、次のステップの攻撃をしようとすると、サーバーが変わってしまうために、一連の攻撃が上手くできなくなってしまうのです。そのため、攻撃者が何回もトライ&エラーを繰り返している形跡が見受けられました。しかも自分がどこを攻撃しているのか分からず、攻撃に、Aパターン、Bパターン、Cパターンなどと名前を付けて攻撃している攻撃者もいました。

大井 攻撃者は、相当混乱しているのですね。

神薗 これに対して、セキュリティを守る側も、どこのサーバーが攻撃を受けたのか、いろいろな痕跡があるので、なかなか分析できない状況がありました。一連の攻撃が見えないために、何らかの攻撃を受けているけれども、何が攻撃を受けたのか分からず、時間だけがいたずらに過ぎてしまうわけです。現場の声で多かったのは、「クラウドを使っているために、どこにどのログが出るのか分からないから、分析するのが難しかった」ということでした。クラウドを使うことが悪ではないのですが、クラウドを利用した環境下でサイバー攻撃を受けてしまった際の、インシデントレスポンス態勢が全く考慮されていないという課題が、浮彫になってきたと感じています。

大井 クラウドの利用が進んでいることによって、2つの側面があると思います。1つは、クラウド自体のシステム構成、ネットワーク構成が、非常にセキュリティを高める効果があることです。クラウドベンダーが提供しているサービスは、当然セキュリティの防御が高度になされているので、ユーザである会社にとっては、セキュリティ体制の構築自体をクラウドベンダーにアウトソースすることができるという側面があるわけです。従って、クラウドの利用によってユーザ会社のセキュリティレベルが上がっているわけです。
しかしもう一方で、今神薗さんがおっしゃったように、オンプレミスとは異なり、ベンダーのところにあるシステムに対して、どうやって不正侵入を検知したり、監視するかが難しいのです。それについてはイタチごっこの側面があるのではないかと感じました。

神薗 クラウドの利用やシステムの連携などによって、組織において脆弱性が見えにくくなっている現状があります。さらに、SNSが使われるようになったことが、それに拍車をかけているように感じます。これについては、次回で話したいと思います。

※法人名、役職、対談の内容などは掲載当時のものです。