WannaCry騒動、Struts 2脆弱性、リオ五輪、そのとき「彼ら」は何をしていたのか:「セキュリティリサーチャー」って何をする人?(2/2 ページ)
サイバーセキュリティの重要性が増すにつれ、ネット上ではさまざまな脅威や脆弱性の情報があふれんばかりに増え続けている。そんな情報過多な状況から、有用な情報だけを選別し、正しく共有していくこともまた必要だ。WannaCry騒ぎ、Apache Struts 2脆弱性……そのとき「彼ら」は何をしていたのか。
「一次情報」とメディアで報道される「それ以外の情報の違い」に注意すべきだ
サイバーセキュリティに関する報道の中には「騒ぎ過ぎ」だったり、第一報のみでアップデートがないこともある。セッションでは、リサーチャーとしての仕事を進める中でのポイントも紹介された。
「一次情報と、メディアで報道されるそれ以外の情報の違いに注意すべきだ。同時に、それだけをうのみにせず、断定的に捉えないことも大事。分からないものは分からないものとして扱うべきだ」(辻氏)、「情報を見続けていると、初報からアップデートされることは結構ある。そうした変化を正しく認識することも必要」(piyokango氏)。
リオオリンピック時のサイバー攻撃に関する報道を例に挙げよう。piyokango氏は「スポーツイベントはインシデントが起きやすいと予見できる。だから、その1年前の夏ごろに思い立って関連ツイートを眺めるようにした。どうしてもイベントだけに目が行きがちだけれど、継続的に見ていくと、カーニバルのタイミングで盛り上がったり、攻撃に参加するメンバーが変わっていたりと、いろいろと変化がある。また、現地の報道と日本の報道を見比べると、解釈が丸められていた場合もあった。中には、現地でしか流れていない情報もあった」と振り返る。なおサイバー攻撃は、開会式の時こそ盛り上がったが「思った成果が出なかったためか、翌日には盛り上がりに欠け、落ち着いた感じになった」そうだ。
では、セキュリティリサーチャーは「得られた分析結果を発信する」ときにどんなことに気を付けているのか。例えば根岸氏は発信前段階で、IoTボットネット「Mirai」によるDDoS攻撃やハッキンググループ「The Shadow Brokers」がリークした幾つかの脆弱性についての“影響範囲”の調査を済ませ、「今後の状況によっては注意が必要になるかもしれない」と注意喚起を行っていた。なおThe Shadow Brokersはその後、ランサムウェア「WannaCry」に悪用された脆弱性を悪用するツールも公表している。
顧客向けはもちろん、社内向け、コミュニティー向け、そして幅広い外部向けと、出し方を考慮しながら情報提供を行う立場の根岸氏だが、「情報を出しっぱなしにするのではなく、受け取る側がどう共有し、判断し、行動するかについてのフィードバックを受けていきたい」と述べている。
セキュリティインシデントの増加を背景に、この10年あまり「情報共有が重要だ」と言われ続けながらも、クローズドな場を除けば、それはなかなか進んでいない印象もある。こうしたセキュリティリサーチャーの日々のタスクを参考にすることは、脅威に関する情報を早期かつ的確に収集し、判断し、活用していく際のヒントになるのではないだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- Apache Struts 2の脆弱性がヤバい、外部からサーバコマンドを実行
2017年3月、セキュリティクラスタが注目したのは簡単に外部からサーバコマンドを実行できる「Apache Struts 2」の脆弱性。Symantecの発行する電子証明書にも話題が集まりました。 - ランサムウェア「Wanna Cryptor」に対し、異例のセキュリティパッチをWindows XPに提供する意味
世界的に猛威を振るっているランサムウェア「Wanna Cryptor」に対し、マイクロソフトはサポートが既に終了しているWindows XP、Windows Server 2003、Windows 8(8.1ではない)向けに緊急のセキュリティ更新プログラムの提供を開始しました。 - 「Mirai」ソースコード徹底解剖−その仕組みと対策を探る
2016年9月以降に発生した複数の大規模なDDoS攻撃。本稿ではその攻撃に用いられたとされるマルウェア「Mirai」のソースコードを読み解き、対策法を紹介します。 - 情報処理安全確保支援士、3年維持で15万円の価値はあるの?
2016年のセキュリティクラスタは、IPAの新資格「情報処理安全確保支援士」の制度内容に猛烈な批判を加えるとともに、Twitterのダウンにヒヤヒヤ。一方で、数々のセキュリティイベントは目いっぱい楽しんでいたようでした。