2020年にサイバー攻撃受けたNTTコムに聞く“当時の教訓”　反省を踏まえ、どう変わったか

　サイバー攻撃の激化に伴い、メディアやITセキュリティベンダー、有識者などから「攻撃を受けないために、どうすればいいか」という情報が盛んに発信されている。有用なものも多く、さまざまな組織の役に立っているだろう。一方で、情報セキュリティを巡っては、公開される情報が少なく、知見を得にくい話題もある。例えば「実際にサイバー攻撃を受けた後の反省」はその筆頭といえる。

【その他の画像】

　考えられる原因はさまざまだが、レピュテーションリスクもあって積極的な開示が行われないのが主な理由かもしれない。一方で、自社の反省とそこから得た教訓について明らかにする企業もいる。2020年にサイバー攻撃を受けたNTTコミュニケーションズだ。

　一度サイバー攻撃を受けた企業は、どのように自社のセキュリティを改めるべきか。同社は2020年に受けたサイバー攻撃の反省に加え、現在に至るまでどのようにセキュリティを改善してきたか、ITmedia NEWSの取材に応じた。

●NTTコミュニケーションズが受けた攻撃、詳細は

　NTTコミュニケーションズがサイバー攻撃の被害を発表したのは2020年5月のこと。初報では、法人向けサービスに関する工事情報の管理サーバなどに不正アクセスがあったと発表。その後の調査で900社近くの顧客企業の情報が外部に流出した可能性があると明らかにした。

　法人向けセキュリティサービスで広く知られる同社だけに、このインシデントのニュースは世間に驚きをもって迎えられた。一方で、同社の内部ではそれ以上に大きなインパクトがあったという。

　「地震や台風、災害時と同規模の危機管理体制をすぐに立ち上げて、対応に当たった。何が起きているかを100％解明しないことにはクライアントにきちんと説明できないので、まずは攻撃者が閲覧した情報を特定し、それらを悪用した二次被害が起きないようにすることに注力した」

　こう当時を振り返るのは、NTTコミュニケーションズの小山覚さん（情報セキュリティ部長）。初期調査の結果、攻撃者は2つの異なる経路で侵入したことが分かった。

　1つ目は、シンガポール拠点で稼働していたサーバの脆弱性を悪用した侵入経路。近いうちに撤去する予定のサーバだったため、脆弱性対策が不十分だった。ここを突かれて侵入を許してしまったが、攻撃者に閲覧された可能性のある情報はフォレンジック調査によりほぼ100％特定できた。

　一方この侵入の直後に、社員が使わなくなったVDIシステムのリモートアクセス環境に対し、正規のアカウント情報を悪用した不正アクセスが発生していたことも分かった。こちらの侵入経路に関しては正規のID／パスワードが使われていた上に、攻撃者は追跡の手を逃れるために侵入の足跡を消去しながら次々と別の社員のアカウントに乗り換えていたため、その活動経路をたどる作業は難航を極めたという。

　「社員による正規のアクセスと攻撃者による不正なアクセスを峻別するためには、膨大な量のログを突き合わせて相関解析する必要があり、人手による通常の作業では膨大な時間がかかると考えられた。そこでビッグデータ解析の専門チームの力を借りて、46億行のファイルアクセスログや26億行のADサーバの認証ログを含む46種類のデータをビッグデータ解析にかけ、最終的に攻撃者が閲覧したデータを特定した」

　これにより、事態の説明に欠かせない「被害実態の把握」ができたという。さらに、攻撃者の行動パターンもある程度可視化できた。一定の時間帯に攻撃が集中しており、急に止んだと思ったら1時間の休憩をはさんで再び攻撃が一斉に始まるなどの特徴があったという。攻撃者の特定はできていないものの「個人ではなく組織的な活動とにらんでいる」（小山さん）

●同社の改善策は　出入口対策と内部対策の双方を見直し

　とはいえ2020年の一件は、NTTコミュニケーションズにとって苦い経験になったことに変わりはない。この反省を踏まえ、同社は再び同じ轍を踏まないよう、セキュリティ対策の強化に乗り出したという。

　まず攻撃者に侵入の糸口を与えないよう、脆弱性対策を徹底するようにした。今回のインシデントでは、近く撤去予定だったため脆弱性対策が十分でなかった機器が狙われた。そこで、既に使われなくなったものや撤去予定のものも含めて脆弱性対策を徹底するルールを新たに設けた。

　リモートアクセスの認証では多要素認証を導入していたものの、例外的に二要素認証も一部で認めており、ここを悪用されてなりすまし攻撃による侵入を許してしまった。そこで今後は例外なく多要素認証を義務付けることとしたという。

　IT資産管理の取り組みも根本から見直した。それまでは各部門ごとにExcelシートや独自システムなどばらばらの方式で資産情報を収集・管理していたが、インシデント後は「EDR」（Endpoint Detedtion and Responce）の仕組みを通じてシステム構成情報を自動的に収集し、これをセキュリティ部門が一元管理する体制へと移行した。

　万が一の攻撃者の侵入に備え、侵入者の行動を制限して「何も渡さない」ための対策も強化。例えばファイルサーバをすべて廃止し、業務データをすべてクラウド型の情報共有ツールに保存するようルール付け、データをすべて暗号化することを定めた。同時に「各サーバ上に不要な情報を置かない」「特権ID管理を徹底する」「不要な通信経路は閉鎖する」といったルールも新たに設けた。

　さらには端末やサーバを監視するEDR、内部ネットワークを監視する「NDR」（Network Detection and Response）、すべてのユーザーアカウントの振る舞いを監視する「UEBA」（User and Entity Behavior Analytics）の仕組みを新たに導入。攻撃者の振る舞いを迅速に検知できる体制を整えたという。

　加えて同社が運営する回線でやりとりされる情報を分析し、C＆Cサーバ（攻撃者が不正なプログラムの制御などに使うサーバ）へのデータ送出など、不正な通信を検出する取り組み「Network as a Sensor」（NaaS）も新たに始めた。

　同様の形で行う通信データの監視は、従来は「通信の秘密」に抵触すると考えられてきた。しかし国による法解釈に変更が加えられた結果、21年11月より合法となっており、採用に至ったという。

●インシデント対応の負荷増大が課題に　SOAR導入で効率化

　以上のようにセキュリティの強化を進めてきた同社。ただ、手間が増えるとそれだけ作業は煩雑になる。NTTコミュニケーションズでも、堅牢さと引き換えに「インシデント対応業務の負荷増大」という副作用が同時に生じたという。

　「ファイアウォールやEDR、NDR、UEBAなどのアラート情報を確認し、その内容を基にチケット管理システムでインシデント対応のチケットを発行し、さらに資産管理システムや脅威情報データベースなどで関連情報を参照してチケットに情報を追記しながら調査していく。これら一連の作業を人手で行っていたため作業量が膨大になり、担当者の疲弊を招いてしまった」（小山さん）

　そこで2022年、これら一連の作業を自動化するために「SOAR」（Security Orchestration Automation and Response）のシステムを新たに導入した。SOARとは、セキュリティ運用業務の自動化・効率化に向けたソリューションを指す。EDRやNDR、UEBAなどが発行するアラート情報をSOARシステムが受け取り、その内容をチェックして自動的にチケットを発行。さらには各種の関連システムにアクセスして詳細情報を調査するところまでを、SOARによって自動化したという。

　「これら一連の作業の反復に膨大な手間と時間がかかっており、これらを自動化することで業務効率を改善した。さらには調査内容を基に実際の対策を行うフェーズでも、例えばユーザーに対して『変なサイトを見ていませんでしたか？』というメールを送るといった一部作業をSOARによって自動化できた」（小山氏）

　さらに2023年には、外部から脅威情報（IoC）を入手して、自社の対策に反映させる作業も概ね自動化したという。自動化の仕組みはこうだ。まず、同社が導入する脅威情報管理プラットフォームで新たな脅威情報を外部から受け取る。そしてこれを検知・防御するための設定を、社内の各セキュリティ製品に対して新たに行う。

　次にこの脅威情報をSOARに引き渡し、該当する攻撃の痕跡が自社内に残っていないかどうかを調査するために、各セキュリティ製品のログを検索する。もしここで攻撃の痕跡が見つかった場合は、チケット管理システムで自動的にチケットを発行し、以降の対応フローへと引き継ぐ。これにより、現場の負担を軽減できたという。

　ただ、既存業務を考えなしに自動化するだけでは「自動化したはいいが、業務が属人化しており、結局効率化にはならない」リスクも存在する。NTTコミュニケーションズもその点には注意していたといい、まずは平時におけるSOCやCSIRTのオペレーションや、有事におけるインシデントレスポンスの手順を、誰が行っても同じ結果が出せるよう標準化することから着手。そうやって標準化できたプロセスから、少しずつ自動化の仕組みの上に載せていったという。

　自動化に当たってはもう1点注意したポイントがあった。「エビデンスベースのセキュリティ対策」を徹底することだ。正しくない情報を基に作業を自動化しても意味がない。できるだけ事実に基づいた対策を実施し、それを自動化できるよう心掛けたという。

　「定期的に対策状況を監査・点検しているが、従来はアンケート調査やチェックリストといったアナログな手法を用いてこれを行っていた。しかしどうしても抜け・漏れが生じる可能性があるため、現在はEDRから集めてきたデータを基に対策状況を確認する“エビデンスベース”の監視・点検体制に移行している」（小山さん）

●精鋭チームによるレッドチーム演習や毎月のメール訓練も実施

　さらに、仕組みだけでなく“人”に注目した対策も進めるようになったと小山さん。例えば、自社に対して実際にサイバー攻撃を行い、客観的な視点に立って自社のセキュリティ対策状況を評価する「レッドチーム演習」も定期的に実施しているという。

　同社のレッドチーム演習では、NTTグループの精鋭セキュリティ技術者ばかりを集めて結成された「Team V」が攻撃者役を担当。最新の高度な攻撃手法に耐え得るだけの対策ができているか、あるいは攻撃者に悪用される可能性がある脆弱性が残存していないかを調べているという。並行して、一般従業員のセキュリティ意識を喚起するための標的型攻撃メール訓練も月1回のペースで実施している。

　「当社では派遣社員や業務委託の方も多く働いており、毎月一定の人数が入れ替わっている。セキュリティ感度を上げるためには年1回の訓練だけでは効果が薄いため、月1回のペースで実施するようにしている」（小山さん）

　ただ、一連の対策を進めている間にも、NTTコミュニケーションズを狙った攻撃は相次いでいると小山さん。高度な手口を用いた攻撃も多いといい、さらなる対策も進める方針だ。

　「当社を攻撃するために専用の手法を開発しているのではないかと疑いたくなるほど、高度な手口を用いた攻撃が観測されている。もちろん今のところこれらもしっかり検知・対処できているが、今後はより危険なゼロデイ攻撃を受けることも視野に入れながら対策を強化していくつもり。また、ウクライナ侵攻で多用されたWiper（ワイパー）をはじめとする破壊系マルウェアのリスクが今後日本でも高まってくると予想されるため、当社でもさらに対策を強化していく」