ホーム > mixiニュース > IT・インターネット > IT総合 > 逃げなかった先人たち インシデントの「敗戦処理」を振り返る

逃げなかった先人たち インシデントの「敗戦処理」を振り返る

0

2019年08月06日 07:12  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真あの事件、覚えていますか?
あの事件、覚えていますか?

 サイバー攻撃やITに関係する事件が、日々世間を賑(にぎ)わせています。多くの場合、それは報道という形で私たちの耳に入ってくるわけですが、次から次に報じられる新しいニュースに流され、どんな大きな事件もいつの間にか忘れられてしまいがちです。



【その他の画像】



 つらい事件の記憶が薄れるのは、ある意味では正しいのかもしれません。しかし、事件から得た教訓まで忘れてしまってはいけません。そこで今回は、皆さんもきっと名前だけは覚えているであろう過去の事件と、事件が世間の記憶から消えそうになる頃に発表された「報告書」に着目したいと思います。



●「標的型攻撃」の典型例となった、日本年金機構の不正アクセス問題



 まずは2015年5月に明るみに出た、日本年金機構のインシデントから見ていきましょう。日本年金機構のネットワーク内にマルウェア「Emdivi」が侵入し、遠隔操作が行われた事件です。この事件は「職員が自分宛てに届いたメールの不審に気付かず、添付されたマルウェアのファイルをクリックしてしまった」という、マルウェア侵入のきっかけが話題になりました。



 この事件は、いわゆる「標的型攻撃」の典型的な事例として、現在でもたびたび言及されます。事件の後、日本年金機構から「日本年金機構における不正アクセスによる情報流出事案について」、厚生労働省から「日本年金機構における不正アクセスによる情報流出事案について 」、内閣サイバーセキュリティセンター(NISC)からは「日本年金機構における個人情報流出事案に関わる原因究明調査結果」という、3つの報告書が公開されました。



 これらが公開された当時、その詳細な内容に驚いたものです。特に、NISCの調査結果においては、攻撃が2015年5月8日に始まり、波状攻撃を受け続けて侵入を許した後に、ネットワーク内で感染を広げた様子がチャートの形で詳細に表現されています。 このチャートだけでも、学ぶべき点は多いのではないでしょうか。



 また、同報告書の「今回のサイバー攻撃の特徴と対策」や「本部及び NISC がとるべき再発防止対策」には、組織がとるべき対策がリストアップされています。これは大変有用な資料です。このインシデントが発生したのは2015年ですが、現在においても、同じような攻撃に対して弱点を抱える組織は多いかもしれません。



●内部不正から社会問題化、ベネッセの個人情報漏えい問題



 2つ目は、2014年に発覚した、ベネッセコーポレーション(以下、ベネッセ)による個人情報漏えいインシデントです。このインシデントは、ベネッセホールディングスにしか渡されていないはずの個人情報が、別の業者によるダイレクトメールなどに利用されていたことから発覚したもので、社内の悪意ある従業員による情報の不正な持ち出しが原因でした。



 こちらも、事件発覚からしばらくして、「個人情報漏えい事故調査委員会による調査結果のお知らせ」という、詳細な調査結果が公開されています。



 この報告書を見たときに印象深く感じたのは、ベネッセが「セキュリティ対策をしていなかったわけではない」ということです。不正な情報持ち出しは、USB接続したスマートフォンへのデータ書き出しから始まりましたが、ベネッセはUSBメモリへの書き出しを禁じる対策をしていたのです。しかしその対策は完全ではなく、特定の機種では書き出しができてしまいました。報告書には、「なぜ情報持ち出しができてしまったのか」が詳細に書かれています。



 その後、ベネッセはセキュリティベンダーと合弁会社を作り、ITセキュリティの強化を続けています。この事件には被害者がおり、その被害は取り返しがつかないものです。しかし、この報告書によって、同業だけでなく日本全国の組織に対しての注意喚起が行われたことも、紛れもない事実です。



●手法の巧みさが話題に、セシールオンラインショップへのパスワードリスト攻撃



 そして近年、ディノス・セシールが運営する「セシールオンラインショップ」のインシデントがセキュリティ関係者の注目を集めました。



 これは、2018年6月に発生した「パスワードリスト攻撃」による不正アクセスの事例です。これだけ聞くと、ごくありふれたお話だと思うかもしれません。セキュリティ関係者が驚いたのは、「攻撃成功率の高さ」でした。



 調査報告書『弊社「セシールオンラインショップ」への不正アクセスと お客様情報流出の可能性に関する調査結果のお知らせ』によると、不正アクセスでログイン試行があった件数は1938件。そのうち不正ログインが成功した件数は、490件でした。成功率、なんと約25%。通常、パスワードリスト攻撃の成功率は1%程度といわれています。突出した成功率の高さが、このインシデントの特徴でした。



 パスワードリスト攻撃が成功するのは、どこかで漏えいしたID(メールアドレス)とパスワードが他のサービスで使い回されていた場合のみです。つまり、IDが他のサービスで使用されていなければ、攻撃は失敗します。最近では「同一のIPアドレスからから何度もログインが繰り返された場合はログイン画面をロックする」などの対策も講じられているため、パスワードリスト攻撃の成功率はより一層低くなっているはずです。



 しかし本案件では、攻撃者は非常に高い確率でログインを成功させていました。報告書によれば、攻撃者はログイン試行をする前に「リストのスクリーニング」を行っていたというのです。



 一体どういうことか説明しましょう。攻撃者はセシールオンラインショップに対し、まず入手したメールアドレスを使って「新規登録」を試みました。ここで2重登録のエラーが出れば、「すでに登録されているメールアドレス」ということになります。攻撃者は、登録が確認できたメールアドレスのみでログインを試行したのです。



 パスワードリスト攻撃の対策といえば、ログインページでするものだと思うかもしれません。新規登録ページが利用されるとは、なかなか想像ができないはずです。その意味で、この報告書はとても参考になります。ぜひ、目を通してみてください。



●報告書は、他の組織への注意喚起になる



 ここまで、近年話題になったセキュリティインシデントを報告書とともに振り返りました。これら3事例に共通していえるのは、「被害は大きかったが、報告書によって誰かが救われた可能性も高い」ということです。



 もちろん報告書だけでは、被害者の受けた損害は回復しません。しかし、ここで取り上げた企業組織だけではなく、サイバー犯罪被害にあった多くの企業が多額の調査コストをかけ、このような資料を作成していることには、素直に頭が下がります。これらの資料の存在は覚えておくべきです。これはあらゆる組織に対する注意喚起なのですから。



 そして現在、私が懸念しているのは、サイバー犯罪の被害に遭った組織が、調査を放棄して「攻撃を受けましたが原因は分かりません、取りあえずサービスは廃止します!」と逃げてしまうことです。



 調査を十分にしないまま、ありがちな理由を原因と断定して、被害者をけむに巻くような事例が、今後もしかしたら発生するかもしれません。「報告などせずに逃げてしまったほうが、結局コストがかからない」という風潮ができてしまうのは非常に危険です。



 そういった点において、過去のインシデントでこのような「有用な資料」を作成した組織に対して、われわれは「よくやった」と言ってあげなければならないのかもしれません。例えば、毎年開催されている「セキュリティ事故対応アワード」のような取り組みはとても素晴らしいと思います。



 新しい手口を次々と生み出せる今の状況は、サイバー攻撃者にとって圧倒的に有利です。この状況が変わらない以上、事故は必ず発生します。だからこそ、発生したインシデントに対し、組織が「その後どう対応しているか」に注目しましょう。



 そのためには、過熱した報道に飲まれず、報道が落ち着いたときにこそ自分で「後始末」を追いかける……という、冷静な目が必要なのかもしれません。


    あなたにおすすめ

    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定