WannaCryや脆弱性とどう戦う？piyologの中の人に聞く、知っておきたいセキュリティ重大事件

──まず、世間を騒がせているランサムウェアから始めたいと思います。データを勝手に暗号化し、復号するために「身代金」を要求するのがランサムウェアの仕様のひとつです。piyokangoさんはランサムウェアをどう見ていますか？

piyokangoさん（以下、piyo）　2017年は、ランサムウェア「WannaCry」が日本では注目を集め、ランサムウェア＝WannaCryのような認識をお持ちの方もいるかもしれません。

世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた - piyolog

ランサムウェアは、PCなどが感染してしまうと家族の写真や業務関連の書類など、保存されたデータが暗号化されてしまうといった被害を受けます。重要なデータが目の前で使えなくなる。そんな事態を目の当たりにしてしまうと頭が真っ白になってしまうかもしれません。

実は組織を狙ったランサムウェアもあるのですが、こういった事例を見ていて、技術的な対策だけにとどまらず、「もし自分がそのような脅迫を受けたらどう考え、どう行動するか？」をあらかじめ想定し、対応を考えておくことが重要だと感じます。 また、身代金を要求するような「脅迫」を行うサイバー攻撃は、ランサムウェアだけではありません。

──ランサムウェアだけに気を付けるだけではいけないんですね。実際に、どのような脅迫があるのでしょうか。

piyo　世界では既にそのような事例がありますが……、実は日本でも最近、地方銀行やFX事業者などの金融機関でDoS攻撃によるものと思われるシステム障害が発生していました。

──DoS攻撃であれば、これまでもよく使われていた手法かと思いますが……。

piyo　そうですね。DoS攻撃*1というと、大量の通信を発生させてサービスを止めることが目的です。

最近使われるのは、まず標的に対してDoS攻撃の「予告」を行う手法です。このとき、自分が攻撃ができることを示すためなのか、わずかな時間だけですが、DoS攻撃が行われることもあります。そして、標的に対して「DoS攻撃をやめてほしければ、金を払え」と脅迫するのです。 先ほどお話しした通り、複数の地方銀行で脅迫があったと2017年6月には報じられています。その後、今度は9月にFX業者や仮想通貨取引所に対し、次々とメールによる脅迫とDoS攻撃が行われたことが明らかになりました。

仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた - piyolog

──この事件に注目すべき理由はなんですか。

piyo　大手のサービスでは正常なアクセス自体も多くて、DoS攻撃の種類にもよりますが攻撃を受けた側がはっきりと「この障害は攻撃だ」と言い切ることが難しい場合があります。

しかし、今回のケースでは「脅迫」メールが届いていたこともあったと思いますが、DoS攻撃を受けたと発表する組織を複数事例確認できました。さらにそれが特定の業種に集中していたために、なんらかの関連性があるのではないかと見られました。これが今回の攻撃の特徴、傾向のように思います。

障害発生時、TwitterでそのFXサイトのユーザーと思しき人の反応を見てみると、「ログインできない！」などの投稿が朝の時間帯に多く、実際に障害が報告された時間帯も午前中の発生が目立っていました。FX取引自体には詳しくありませんが、攻撃者は取引の傾向などからどのタイミングで使えなくなるのがそのサービスを利用しているユーザーにとって一番痛手なのかを把握しているのかもしれません。

一部サービスではFX事業者のバックエンドの取引サービスを提供しているシステム会社が狙われたとみられるケースも確認されています。報道によれば脅迫はそのシステム会社が受けていたらしいのです。その点からも事業者の背景などに関する知識を持つ人間による攻撃なのかもしれないと思いますね。

──脅迫文には、海外で活動するハッカーグループの名前があったと聞きました。

piyo　ソフトウェアの脆弱性と対策などセキュリティに関連する情報を発信、調整している組織「JPCERT/CC」が、が、9月19日ごろより「Phantom Squad」を名乗る送信元から脅迫メールが国内の複数の組織へ届いているといった注意喚起を行いました。本文まで読めば分かりますが、今回確認されている攻撃との関連性は不明だと書かれています。

タイミングが悪かったなと思っているのは、その注意喚起が出される前の、9月14日ごろから先ほどのFX事業者などへの攻撃が発生していたということです。そしてこの脅迫メールには「Armada Collective」という別のハッカーグループの名前が出ていて、Twitterの反応などをみていると混乱をされている方もいたようです。とはいえ、メールで示されたグループ名だけから実際に受けた攻撃との関連性を判断するのは難しいと思います。

──そもそも、こういった脅迫行為への対策は可能なのでしょうか。

piyo　DoS攻撃は一定期間継続して行われます。乱暴に言ってしまえば大抵は「いつかは終わる」攻撃ともいえます。事業を継続するうえで、この「いつか終わるまで」の期間を我慢できるか否かにより、対策の必要性も変わると思います。

しかし、韓国のホスティング事業者である「NAYANA」に対する脅迫事件では、ランサムウェアを使った攻撃にさらされ、顧客のデータまでもが暗号化されてしまいました。企業自身への被害だけでなく、その企業のサービスを利用する顧客にまで影響が及んだため、結果的にNAYANAは身代金を払うことを選択しています。

その点では、対策はやはり「前もって考える」ことだといえるでしょう。繰り返しますが、こういう事件に自分が立ち会ったしまった場合、その時点で思考停止に陥ってしまいがちです。特に脅迫事件は身代金を払うべきか、払わざるべきかという判断も出てきますが、事件に遭遇し、そこで初めてどうするか考えるようではその分対応が遅れてしまいかねません。

最近ではこのような「事例」が、報道だけでなく当事者からも詳細に発表されることがあります。これは大変貴重な情報です。ぜひ皆さんにも「この事件と同じ攻撃を受けたら、自分たちはどう考えどう行動するか？」を、貴重な情報を元に前もって準備しておくことをおすすめしたいです。

攻撃を受けてからでは遅い
前もって“準備”せよ

WannaCry騒動に学ぶ、正しい危機認識とは

──最近、ITに関するセキュリティに注目が集まっていて、専門家だけでなく多くの人が感心を寄せるようになったような気がします。この点に関して、どのようにお考えですか。

piyo　特に2017年5月の「WannaCry」では顕著でしたね。最初は英国での感染が12日の金曜夜に報道され、日本でも13日の土曜日にニュースになりました。日曜日にも報道が相次ぎ、これは週明けの月曜日以降も続きました。

世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた - piyolog

──WannaCryは特殊なものだったのでしょうか。

piyo　WannaCryの事例は、組織として学べる点が多かったと思います。特にこの事例で興味深い点は、その感染手法です。

多くの報道で、何もクリックせずともWannaCryに感染してしまうといった解説がされたと記憶しています。WannaCryに限らずウイルスなどと呼ばれる不正なプログラムはプログラムやOSの欠陥でもある「脆弱性」を突いて攻撃、感染を行うことがあります。WannaCryも脆弱性が突かれていますが、実はこの脆弱性に対する修正プログラムは騒動から2か月前の2017年3月に公開されていました。公開されてすぐに修正プログラムが適用されていれば、WannaCryはここまで話題にならなかったでしょう。

──WannaCryは報道でも大きく取り上げられ、その危険性がアピールされていました。

piyo　このWannaCryを話題性の側面から見てみると、当初の感染経路が明らかになっておらず、報道される情報を見ていると「とにかく危険だ！」という印象だけが先行していたように思います。一方でセキュリティ研究者らが感染手段と経路を調べ始め、Windowsの脆弱性を利用していることが明らかになっていったのです。このような情報を追いかけていれば、必要以上に怖がることもなく対処することも可能だったのではないかと思います。

WannaCry騒動はセキュリティの専門家でなくても、世間話として語られ、関心を呼んだ事例であり、真偽不明の様々な情報が流れました。しかし話題が過熱しすぎていたとしても、感染する原因がはっきりすれば的確な対策が打てます。

2017年10月上旬頃から話題になりだした、WPA2の脆弱性に関するまとめも、素早くリリースされた。

──煽られないための知識として、まず何を押さえておくべきでしょうか。

piyo　サイバー攻撃は様々な方法を駆使して行われます。しかし、そこには今お話ししたような「原因」が必ずあり、それを発端として影響が出てくるわけです。

報道だけを見て単に「危ない」と考えてしまうと実態が見えなくなることもあります。今そこにある危機を過大・過小に評価せず、「正しく怖がる」べきです。そのためには、原因を意識することから始めましょう。

「piyolog」運営で学んだ正確な情報把握術

──正しく怖がるためには、情報取得が不可欠に思えます。piyokangoさんはセキュリティインシデントの情報をまとめ続けていますが、どのようにして精度の高い情報を取得しているのでしょうか。

piyo　piyologで取り上げている情報（セキュリティに関連する事件や事故）の多くは二次情報です。その二次情報が正しいかどうかを判断する場面がありますが、1つの手段として時系列で見ていく方法を使っています。

時系列で情報を整理していくと、今見ている情報に矛盾があるかどうか分かることがあります。もし続報が明らかになったときも、これまで取得した内容と矛盾がないかどうかを調べることもできます。実はこれはセキュリティの事件に限らず、様々なシーンに応用できると思います。

最近は不正アクセスの被害を受けた企業が出すレポートも、時系列が軸になり分かりやすくなってきています。JTBの不正アクセス事件でも記者向けに出たと思われる資料がそうでしたね。誰がいつ、何をしたという情報が整理されていて、事実を見誤ることもなく一目瞭然です。

JTBへの不正アクセスについてまとめてみた - piyolog

──なるほど。日本年金機構の情報漏えいに関するレポートも詳細でしたね。

piyo　情報を整理、分析していく立場からも、このような書き方のレポートが増えてくれるのはありがたいですし、このような貴重な情報を発表いただける取り組みは広がって欲しいと思っています。報告に限ったものではありませんが、素晴らしい対応をした組織を表彰しようという試みを、同じようにセキュリティに関わる方と行っているところでもあります。

各社が発表した事故対応の内容を見ていると、機転を効かせて対応したところも確かにあります。しかし、事件に対応している最中は、じっくりと考えることすら難しいと思います。アワードの候補となっていた組織は、事前の準備がしっかりしていたところが多かったと思います。

──様々な報道がある中、piyologでは非常に淡々と事実を連ねているように感じますが、piyologを更新する上で気を付けていることはありますでしょうか。

piyo　最近思うのは、発信する側もいろいろと気を付けないといけないということです。

piyologも、過去Yahoo! ニュースからリンクが貼られたことがありましたが、その流入数にびっくりしました。こういった拡散力を考えると、特に「タイトルの付け方」は気を付けないといけないと思いました。下手に煽ってしまうことがないよう、いい面と悪い面を判断しつつ、タイトルを微調整しています。とはいえ、本当に伝えたいことが正しく伝搬しているかは継続的に見ていくことも必要ですね。

脆弱性との正しい付き合い方

──ITセキュリティの最近の注目点は、“脆弱性”かと思います。いまでは一般向けの報道でもこの言葉が前面に出てくるようになりました。

piyo　2017年は気がつけば「脆弱性の年」でしたね。CMSのWordPressの脆弱性を突いて改ざんが行われた件も話題になりました。

──特に気になった事件はありましたでしょうか。

piyo　やはり、Apache Struts 2*2の脆弱性の影響は大きかったと思います。これは現在進行形でも攻撃と被害が報じられていて、例えば米国の三大信用調査会社のひとつ「Equifax」による情報漏えい*3もStruts 2の脆弱性が原因だったと発表されています。

このStruts 2に関しては、2017年3月に深刻な脆弱性が発見されて以降、日本国内のサービスも複数被害に遭っています。それ以降も脆弱性が定期的に発見されていることも興味深いです。

2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた - piyolog

──Struts 2の脆弱性は一体何が特殊だったのでしょうか。

piyo　まだまだ国内でも多くのサービスで使われていたということと、その深刻さが大きかったということかと思います。

Equifaxの事例もそうですが、修正プログラムが公開されてから実際のシステムに適用するまで、時間がかかってしまうことがあります。公開されたプログラムをテストし、適用するというステップを踏むことは必要ですが、システムが複雑化しているため、影響範囲が大きく、評価の時間が長くなることもあるのが現実です。

──そのような現実の中で、脆弱性は次々と発表されています。

piyo　今回のStruts 2の脆弱性はすぐに修正を当てないといけないレベルのものでしたが、脆弱性にも「即座に修正しなくても、リスクは低い」というものがあります。これは企業のシステムの作り方、運用により、ケースバイケースでリスクを評価する必要があります。全部すぐに適用しなければならないとしたら、毎回即時に評価が必要で、これではコストがかかるばかりで現実的ではありません。脆弱性が明らかになったときに、自社でそれが本当にリスクなのかを考え、低リスクであると判断したら四半期ごとにまとめて適用するなどという判断もできます。

例えばある組織ではStruts2の脆弱性が明らかになった直後に、サービスが緊急メンテナンスにより停止しました。その原因は直接発表されていなかったと記憶していますが、過去の情報漏えいの事例からその時にどう対応するか、行動をあらかじめ決めていたのではないかと、私は推測しています。

脆弱性が明らかになったときにそれをどう判断するか、そして緊急度が高かった場合、どのように行動すべきかをあらかじめ決めておくことは大変重要です。本来であればサービスを止めずに対応することが望ましいですが、それで攻撃を受けてしまっては意味がありません。

独立行政法人情報処理推進機構もApache Struts 2の脆弱性情報を発信し続けている。

──脆弱性がもたらすリスクの大小を、どのように判断すればいいのでしょうか。

piyo　その判断は本当に難しく、誰でもできる方法があれば私も知りたいくらいですね（笑）。正確に判断していくためには、対象となるシステム、技術に関する専門知識がないと難しい場面が出てくると思います。

では私の場合はといいますと、脆弱性が明らかになったら、その脆弱性を本当に「試す（攻撃する）ことができるか」をひとつの材料にしています。多くの場合、脆弱性が明らかになっても、そこを突く具体的な攻撃手法は伏せられています。影響を受けるかどうかを確認するために、PoC（概念実証コード）と呼ばれる検証用の情報が明らかにされることもありますのでこういった情報に注目します。他にも修正プログラムの修正のされ方から攻撃手法を見いだすことができるものはリスクが高い、というわけです。

──脆弱性を判断し、実際に攻撃コードが明らかになっているような「緊急性のあるもの」はすぐに対応する必要があるということですね。

piyo　もう1つ注意してほしいのは、「継続」するということです。

2014年9月に「Shellshock」と名付けられたbashの脆弱性が話題になりました。研究者らは「本当にこれ以外に攻撃手法はないだろうか」「本当にこれで修正できているのだろうか」と調査します。こうした調査の結果、bashはその後も追加で他の脆弱性が確認されました。

Shellshockの影響が及ぶケースをまとめてみた - piyolog

根本対策を打ったら一息つくことはできます。しかし、注目を集めた脆弱性は、その後の動向も積極的に追いかけることをお勧めしたいです。何か大きな事件がおきたら、大きな何かの「その後」こそが大事です。

セキュリティ情報を追いかける意味

──piyologには多岐にわたる情報がリンクされており、本当にありがたいです。気になるのは、piyokangoさんがどのようにしてここまでの情報を集めているかということです。

piyo　セキュリティに詳しい方のTwitterアカウントのウォッチや、Googleアラートを使って事件、事故の発生をチェックするためのキーワードを設定し、そこから得られるものが今は主な情報源です。経験上、初報はTwitterが早いですね。それが盛り上がると、ネット系メディアで記事になる。こうした流れをウォッチしています。

──特定のアカウントを見ていることはないんですか。

piyo　Twitterで見ている情報の大半はリストか特定ワードの検索結果ですね。 ただ、セキュリティに直接の関係はないですが、サイバー攻撃は現実の世界、例えば株や業績、プレスリリース情報が関係することもあるので、それに関連するアカウントもウォッチしています。例えば「岡三マン（@okasanman）」さんや、ゲヒルンさんの運営する特務機関NERV（@un_nerv）関連アカウントを見ていますよ。過去の情報漏えいに関する緊急記者会見の情報などを素早く発信していたと記憶しています。

とはいえ、情報源に関しては、「この人を見よう、あの人を見るべき」とやっていくと、どんどん視野が狭くなると考えています。なので、意識的に情報源を「拡げる」努力をしています。1つの事象も複数の視点で見ると、また別の見え方があると思っているので、「セキュリティに特化したアカウント」「セキュリティに特化したWebサイト」だけではなく、広く目を通したいと思っています。

海外の事例ですが、あるスポーツの国際大会で参加国の国旗を逆さまにパンフレットに掲載してしまったことがありました。当初そのニュースを見ていたときには「そういうこともあるんだ」くらいで受けとめていましたが、後日活動家とみられる人たちにより、報復のために開催国の複数のWebサイトが改ざんされた事件が起きました。

「Webサイトの改ざん発生」というニュースだけを見ていると因果関係がわかりづらい事例も、あらかじめ「国旗の掲揚ミス」という情報を知っていると、背景からすんなりと把握しやすくなります。事の発端となるツイートや情報が削除されていることもありますから、後追いで事の背景を調べようとすると、苦労することもあります。素早く情報を取得するのが大事ですね。

piyokango氏のTwitterのタイムラインには、直接セキュリティに関連しない情報も並ぶ。

──その中でも、お勧めする手法はありますでしょうか。

piyo　最近は「新聞を読む」ことを日課にしています。一般紙には自分が直接興味を持っていない情報を含め、まんべんなく、俯瞰的に様々な分野の情報が載っています。インターネットにも同じ記事が掲載されているかもしれませんが、自分の関心ある記事ばかり読んでしまいがちですよね。

新聞のもう1つの利点は、世間から自分が得意とする分野がどう見られているかが分かることです。インターネット上で見る記事ですと、トピックが綺麗に整理され文字の大きさも一緒で、どれも同じに並んでいるように見え、自分が興味を持った記事が他の人からも注目されているように見えるかもしれません。しかし新聞では、セキュリティの話の多くは社会面の小見出し程度だったりするわけです。世間の関心を、客観的に見るツールとしても便利ですよ。

テレビも同様ですね。例えばNHKで夜7時から流れるニュース番組は、約30分の間に今日の出来事がぎゅっと圧縮され、放送されているわけです。もしここでセキュリティの話題が取り上げられたとしたら、これは世間でも話題になるかもしれないと判断できます。

話題性だけで判断するのは危険ですが、話題性があれば、そこで起こりうるリスクは経営層にも伝わる可能性が出てきます。すると、現場のエンジニアに「〇〇のリスク対策はできているのか？」と降りてくる可能性も高まります。現場にいるエンジニアは、情報をウォッチしておけば、先手を打って対応ができることもあると思います。

新聞、テレビなどの大手メディアで、セキュリティの話題は「ニュースがあまりない」ときに、埋め合わせに使われることもあります。連休明けや、今ですと選挙でしょうか、「世間の関心の一大事」が一段落したときにやってくることが多いなという印象です。

──組織においても、事前準備が大事なのですね。

piyo　もちろんです。例えばサービスを止める、という判断をした際、そのメンテナンス情報を自社のSNSやWebサイトで伝えなければならないでしょう。ところがSNSのアカウントは広報担当の管理だったりします。広報担当がシステム担当と密に連携ができていなければ、有事にシステム担当が必死に対応していても、広報担当者にはそれが伝わらず、外部への情報展開が遅れてしまうことも想定されます。組織が機動的に動くには、各部署でおたがいが取り組みを事前に話してルール作っておくべきです。Twitterに関しては「誰に許可とればつぶやけるか」が事前に把握しているだけでも大きく違うでしょう。

準備が整っていればすぐに対処に入れます。万一の事件が起きたあとに動き方から考えていると、その考える時間がリードタイムになり、被害が拡大してしまう場合もあるのです。だからこそ「誰が判断すべきか」だけでも決めておけば、動きやすいはずです。マニュアルをきっちり起こせとまではいいませんが、“その時をイメージしておく”ことをぜひ考えてみてください。

──あれっ、これって教訓その1に似ていますね。

piyo　セキュリティにおいて最も大事なことなので！

取材・構成：宮田健（みやた・けん） dpost.jp