名和氏が語る、サイバー攻撃激化プロセスを加速させているのは誰か？　その要因は？：ITmedia Security Week 2022 秋

2022年9月に開催された「ITmedia Security Week 2022 秋」において、Day3の基調講演として、「IT環境をゼロトラスト・アーキテクチャーに移行せざるを得ない深刻なサイバー脅威を受け入れてしまうサイバー環境の変化について」と題するセッションが開催された。サイバー攻撃の現状を紹介するとともに、“高度かつ巧妙”と表現されることの多いサイバー犯罪者の攻撃プロセスの激化がなぜ行われてしまうのかを語るセッションとなった。サイバーディフェンス研究所専務理事上級分析官の名和利男氏は、攻撃者の行動の源泉となってしまう、企業のとある部署をズバリと述べる――。意外にも、それは経営層ではない？

» 2022年10月19日 05時00分公開

[宮田健，＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

名和氏の試行錯誤の末、厳選された「10枚のスライド」

サイバーディフェンス研究所専務理事上級分析官名和利男氏

　いま、サイバー攻撃は高度かつ巧妙化している――。その言葉は聞いたことがあっても、それを「完全に理解した」とまでは言えない方も多いだろう。また、理解していたとしてもコストをかけられない、人員がいない、訓練できないなどの理由で動きが止まっていることも考えられる。しかし、その間、サイバー攻撃者は歩みを止めてはくれない。

　名和氏はこれまで、主に経営層に向け、サイバー攻撃の現状を多数の講演で解説してきた。回を重ねるたびに文字数は減り、図は増え、片仮名が減っていったという。名和氏は講演冒頭で、その経験の中で「厳選された10の項目をピックアップする」と述べる。これらはITに強い人だけではなく、ネットにつながる全ての人に理解を求めるためのものであり、成功した例え話や事例を含めたものだ。本稿では、その10のスライドを中心にレポートする。

1．正規の更新機能を利用するマルウェア

　ITユーザーに最低限理解してほしいサイバー攻撃の仕組みとして名和氏が最初に紹介するのは、「正規の更新機能を利用するマルウェア感染」だ。各種アップデートの仕組みを攻撃することで、これまでのメール、Web、デバイスではない新たな経路が作られている。

図1　正規の更新機能を利用するマルウェア感染（名和氏の講演資料から引用）

　「しかし、そう説明しただけでは身に迫るようなものを感じてもらえない」と述べる名和氏は、これに加えて“相手に響く、身に迫るような最近の事例”を紹介する。

　この事例においては2019年、台湾ASUSが提供する自動更新システムが乗っ取られたこと、そして2022年2月にはウクライナをカバーする衛星通信システム「Viasat」において、地上のシステムが乗っ取られた事例を紹介した。特に後者においてはかなりの数の地上局モデムが機能を破壊され、本攻撃の仕組みが攻撃者にとって有効だと示している。これは米国の企業におけるインシデントではあるものの、フランスの企業からサービス事業を譲受したもので、さらには同サービスの保守はイタリアの子会社が行っていたという。その子会社のVPN設定ミスが、本インシデントのきっかけだった。

　「ソフトウェアの説明をしてはいけない。5W1HにおけるWhatではなく“Who”、いったい誰がやったのか、どうなったのかを背景説明すると、ビジネスリスクとして想像してもらいやすい」（名和氏）

2．正規（有名）サービスを踏み台にするC2攻撃

図2　正規（有名）サービスを踏み台にするC2攻撃（名和氏の講演資料から引用）

　続いて名和氏は、新たなC2（Command＆Control）攻撃を紹介する。「C2」というと、ITに詳しくない人が拒否反応を示すので、名和氏はこれを「親分／子分の関係」と表した。攻撃は、子分を大量に感染させ、親分の指示を待たせる仕組みをとる。一般にC2サーバを攻撃者自身が用意している。日本ではかつて総務省と経産省が連携し「サイバークリーンセンター」を設置。C2サーバを無効化する取り組みが諸外国でも評価され、海外でも同様に進展してきた歴史がある。

　これを踏まえ攻撃者は、C2サーバを有名な正規サービス上に、時間差で次々と用意する手法に変化させつつある。この手法が増えているので、これまでの策が通用しなくなっているのが現状だ。

3．スクリプト実行環境を利用した正規プログラムによる挙動

図3　スクリプト実行環境を利用した正規プログラムによる挙動（名和氏の講演資料から引用）

　次は「スクリプト実行環境を利用した正規プログラムによる挙動」だ。これはいわゆる「ファイルレスマルウェア」と表現されるものだが、名和氏はこの片仮名言葉を使わず、次のように表現した。

　「これまでの泥棒だと、拳銃やナイフを持ち込もうとするタイミングで警備員に職務質問されたり、防犯カメラに見つかったりして捕まっていた。しかし、いまは手ぶらで、普通の格好でやって来て、建物の中にある包丁や堅いものを使って犯行に及ぶ。それに近いことがサイバー攻撃で行われている」（名和氏）

　名和氏は、2014年に『Wall Street Journal』紙が報じた、当時Symantec 上級副社長Brian Dye氏の「ウイルス対策ソフトは死んだ」発言を引用しつつ、排除から検知への移行が求められていること、常識が変わったことを説明すると、「経営層にも理解されるようになってきた」と話す。

4．正規（有名）サービスの同期機能を利用するC2通信

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

サイバー脅威の机上演習（TTX）によってどんな学びを得られるのか――サイバーディフェンス研究所
＠ITは、2018年2月7日、東京で「＠ITセキュリティセミナー」を開催した。本稿では、サイバーディフェンス研究所による基調講演「サイバー演習支援で見出されたこと（Findings）と得られた教訓（Lessons Learned）」の内容をお伝えする。
AIで複雑化するサイバー攻撃、対抗できるのもまたAIか、それとも人か
ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の＠ITセキュリティセミナー。複雑化するサイバー攻撃の現状、AI（人工知能）／機械学習、自動化、データ、人や組織体制に関するセッションを中心にレポートする。
「日本型組織」はなぜサイバー攻撃に弱いのか
本稿では、＠IT編集部が2017年2月7日に東京で開催した「＠ITセキュリティセミナー」レポートをお届けする。