「サイバー攻撃、うちは大丈夫」と言い切るコワさに迫る――2022年、情報を受け取る側が意識すべき「自分ごと」の意味とは?piyokango×マンディアントの熱いトークを誌上再現

日々報道される侵害事件と繰り返されるサイバー攻撃への問題提起。しかし、どこか「自分ごと」と思えなかったり、注意喚起に慣れてしまったりしていないだろうか。情報を得ることはもちろん、それを実のある形で活用できなければ、ある日突然起きる侵害に慌てることになる。「Mandiant Cyber Summit 2021」では、これらの課題について専門家が考察。その模様を追加トピックとともにお届けする。

» 2022年01月17日 10時00分 公開
[PR/@IT]
PR

 2021年11月某日、マンディアントが主催する「Mandiant Cyber Summit 2021」における特別講演「“最前線にいるものたちの視覚”から何が見えるか?―『うちは大丈夫』と言い切るコワさに迫る―」の収録が行われた。「piyolog」オーサーとして知られるセキュリティリサーチャーのpiyokango氏と、常時3000もの攻撃グループを追跡するマンディアントで脅威インテリジェンスアナリストを務める千田展也氏。サイバー攻撃の最前線を知る2人の“視覚”を通じ、現状の脅威に対抗するための考え方を見直すという趣旨だ。

 収録当日は、12月9日に配信された内容だけではなく、本レポートのために追加トピックも飛び出し、大変濃い内容のディスカッションが繰り広げられた。

対談風景(左からマンディアント インテリジェンス プリンシパル アナリスト 千田展也氏、piyokango氏)

情報を価値に:当事者意識と継続性

 サイバー攻撃の情報を収集・分析する2人が最初のトピックに選んだのは、「プロとアマ」の違いについて。piyokango氏は開口一番「重要なのは、自分ごととして見ることができるかどうか」という点を挙げ、同氏がまとめる「piyolog」で、事件、事故を分析する上で意識しているのは、まさにその点だと話す。

 「この侵害事件が自分の組織で起きたとしたらどうなるのか。そこに学びがあるのならば、どう共有し、分析するか――それができなければ、単に情報を消費するだけとなってしまう」(piyokango氏)

 千田氏も「当事者意識は全てにおいて基本になる」と同意する。千田氏はマンディアントにおける脅威インテリジェンスアナリストの“プロ”として4年の実績を持つ。piyologをはじめ、目を見張る瞬発力がある情報源も少なくないが、もう一つ、「継続性という視点も重要だ」と千田氏は指摘する。情報を継続的に収集し、分析・発信していくにはそれを支えるだけのコストがかかるからだ。「その意味でもpiyokango氏が継続していることは素晴らしい」(千田氏)。piyokango氏は自身による10年間のpiyologの継続性に触れ、「過去に自分が見てきたものが大事な要素になる。過去の蓄積があってこそ、それに照らして都度情報が新しいものかどうか、そこに気付きがあるのかどうかという視点で見ることができる」と補足した。侵害事件が報道されるとき、それら一つ一つが個別の事件として見えるケースは多いが、実際にはその背後にある攻撃手法や攻撃グループが同じであったり、過去からの延長線上にあったりする場合も多い。継続性を持って情報収集・分析し、防御に生かすことが重要なのにはこうした脅威の実態がある。

一過性ではない脅威:正しく備えるには?

 継続性の観点で言えば、1つの攻撃事象が長期間にわたって行われるケースがある。例えば「Emotet」は最初の発生時に大きな話題となり、注意喚起や関連情報の報道も多数行われた。しかし、それが長期間継続していると関心、興味が薄れていく。また別の例としては、脆弱(ぜいじゃく)性を悪用した攻撃がある。半年以上前に明らかになった脆弱性が侵害の経路になってしまった被害など、なぜ半年以上もの間対応できなかったのかというケースも度々発生する。こうした事件を目にするたび、情報を伝える側としての難しさに直面すると2人は口をそろえる。

 piyokango氏は「Emotetで言えば、長期間にわたり緩急をつけて攻撃を繰り返していることもあり、その都度注意喚起が行われることになるが、『ああ、また同じことを言っている』と捉えられてしまう。危険性を正しく伝えたいのに相手に伝わらず、結果的に被害に遭う組織が増える」と、いわゆる「慣れ」の状況に陥ってしまうことへの警鐘を鳴らす。

 千田氏はこれに同調し、マンディアントがAPT(Advanced Persistent Threat:持続的標的型攻撃)やその背景に居ると考えられる国家を名指しで触れることを繰り返している理由として「標的となり得る組織には、観測している攻撃の目的に照らしてそれぞれにもっともな背景があり、警戒するだけの重要性があるため」とする一方、「しかし、その深刻さを理解してもらうことが難しい場合もある」と話す。

 侵害事件が起きたときは注目を浴びるが、しばらく継続すると人の興味・関心は失われていく。しかし、脅威が消滅するわけではないし、攻撃者はさらに手口を進化させたり活動を活発化させたりしてくる。ここでも重要になるのは、やはり「当事者意識」ということになる。継続的に情報を収集し、「自分ごと」と捉えて適切なアクションを行わないままでいれば、リスクが増すばかりという状況に陥ることになるからだ。

 「何かが起きたときに対処すればよい。もはやそういう時代ではなくなってしまった。われわれのような情報を発信する側としてもなるべく受け手の活用をイメージしながら正しく伝えていくが、情報を得る側にもそれを価値に変えるための意識の持ち方が必要になる」(piyokango氏)

2022年の脅威動向と求められる対策

 新たな1年の始まりに当たり、両者が注目している脅威カテゴリーは何だろうか? piyokango氏はまず、リモートワークでインターネットから接続するポイントが攻撃の起点になる状況は今後ますます増えるのではないか、と指摘する。従来はメールによる攻撃が主流だったが、リモートワークやクラウドシフトが加速してくると、攻撃にさらされる領域が増えると考えられるからだ。実際、VPNが侵入の経路として狙われ、認証情報が盗まれて不正に使われることで侵害につながるケースも増えている。昨今では二要素認証を導入している組織も多いが、攻撃側は「クッキーの認証情報を盗む」など、対策をバイパスする手法も取り入れはじめている。piyokango氏は「二要素認証を入れているから大丈夫、ではなく、それが本当に大丈夫なのか、を常に確認する必要がある」と注意を促す。

千田氏もこれに同調し、2021年には前年の倍以上ものゼロデイ脅威が発見されていることに触れながら「もはや、一箇所一箇所、突破されないという前提は置けない。突破された場合にどうするか、という観点で準備していくことが求められる」と話す。

 2022以降の脅威動向については、マンディアントのレポート「Predictions 2022:サイバーセキュリティ動向予測」の内容にも触れられた。レポートの中では、クラウドのリスクやBig4(ロシア、イラン、中国、北朝鮮)の動向など14の項目について洞察が述べられているが、やはり注目すべきは深刻さを増すばかりのランサムウェア攻撃だ。レポートでは、データを暗号化するだけでなく、窃取したデータを公開することで身代金を得ようとする多重脅迫の手口が活発になっており、これによって日本を含むアジア太平洋地域での被害や、それが明るみに出る状況が増すとしている。

 「RaaSと呼ばれるランサムウェア攻撃の分業制が進み、攻撃側が地域をまたいで連携を拡大していく一方で、これまで金もうけの主戦場であった米国やヨーロッパでは国として攻撃に対抗する土台が出来上がりつつある。東アジア地域は攻撃者から見るとまさにブルーオーシャンとも言える。攻撃が活発になるのではないか」(piyokango氏)

 「日本は脅威に対する経験が相対的に乏しい。従来、攻撃者側と被害者側が黙っていれば、侵害事件が明るみには出なかった。多重脅迫はこれを許さない」(千田氏)

 こうした状況が現在進行形で行われている今、必要なのはやはり「自分ごと」と捉え、こうした事態に陥ったときにどうするのかを想定しておくことだ。実態の把握、打つべき対策など、どこから手を付けたらよいかが分からないかもしれないが、「まずは想定してみること。頭の体操だけならタダですからね」と、piyokango氏は付け加える。

「うちは大丈夫」と言い切るコワさの背景にあるもの

 サイバー攻撃の事件が報じられるたび、組織で繰り返されるのは「うちは大丈夫か?」という問いだろう。千田氏は「そもそも、何を持って『大丈夫』と見なすのか、その判断がポイントになるだろう」と述べる。

先に述べた通り脅威は常に進化している。一方で、リモートワークへのシフトやクラウド化といった大きな潮流だけでなく、日々行われるシステム変更やバージョンアップ、組織の統廃合や事業拡大など、事業を支える環境は常に変化している。グローバル展開している組織であれば海外拠点のガバナンスも重要な課題だ。それぞれの組織でIT環境もセキュリティ体制も、守るべき機密データも異なる中、重要なのは「自分にとっては大丈夫。なぜならば……」「この条件を満たすことができれば大丈夫。なぜならば……」といったレベルで“検証”ができるかどうかだ。

そのためには、やはり情報を活用することが大事だ。piyokango氏は「何ができて、何ができないかをしっかり意識すべきだ。そのために情報を活用してほしいが、情報を集めることが目的になってはいけない。まず目的があり、そのためにどのような情報が必要か、どう情報を使うかについて気を付けてほしい」と述べる。

 さらにpiyokango氏は、情報の捉え方について数字を例に注意を促す。国際的なスポーツ大会でいえばサイバー攻撃が行われた回数、「4億5000万回」という数字が報告されているが、本来その数字の裏側には、それなりの背景がある。しかしそれが欠落し、数字だけが一人歩きする。「数字は客観性があるようで全くない。“分かった感”だけが残ってしまう弊害があることに注意が必要だ」(piyokango氏)

 これは現場と経営層との会話でも当てはまる。「サイバー攻撃の被害に遭う前に経営層がそのリスクを理解するには、説得力のあるデータとそのコンテクストの両方を持って話ができるかどうかが重要だ」と千田氏は述べる。現場は、経営層とのギャップを意識しつつ、数字とともにその背景と意味を正確に伝えられるようにする必要がある。一方の経営層は、現場から「うちは大丈夫です」と言われた際に「なぜそう言えるのか」を掘り下げて「自分ごと」として理解していくことが求められるだろう。

コミュニティーとしての防御の重要性

 今回のディスカッションでは、“いかに社会全体としてサイバー防御力を高めるか”、という点がベースにあったようだ。さまざまな議論の中で、コミュニティーを形成する企業や組織それぞれが、そして個人である私たち一人一人が少しずつ意識することで良くなる世界があるということに触れられていた。

 例えば千田氏は企業側が「正常なことが正常に見えるように保つ努力」をもう少し意識して対応することの重要性を指摘する。特定のサービスにログインし、画面が遷移すると突然別のドメインに飛ばされることを例に挙げる。

 「飛ばされた先が本当に問題ないものかどうかは、一般の人が確認するのは困難だ。『フィッシング詐欺に気を付けよう』といっても、こんな状況では不可能に近い」(千田氏)

 piyokango氏も「“ITリテラシー”を頼りにして『気を付けましょう』『注意しましょう』と言うのは簡単だが、攻撃者は“ITリテラシー”頼りの現状に目を付け、リンク付きSMSを送ってくる。これを『安全かどうか判断せよ』というのは無理があるだろう」と述べる。

 一方ポジティブな例としては、攻撃を受けた企業がここ10年ほどで良質なレポートを出すようになってきたことが挙げられた。piyokango氏は「レポートの中でしっかりとタイムラインを意識し、不正アクセスの原因を公開するようになったことは素晴らしい」と称賛する。また、業界ごとに共有グループ「ISAC(Information Sharing And Analysis Center)」があるが、「業界ごとのISACの垣根を越えた情報共有のための『ISACのISAC』のような組織も必要ではないか」と、今後のさらなる発展に期待を寄せる。

 千田氏も情報共有の重要性に同意した上で、米国内で企業の許可を得て発信者を“匿名化”し、企業間での情報共有を促すマンディアントの活動を紹介した。「1ベンダーに依存することは良くないが、セキュリティベンダーが『信頼のフィルター』となり、共有されるべき情報をうまく共有する役割を担えると考えている」と述べ、マンディアントのモットーといえるケビン・マンディアCEOの言葉「セキュア・ザ・ワールド」を紹介した。攻撃が高度化し、あらゆるものがデジタル化されてつながる今日。実際、1社で世界を守ることは難しい。この言葉には、マンディアントがpiyokango氏をはじめとするリサーチャーや他の多くのセキュリティベンダー、パートナーおよび顧客組織と一体となって脅威に対抗し、コミュニティーを守ろうとする意思が込められている。

 攻撃の最前線に立つ2人の視点からは、情報を「自分ごと」と捉え、それを価値あるものに変えるための意識の持ち方の重要性が見えた。そして、当事者意識を持つことのその先には、他者(社)あるいはコミュニティーへの貢献があるのかもしれない。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:マンディアント株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2022年1月30日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。