サイバーセキュリティに関する報道の中には「騒ぎ過ぎ」だったり、第一報のみでアップデートがないこともある。セッションでは、リサーチャーとしての仕事を進める中でのポイントも紹介された。
「一次情報と、メディアで報道されるそれ以外の情報の違いに注意すべきだ。同時に、それだけをうのみにせず、断定的に捉えないことも大事。分からないものは分からないものとして扱うべきだ」(辻氏)、「情報を見続けていると、初報からアップデートされることは結構ある。そうした変化を正しく認識することも必要」(piyokango氏)。
リオオリンピック時のサイバー攻撃に関する報道を例に挙げよう。piyokango氏は「スポーツイベントはインシデントが起きやすいと予見できる。だから、その1年前の夏ごろに思い立って関連ツイートを眺めるようにした。どうしてもイベントだけに目が行きがちだけれど、継続的に見ていくと、カーニバルのタイミングで盛り上がったり、攻撃に参加するメンバーが変わっていたりと、いろいろと変化がある。また、現地の報道と日本の報道を見比べると、解釈が丸められていた場合もあった。中には、現地でしか流れていない情報もあった」と振り返る。なおサイバー攻撃は、開会式の時こそ盛り上がったが「思った成果が出なかったためか、翌日には盛り上がりに欠け、落ち着いた感じになった」そうだ。
では、セキュリティリサーチャーは「得られた分析結果を発信する」ときにどんなことに気を付けているのか。例えば根岸氏は発信前段階で、IoTボットネット「Mirai」によるDDoS攻撃やハッキンググループ「The Shadow Brokers」がリークした幾つかの脆弱性についての“影響範囲”の調査を済ませ、「今後の状況によっては注意が必要になるかもしれない」と注意喚起を行っていた。なおThe Shadow Brokersはその後、ランサムウェア「WannaCry」に悪用された脆弱性を悪用するツールも公表している。
顧客向けはもちろん、社内向け、コミュニティー向け、そして幅広い外部向けと、出し方を考慮しながら情報提供を行う立場の根岸氏だが、「情報を出しっぱなしにするのではなく、受け取る側がどう共有し、判断し、行動するかについてのフィードバックを受けていきたい」と述べている。
セキュリティインシデントの増加を背景に、この10年あまり「情報共有が重要だ」と言われ続けながらも、クローズドな場を除けば、それはなかなか進んでいない印象もある。こうしたセキュリティリサーチャーの日々のタスクを参考にすることは、脅威に関する情報を早期かつ的確に収集し、判断し、活用していく際のヒントになるのではないだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.