WannaCry騒動、Struts 2脆弱性、リオ五輪、そのとき「彼ら」は何をしていたのか：「セキュリティリサーチャー」って何をする人？（2/2 ページ）

サイバーセキュリティの重要性が増すにつれ、ネット上ではさまざまな脅威や脆弱性の情報があふれんばかりに増え続けている。そんな情報過多な状況から、有用な情報だけを選別し、正しく共有していくこともまた必要だ。WannaCry騒ぎ、Apache Struts 2脆弱性……そのとき「彼ら」は何をしていたのか。

[高橋睦美，＠IT]

「一次情報」とメディアで報道される「それ以外の情報の違い」に注意すべきだ

　サイバーセキュリティに関する報道の中には「騒ぎ過ぎ」だったり、第一報のみでアップデートがないこともある。セッションでは、リサーチャーとしての仕事を進める中でのポイントも紹介された。

　「一次情報と、メディアで報道されるそれ以外の情報の違いに注意すべきだ。同時に、それだけをうのみにせず、断定的に捉えないことも大事。分からないものは分からないものとして扱うべきだ」（辻氏）、「情報を見続けていると、初報からアップデートされることは結構ある。そうした変化を正しく認識することも必要」（piyokango氏）。

　リオオリンピック時のサイバー攻撃に関する報道を例に挙げよう。piyokango氏は「スポーツイベントはインシデントが起きやすいと予見できる。だから、その1年前の夏ごろに思い立って関連ツイートを眺めるようにした。どうしてもイベントだけに目が行きがちだけれど、継続的に見ていくと、カーニバルのタイミングで盛り上がったり、攻撃に参加するメンバーが変わっていたりと、いろいろと変化がある。また、現地の報道と日本の報道を見比べると、解釈が丸められていた場合もあった。中には、現地でしか流れていない情報もあった」と振り返る。なおサイバー攻撃は、開会式の時こそ盛り上がったが「思った成果が出なかったためか、翌日には盛り上がりに欠け、落ち着いた感じになった」そうだ。

　では、セキュリティリサーチャーは「得られた分析結果を発信する」ときにどんなことに気を付けているのか。例えば根岸氏は発信前段階で、IoTボットネット「Mirai」によるDDoS攻撃やハッキンググループ「The Shadow Brokers」がリークした幾つかの脆弱性についての“影響範囲”の調査を済ませ、「今後の状況によっては注意が必要になるかもしれない」と注意喚起を行っていた。なおThe Shadow Brokersはその後、ランサムウェア「WannaCry」に悪用された脆弱性を悪用するツールも公表している。

　顧客向けはもちろん、社内向け、コミュニティー向け、そして幅広い外部向けと、出し方を考慮しながら情報提供を行う立場の根岸氏だが、「情報を出しっぱなしにするのではなく、受け取る側がどう共有し、判断し、行動するかについてのフィードバックを受けていきたい」と述べている。

　セキュリティインシデントの増加を背景に、この10年あまり「情報共有が重要だ」と言われ続けながらも、クローズドな場を除けば、それはなかなか進んでいない印象もある。こうしたセキュリティリサーチャーの日々のタスクを参考にすることは、脅威に関する情報を早期かつ的確に収集し、判断し、活用していく際のヒントになるのではないだろうか。