4月にセキュリティインシデントが急増するワケ：川口洋のセキュリティ・プライベート・アイズ（3）

[川口洋，＠IT]

　皆さん、こんにちは、川口です。前回までのコラムではSQLインジェクションという攻撃手法によるホームページの改ざん事件についてお話ししました。本原稿執筆時点でもこの攻撃は継続して行われていますので、引き続き注意してください。

「新環境のスタート」は狙われどき？

　この時期に内部ネットワーク（イントラネット）でのセキュリティインシデントが増加する傾向があることをご存じでしたか。この時期増えている理由はどうしてでしょう。

図1　2005〜2007年での内部ネットワークから発生するセキュリティインシデント件数の推移（JSOCデータより）

　内部ネットワークでのインシデントは以下のようなものがあります。

• ウイルス、ボットへの感染
• 許可されていないPtoPソフトの利用
• 許可されていない情報の持ち出し
• そのほか、許可されていないシステムの利用

　これらの内部からのインシデントは不注意、理解不足が原因となって発生します。特に4月になり、新しく入ってきた人は新しい環境に対応することで精いっぱいです。何らかの判断が必要になった場合、新しい組織のルールを把握していないと、以前に所属していた組織の感覚・癖で行動します。これが結果的に組織のセキュリティポリシーの違反となり、インシデントにつながっているようです。

　新人は、周りの環境すべてを新しく感じているため、パソコン利用時のわずかな変化を感じ取ることができない場合があります。パソコンが突然再起動したり、不自然に遅かったり、一瞬だけウィンドウが開いたりなどの挙動があったとしても気が付かないケースもあるようです。その結果、ウイルスやボットなどに感染していても発見、対応が遅くなってしまうことがあるのです。

　ウイルスやボットの感染事故は特にこの時期によく発生しています。主な原因は私物パソコンの持ち込みです。持ち込まれたパソコンがウイルスやボットに感染している場合もあり、そのパソコンから内部ネットワークのほかのパソコンに対して感染活動を行い、まん延してしまう事例も発生しています。セキュリティ状態に保たれている内部ネットワークであっても、持ち込まれた管理外のパソコンによって内側からそのセキュリティレベルが低下させられることがあるのです。

　これを例えていうならば、2007年に大流行したはしかのようなものです。いままで予防接種を受けていなかった集団にひとたびはしかの感染者が交じってしまうと、その組織の中で大流行してしまいます。最近の企業では私物パソコンの持ち込みは厳しく制限していますが、大学などの組織では私物パソコンの利用に関するルールが緩くなっているので、学術系機関の方は特に注意が必要です。

　PtoPソフトの利用がシステムの障害につながるケースもあります。あるネットワークで通信速度が著しく低下する問題が発生していました。その原因を調査したところ、あるユーザーがPtoPソフトでファイル交換を行っていました。PtoPソフトでやりとりされる大量の通信がネットワークの帯域を圧迫していたのです。同時にこの通信はIDS（侵入検知システム）にも大量に記録されていました。PtoPソフトの通信が長時間にわたって行われたため、ログがIDSのシステムのディスクを使いつくしてしまい、それ以降のログの記録が取れなくなる障害も発生しました。

　また、新人はソーシャルエンジニアリングのターゲットにもなる可能性があります。組織の情報を狙う悪意を持った人はシステム管理者を装って、IDやパスワードを聞き出そうとするかもしれません。システム管理者や管理職を名乗る人に対してはきちんと対応しないといけないという心理的な点を悪用するテクニックがあるのです。新人は組織のルールを把握していないために、安易に答えてしまう可能性があります。これは本人だけの責任ではなく、周りの人のフォローやセキュリティ教育なども重要です。

自分の新人時代を振り返って

　最近、私は新入社員研修の担当となっており、新入社員と接する機会が多くなっています。そこで、私がセキュリティアナリストになった2003年2月を振り返ってみました。

　アナリストチームに異動後、1カ月のトレーニングを経て、初めてお客さまのログを分析した日のことはいまでも鮮明に覚えています。当時はMicrosoft SQL Serverの脆弱性を狙って感染を拡大するSQL Slammerワームが猛威を振るった直後で、私がセキュリティアナリストを務めるセキュリティ監視センターJSOCにも緊張感が充満していました。

　JSOCは、お客さまのネットワークに設置されているファイアウォール、IDS、IPSのログをリアルタイムに収集しています。収集したログはセキュリティアナリストのパソコン画面に表示され、セキュリティアナリストの目で、その重要度を1件1件判断しています。この瞬間にわれわれの知識と経験を総動員して、セキュリティインシデントの分析をしているわけです。

　「われわれがお客さまのシステムで発生している脅威を発見できなければ、お客さまのシステムに大きな損害を発生させてしまう」

　と、私の判断がお客さまの運命を握っている仕事の重圧を感じました。分析トレーニングでも本番環境と同様のデータで分析を行っていましたが、いざお客さまのログを分析し、連絡するとなるとクリック1つの重みが違いました。セキュリティアナリストとしての初日は、われわれがしている仕事の重みを感じた衝撃的な1日でした。

セキュリティアナリストを育成するには

　セキュリティアナリストとしてデビューして5年。私のときは1カ月だったセキュリティアナリストになるためのトレーニングは、現在では約6カ月間実施するまでになりました。インターネットにまん延しているワームやボットの種類も多くなっており、5年前には注視していなかったWebアプリケーションへの攻撃やクライアントアプリケーションを狙った攻撃など、システムに対する脅威も変化しています。そして、2003年にまん延したBlasterワームやSlammerワームのような攻撃は件数こそ少なくなっているものの、現在も続いています。セキュリティアナリストには新しい攻撃手法の知識のみならず、古い脆弱性や攻撃手法に関する知識も求められます。そのため、セキュリティアナリストには、幅広い脅威への対応と、難解な新手法への探求が必要となってきているのです。

　2005年までは公開サーバが主な攻撃対象となっていましたが、現在ではユーザー組織内部の環境やこれら組織で作成しているカスタムアプリケーションも狙われています。セキュリティアナリストのトレーニング項目も2003年当時と同じ内容を利用しても、現在の脅威と脆弱性に対応することはできません。セキュリティアナリストのトレーニングは常に最新の脅威と脆弱性に対応したものでなければなりません。

　現在、セキュリティアナリストになるべくトレーニングを行っている新しいメンバーが私の隣に座っています。彼を一人前にするためのトレーニング項目を用意するのもセキュリティアナリストのリーダーとして重要な責務です。新しいセキュリティアナリストを育成するときには、自分以上のスペシャリストを育成したい思いで毎回頭を悩ませています。

• いまのセキュリティアナリストに求められる資質は？
• トレーニングする新人セキュリティアナリストの能力は？
• どの脅威を知っている必要があるか？
• どの脆弱性を知っている必要があるか？
• ファイアウォールやIDSなど、セキュリティ機器に関する知識があるか？

　これらのトレーニング項目は新しい脅威・脆弱性の出現とともに常にアップデートされています。JSOCのセキュリティアナリストのノウハウでもあるトレーニングマニュアルは150ページを超えています。セキュリティアナリストのトレーニングについてはまた別の回に触れることにします。

　個人としての能力だけではセキュリティアナリストは務まりません。JSOCの分析は24時間365日休むことなく提供する必要があり、セキュリティアナリストもチームで対応しています。個人としての能力に加えて、チームとしての連携が重要です。

　チーム内の連携を深めるため、毎月の定例ミーティングの後には飲み会が行われています。そして、今日もセキュリティアナリストは連携を強めるため、その日の分析に当たったメンバーと飲みに行くのでした。

Profile

川口　洋（かわぐち　ひろし）
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト

ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。

アナリストリーダとして、セキュリティイベントの分析とともに、IDS／IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。

現在、JSOCチーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。

「川口洋のセキュリティ・プライベート・アイズ」バックナンバー

• 「DNS通信」記録していますか？――万一に備えたDNSクエリログの保存方法
• Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
• 中の人が振り返る「Hardening 10 ValueChain」――学びにつながった「トラブルの数々」とは
• 無慈悲な専門家チーム「kuromame6」の暗躍に負けず勝利をつかんだチームは？
• 外部リソースの活用もポイントに、「Hardening 10 MarketPlace」開催
• Hardening Projectから派生した「MINI Hardening Project」に行ってみた！
• 「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目
• アップデート機能を悪用した攻撃に対抗セヨ！
• 工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート
• ウイルスとは言い切れない“悪意のあるソフトウェア”
• 2013年のセキュリティインシデントを振り返る
• ここが変だよ、そのWeb改ざん対応
• きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ
• CMSが狙われる3つの理由
• FacebookやApple、MSまで……Javaの脆弱性を狙う攻撃の手口
• Hardening One、8時間に渡る戦いの結果は？
• そのときStarBEDが動いた――「Hardening One」の夜明け前
• ロシアでわしも考えた
• 実録、「Hardening Zero」の舞台裏
• ちょっと変わったSQLインジェクション
• 官民連携の情報共有を真面目に考える
• アプリケーションサーバの脆弱性にご注意を
• IPv6、6つの悩み事
• スパムが吹けば薬局がもうかる
• JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ
• 東日本大震災、そのときJSOCは
• ペニーオークションのセキュリティを斬る
• 2010年、5つの思い出――Gumblarからキャンプまで
• 9・18事件にみる7つの誤解
• 曇りのち晴れとなるか？ クラウド環境のセキュリティ
• Webを見るだけで――ここまできたiPhoneの脅威
• 不安が残る、アドビの「脆弱性直しました」
• ともだち373人できるかな――インターネットメッセンジャーセキュリティ定点観測
• 実録・4大データベースへの直接攻撃
• Gumblar、いま注目すべきは名前ではなく“事象”
• Gumblarがあぶり出す 「空虚なセキュリティ対策」
• 新春早々の「Gumblar一問一答」
• 実はBlasterやNetsky並み？静かにはびこる“Gumblar”
• ECサイトソフトウェアはなぜ更新されないのか
• 狙われるphpMyAdmin、攻撃のきっかけは？
• 学生の未来に期待する夏
• 米韓へのDoS攻撃に見る、検知と防御の考え方
• 分かっちゃいるけど難しい、アカウント情報盗用ボット対策
• 狙われる甘〜いTomcat
• 表裏一体、あっちのリアルとこっちのサイバー
• 世間の認識と脅威レベルのギャップ――XSSは本当に危ないか？
• 急増したSQLインジェクション、McColo遮断の影響は
• ○×表の真実：「検知できる」ってどういうこと？
• ところで、パッケージアプリのセキュリティは？
• レッツ、登壇――アウトプットのひとつのかたち