デジタルトラストの構築に向けたPwCのアクション：セルフアセスメントの限界‐TLPTの実戦（GMOクリック証券）

攻撃者の情報収集リソースは公開情報

小林：
御社では先ごろ、TLPTを実施されたそうですね。きっかけは何だったのですか。

唐澤：
TLPTを実施した目的は、既存のリスク管理態勢のレベルを抜本的に引き上げることでした。

GMOクリック証券とGMOフィナンシャルホールディングスではこれまでも、定期的なサイバー攻撃対策訓練や演習を実施していました。ただし、訓練を通じて見つけられる課題の解決は、“小さな傷口の手当て”になりがちだったのです。自社でテストを実施すると、「この程度は対策済みだろう」というバイアスがかかり、本来やるべきテストを見送ってしまい、それによって根本的な対策の抜けを見落としてしまいます。自社のセキュリティ対策レベルを客観的に評価し、実際の攻撃に対してどの程度の対応態勢があるかを把握するためには、外部攻撃者の“視点”が必要だと考えました。

小林：
社内のCSRITやSOCメンバーにはTLPTの実施を知らせない、ストレス方式で実施されたそうですね。

唐澤：
はい。「本物同様のサイバー攻撃に対し、どのように防御・検知・対応するかを検証する」のがTLPTの趣旨ですから、CSRITやSOCには知らせませんでした。ちなみに事前に実施を知っていたのは、私とGMOフィナンシャルホールディングスの担当役員、ITインフラの責任者、そして社長の4人だけです。

小林：
実際の攻撃シナリオについて教えてください。どのようなリスクとシナリオを想定したのでしょうか。参考までに、一般的なTLPTの実施フローを示します（図表1）。

唐澤：
特定の独立系犯罪集団が、会社の機密情報盗取を目的に、重要な情報が格納されている特定サーバーに侵入する、という攻撃を想定しました。具体的には、攻撃者がフィッシングメールをトリガーに攻撃を仕掛け、システム（サーバー）内部に侵入するシナリオです。攻撃者とは事前に「特定サーバーにログインできたら攻撃終了」と決め、「会社にとって重要な情報は何か」と「グローバルIPアドレスのレンジ」、そして会社の簡単なネットワーク概要（図）だけ共有していました。

小林：
いざ攻撃を仕掛ける上で、攻撃者はどのようにして御社の情報を収集したのでしょう。

唐澤：
TLPT終了後に攻撃担当者に聞いたところ、情報収集に利用した主なリソースは、公開情報だったそうです。例えば、弊社ウェブサイトの人材募集要項には、利用しているプログラム言語やシステム構成のアウトラインを公開しています。そうした情報やLinkedInにおける従業員のアカウント、さらに従業員が個人的に書いているブログも参考にしたと聞きました。

専用の閲覧ソフトでないと見ることができない、いわゆる「ダークウェブ」にある情報も調査対象だそうです。幸い、ダークウェブで売買されるような弊社の漏えい情報はなかったそうです（笑）。

小林：
何気なく公開している情報も、攻撃者にとっては攻撃のヒントになるのですね。

唐澤：
もう1つ驚いたのは、攻撃者が私のメールアドレスを手がかりに、他の従業員のメールアドレスを簡単に割り出していたことです。攻撃シナリオの最初はフィッシングメールだったのですが、従業員名簿を渡していないにもかかわらず、多くの従業員に対して攻撃メールを送付していました。

攻撃担当者によると、メールアドレスが1つあれば、その企業がどのような法則に基づいてメールアドレスを割り当てているかを簡単に調べられるそうです。最初の攻撃では約3,000通のフィッシングメールを送りつけ、従業員まで到達したのは30通程度でした。ただし、これには誰も引っかかりませんでした。

侵入されて痛感する“詰めの甘さ”

小林：
TLPTでは通常、本番のシステム環境を使用します。実施にあたっては、社内で障壁といいますか、本番稼働への悪影響を恐れるがあまり反対されるようなことはなかったのでしょうか。

唐澤：
私自身がセキュリティの責任者であり、経営する側としてTLPTが必要と感じていたため、実施しやすい環境にあったと言えます。加えてTLPTの実施を事前に知っていたのは4名だけだったので、それに対する社内の障壁はありませんでした。ただし、CSIRTチームは最初の攻撃を検知し、その対応に当たっています。ですから「ごめん、この攻撃はテストでした」と伝えるタイミングが難しかったです。

小林：
では、今回のTLPTの実施で得られた気づきを教えてください。

唐澤：
1つは先述したとおり、攻撃者側の情報収集の主なリソースが、一般公開情報だったことです。攻撃者は私が関知していない従業員のブログもチェックしていました。企業のネットワークやシステムの構成を外部から把握できるようなツールなども存在しますから、ターゲット企業の情報を攻撃者が本気で集めたら、公開情報だけで攻撃にかなり有益な情報が得られると感じました。

もう1つは、内部のネットワークに侵入された後の対策が十分ではなかったことです。

インターネットに接続している部分における「入口／出口対策」は、目的が明確ですし対策状況も注目されやすいため、これまでも注力してきました。しかし「ネットワーク内部のセキュリティ対策」は、従業員が情報を勝手に持ち出さないようにするなど、内部犯罪の防止に焦点を当てていました。「内部システムでマルウェア感染やその拡大を防止または検知する」という意識が足りなかったという、よい学びになりました。

小林：
最後に、TLPTの実施を検討している企業に向けたアドバイスをお願いします。

唐澤：
TLPTは、経営者のサイバーセキュリティへの意識を向上させる格好の機会になると思います。情報システム部が経営層に対してセキュリティ対策を報告する際には、「○○を防御するソリューションを導入しました」と言いがちです。しかし、TLPT実施の報告は「○○への攻撃シナリオの場合、防御しきれず侵入を許してしまいました。また侵入後の検知もできず（遅延し）、業務への影響やインシデントとして●●が発生しました」といったものです。これは、経営者にとって目の覚める“スパイス”になるのではないでしょうか。

小林：
企業におけるデジタルの活用は進んでいますが、技術革新の恩恵を受けるのは攻撃者も同じで、新技術を悪用した偵察行為や攻撃手法は多様化・巧妙化しています。企業はこれまでも、そうした攻撃に対する態勢を向上させる努力をしてきましたが、もはや自社によるセルフアセスメントや既知の技術だけを用いた防御テストでは、あらゆる攻撃に対処するのは難しくなってきていると言えます。自社の取り組みの効果をきちんと検証するという点で、今回お話を伺ったような実践的なTLPTは極めて重要ですね。本日はありがとうございました。