@ITは、2018年6〜7月に、「@ITセキュリティセミナー」を開催した。本稿では、piyokango氏、インターネットイニシアティブ 根岸征史氏、ソフトバンク・テクノロジー 辻伸弘氏による特別講演「昼下がりのセキュリティリサーチャーズ〜平時と有事の狭間で〜」の内容をお伝えする。
@ITセキュリティセミナーではおなじみの「セキュリティリサーチャーズナイト」が2018年6〜7月に東京、大阪、福岡、札幌の各会場で開催された。今回は、「昼下がりのセキュリティリサーチャーズ 〜平時と有事の狭間で〜」と題し、piyokango氏、インターネットイニシアティブの根岸征史氏、ソフトバンク・テクノロジーの辻伸弘氏の3氏が、日々迷い走り続ける中で見つけた「平時に準備しておくとよいこと」「有事の動き」を討論した。
根岸氏は「実際には『平時』と『有事』は切れ目がなく、地続きになっていることが多い」と指摘すると、辻氏も「前日の夜に平時と思っていたら朝には実は有事だったというように、両方が揺れ動いていることが多い」と同意した。
では、平時と有事にどういった態度で、どういった対策を採っていくのが理想なのだろうか。
辻氏はまず、自身が脆弱(ぜいじゃく)性情報の調査や確認などを行ってそれを社外向けに公表していることを挙げながら、「社内でセキュリティリサーチャーのような仕事をしている担当者は、何をしているか外部から見えにくいことが多い。セキュリティ担当者は社内外に向けて、自分たちの普段の仕事を発信していくことが重要です」と指摘した。
それを受けて根岸氏は「脆弱性は特定の条件でしか働かないケースも少なくない。そのため情報を公開して共有しておくことは普段のセキュリティ対策の取り組みとしても重要です」と付け加えた。
piyokango氏はサイバー空間に存在する無数の“転がる石”が、もしかしたら自分たちに向け飛んでくる可能性を常々気にしつつ、情報を集めているという。特に気にしているのは、脆弱性によって、実際に攻撃が可能なのかどうかだ。「攻撃の手段があるのか、それを第三者が好き勝手に使えてしまうのか、悪用されるとどのような影響が及ぶのかというのが、深い調査へのトリガーになります」
これに辻氏も同意し、「加えて、脆弱性があるのが、多くの人が使っているアプリケーションなのかどうかもポイントです。世間では騒がれているが、発生条件が厳しかったり、標準状態では攻撃が成立しなかったりするものならば、それが分かるようにレポートを作っています」と述べる。単に「危ない」とだけ言うことは簡単だ。むしろ「『危なくない』と言うのは勇気がいることです」(piyokango氏)
平時からそうしたセキュリティ情報の公開や共有を行っておくことで、有事の際に経営サイドなどから調査や報告を求められてもすぐに対応ができる。これは、企業の有事対応としても大きなメリットになる。
また、平時から脆弱性情報への関心を高めておくことで、CVSS(Common Vulnerability Scoring System)スコアの深刻度の高さや「攻撃実証コードが出回っているかどうか」という情報などから、被害リスクの算出や緊急対応がしやすくなるメリットもある。
その上で辻氏は「CVSSは自分たちの環境に合わせて運用ができるように設計されています。どこかのベンダーに丸投げして終わりではなく、自分たちなりの工夫の中で活用していくことが大事です。ただ、セキュリティ運用を全て内製化するのは難しい。そこでキーになるのが、社内に対してセキュリティ情報を翻訳してあげる人材です」と述べる。
最近では「スレットインテリジェンス」と呼ばれるような、脅威情報や脆弱性情報を“買う”ということも可能になった。この行為に関して根岸氏は、「調査や情報収集部分をアウトソーシングできても、情報をかみ砕き、判断し評価するという行為はアウトソーシングしにくいのではないでしょうか」と指摘する。
piyokango氏はこの点に関して、次のように付け加えた。「情報収集をアウトソーシングすることは選択肢の一つだと思いますが、入手した情報を自分たちが評価できるかどうかも重要です。CSIRTはさまざまな組織と情報共有する場面がありますし、その力を付けるためにも最初は自分の力で取り組み始めるといいでしょう。自分たちだけでは回らない、そんな時は外部のサービスを利用するという判断もできるでしょう」
有事での対応については、根岸氏がまず「一般的に行われている有事の対応が本当に正しいかどうかはあらためて考えるべきだと思います」と問題提起を行った。例えば、マルウェアへの対処が典型的で、マルウェアを検知して駆除すれば対応は完了と思われがちだ。
だが実際には、侵入をリアルタイムに検知したわけではなく数週間前から侵入されていたケースや、類似のマルウェアが検知された場所以外にも潜んでいるケースなどがある。最近では、データ窃取後にランサムウェアに感染させてデータ窃取の事実を隠蔽(いんぺい)する攻撃なども見られるという。
根岸氏は「見つかったことをトリガーにして、影響範囲を見積もったり、見つかっていない脅威を探したりする作業が必要です。また、社外のC&Cサーバとの通信の有無、検体の調査などを行って、次の脅威に備えられるよう体制を整えることも大切です」とアドバイスした。
また、そもそも何らかの攻撃らしきものがファイルでやってきたとき、それを解析、判断するには、どのようなツールを使うべきなのだろうか。
「例えば『VirusTotal』などの無料のツールに頼る方法もありますが、これには注意点があります。マルウェアを見つけたら、まずハッシュ値を算出し、その情報をオンラインスキャナーサービスで関連する情報がないかを確認します。その後、ファイルそのものをアップロードするかどうかの判断になります」(piyokango氏)
これはどういうことだろうか。例えば不正送金のマルウェアなど、全体にばらまかれる可能性が高いマルウェアならば、積極的に公開することが、他の組織での被害を未然に防ぐことにつながる。しかし標的型攻撃のような、他の組織には存在し得ないマルウェアだった場合、ファイルそのものをアップロードしてしまうと、その組織が攻撃を受けている事実を多くの関係者に知らしめることになり得る。
「オンラインスキャナーサービスをよく知らないため、メール本文そのものをアップロードする事例もあり、ある種の情報漏えいになってしまうケースもあります」(根岸氏)
この点に関しては、「契約をしているセキュリティベンダーに相談すべきです」と、辻氏は述べる。ただし、その解析結果が出るまでは何もできないため、辻氏は「VirusTotalなどにハッシュ値を送ったとき、その結果を判断できるくらいのスキルをマスターすることは重要です」と付け加えた。
一般報道される情報漏えい事故のニュースを自社の取り組みに生かすことも重要だ。例えば「中央省庁からデータが漏れた」というニュースに対して「当社は関係ない」ではなく「当社にも関係があるかどうか確認する」という態度で接することが大切だという。
根岸氏は「平時と有事の取り組みはつながっています。普段から自分たちにも関係があることと思いながら、有事のニュースに接し、何かあったら自分たちで調べることが重要」とした。また、辻氏も「漏えいしたパスワードを確認できるサイトもあります。大きな予算をかけなくてもできることはたくさんある。うまく活用してください」と話し、パネルディスカッションを締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.