ヤフーに学ぶ「完全防御」から「致命傷にならない守り方」への転換：Yahoo! JAPANに学ぶサイバー護身術のツボ

Yahoo! JAPANはいかにして「守り方」を変えたのか、テクノロジだけでサイバー攻撃は防げるのか――「HP Technology At Work 2015」セキュリティ分科会における、パネルディスカッションをリポートしよう。

» 2015年03月23日 10時00分公開

[＠IT/PR]

　2015年2月18日、ザ・プリンスパークタワー東京において日本ヒューレット・パッカード主催の総合展「HP Technology At Work 2015」が開催された。最新のソリューションや事例だけでなく、ビッグデータ分析や最新技術を紹介する分科会で盛り上がる中、セキュリティ分科会ではYahoo! JAPANでのサイバー攻撃事例を基に、「狙われる企業を守るには」をテーマにしたパネルディスカッションが開催された。注目のセッションの様子をリポートしよう。

犯罪者から見たヤフーは“宝の山”――情報価値を再認識させた事件の裏側は

ヤフー社長室リスクマネジメント室プリンシパル高元伸氏

　パネルディスカッションは、ヤフー社長室リスクマネジメント室プリンシパルの高元伸氏と、ヒューレット・パッカード・カンパニー HPセキュリティリサーチのチップ・ウィット氏が登壇し、著名で狙われる企業がどのようにサイバー攻撃から身を守っているのか、そしてHPが考える攻撃のスタイル分析、そして防御手法の解説を交えて行われた。

　始めに、聞き手であるモデレーターの高橋睦美氏により、2013年に発生したYahoo! JAPANの情報流出事故における経緯と対策がどのように行われたのかという、聴講者が最も聞きたい核心部分からディスカッションがスタートした。高氏によると、2013年4月、5月に立て続けに発生してしまったインシデントは「典型的な標的型攻撃」だったという。

　2013年4月に発生した最初の不正アクセスでは、その後の調査において内部の管理サーバーが乗っ取られ、そこを拠点としてマルウェアが行動を開始したことが明らかになっている。「運用管理者権限のあるアカウントが奪われ、さらに奥に入り込もうとしたところで検知した。この時点で止めることができたので、作業のファイルは作られたものの、外部に持ち出せていないことが確認できた。しかし5月にはIDだけでなく、不可逆暗号化されたパスワードを100万件以上取り出されてしまった可能性が高いことを確認し、発表を行った」（高氏）。

　その後、問題がある部分にはすぐに対策が行われたという。「その後2013年10月にもゼロデイ攻撃があった。このときは幸いにしてユーザーへの影響がないエリア内で止めることができた。対策を行ったことで、4、5月のインシデントよりもさらに浅いところで止められた」（高氏）。これら3回におよぶ攻撃に対して、高氏は「同一犯で、おそらく複数名からなるグループと思われる。技術力はとても高い。この件で、自分たちが持っている情報の価値を再度自覚し、対策を続けている」と述べる。

　ところで、その「対策」はどのように行われたのだろうか。高氏によると、オフィスネットワークからのサーバーアクセスは、一定レベルの安全性が保たれていると過信してしまっていたという。これを改め、二要素認証の導入や物理トークンなどを利用することで、「ネットワーク経由だけでは権限を取られないようにした」（高氏）という。また、作業そのものの正当性を吟味し、権限の精査と監視の強化を行い、さらにオフィスネットワークが「破られた」ことを前提とした対策有効性の検証を行ったとのことだ。

　このYahoo! JAPANの取り組みについて、ウィット氏は大きくうなずく。典型的な標的型攻撃では、ゼロデイ脆弱性が使われることが多く、検知、対策のためにはパターンマッチングではなく、マルウェアの解析に頼らざるを得ないとウィット氏は指摘する。「内部に専門家がいないと、攻撃の解析が行えない。その場合、研修を行い内部に専門家を育てるか、外部から登用する必要がある。HPのアナリストは外部の専門家として強力な手段になり得るだろう」（ウィット氏）

　Yahoo! JAPANのサービスの特性についてウィット氏は「犯罪者から見ると、Yahoo! JAPANのユーザーID、パスワードのセットはおいしい情報で、いわば“宝の山”。標的型攻撃はグローバルなものであるため、海外から見てもこのセットは標的になりやすいだろう。目的を絞った攻撃は対処することは難しい」と述べる。

運用者やアナリストの「勘」や「気付き」も重要

ヒューレット・パッカード・カンパニー HPセキュリティリサーチチップ・ウィット氏

　残念ながら、いまのところセキュリティ対策に「終わり」はない。ここまで対策を講じたYahoo! JAPANは、対策をし続けることをどう考えているのだろうか。

　高氏は2013年に対策を行ったことで、その後ある程度の効果があったと認識はしている。これはあくまで「目立った攻撃が、その後検知されなかった」と認識する。ある程度は脅威を押さえつけられたとみているが、これで完全になくなったとは考えていない。

　「ある程度の期間を空けて攻撃を再開したのは、おそらく高度な攻撃をするための“準備期間”だったとも考えている。いまもその準備期間であるため、2014年は乗り切れたというだけかもしれない」（高氏）。

　攻撃者が手法を変えてきたとき、それを技術で早期発見できるのだろうか。ウィット氏は「技術だけでは問題解決にならない」と述べる。そこで注目されるのは「人間的な要素」だという。

　「事例を紹介すると、ある大企業のオペレーターが、アンチウイルスソフトが再起動を繰り返すという、普段とは異なる挙動を示したことを発見した。さほど大きな問題ではなかったが、これを異常と見なしHPリサーチのメンバーなどが調査を行った。その結果、実際に標的型攻撃のマルウェアが仕込まれていたことを見つけることができた。これは、『何か異常を感じたら報告するように』という、人への教育が生きた事例だ」（ウィット氏）。

　この事例には高氏も「テクノロジとソリューションはあくまで手法の一つでしかない。重要なのは攻撃者側もインテリジェンスを持っているということ。2013年4月に発生した事象を発見できた理由は、実はセキュリティアラートではなく、運用管理者が見つけた通常はあり得ないプロセスや負荷の変化だった。人の機転や勘、運といったものも重要」とした。

攻撃を前提とし、ダメージコントロールができる企業に

モデレーター高橋睦美氏

　高氏はさらに、「ダメージコントロール」についても指摘する。ダメージコントロールこそ人による柔軟な対応が必要なものであり、機械的なアクションができないためだ。「迅速な連絡と、適切なエスカレーションとリソースの投入は、影響を最小化するための重要な要素であると考えている」（高氏）。

　ウィット氏も「何かがあったときに情報共有をすべしという考え方が重要だ。ここにはもちろん、情報共有への“恐れ”というものもあるだろう。攻撃者側も速いスピードで情報を共有している。こちら側も企業の壁を超えた情報共有が必要だ」と述べる。

　しかし、特に日本においては、セキュリティ関連の情報を外部に出したくない、なるべく手の内は明かしたくないという心理が働き、情報共有には大きな壁が立ちはだかっている。高氏も「今回、他の企業に対しても、類似の攻撃が行われている可能性もある。その攻撃のパターンなどを共有できればとは思うが、実際には調整が難しい」と述べる。

　この点に関してウィット氏は「攻撃者の性質やタイプ、どのようなコンテキスト(文脈）で攻撃が行われているのか、広い視野で見なくてはならない。その点においては、社外のインテリジェンスを使うことも有効だ。そういったフレキシビリティが得られると、対処の仕方も変わるだろう」と指摘する。それには、まず経営者の理解が必要だろう。

経営者の理解、投資効果と「セキュリティ」

　セキュリティにおいて「経営者の理解」も終わることのない課題だ。投資とその効果のバランス論は、再度取り上げるまでもないだろう。何か大きな事件が起きる度に一気に投資が行われ、しばらくすると“飽きられる”。その繰り返しをわれわれは体験してきた。

　この点についてウィット氏は「経営者にセキュリティの価値を伝えるのは難しい。そのため、脅威マトリックスを作り、有効なセキュリティ策を見せ、『これだけの投資を行えば、ここまで守れますよ』というのをデータで説明しなくてはならない」と述べる。

　高氏もこれに同意しつつ「攻撃の変化に合わせて、柔軟に対応できるやり方に変えていく。そして特定の攻撃を防ぐことだけにこだわるのではなく、攻撃は“起きる”前提でダメージコントロールも考えるべき。攻撃を受けても致命傷にならないことが重要で、複数の対策への投資を、バランス感覚を持って行うことがこれから必要になる」とした。

　攻撃者も「費用対効果」を重視して動いている。攻撃者がかける「労力」と、企業が持っている「情報」をてんびんにかけ、その労力に見合わない防御手法を持っていれば、情報は守れるはずなのだ。

セキュリティ疲れのないセキュリティのために

　最後に、高橋氏から「リスクマネジメントにどう立ち向かうべきか」という問いが投げ掛けられた。これに対し高氏は「自然体」。ウィット氏は「誠実さ」とそれぞれ答える。

　「一つ一つの対策に凝り過ぎると、視野が狭くなる。重要なのは、お客さまに対する影響を最小にし、かつ企業を守るという視点。特定のソリューションを完璧にすることにはこだわらない。起きたことは経験になり、改善のチャンスにもなる。最善を尽くすことが重要だ」（高氏）。

　「キーワードは透明性です。侵入を許し、情報漏えいが発生したら、流出したという事実がSNSなどさまざまな方法ですぐ知れ渡る。これを無理に隠ぺいしようとすると、好ましくない形で広まることになる。インシデントが発生した時、内部のプロセスは重要。脅威を緩和するための施策を講じることができているか？という問いに、企業は答えられなければならない」（ウィット氏）。

　セキュリティ、特に標的型攻撃から逃れることは難しい。それは誰もが分かっていることだ。社内、社外のインテリジェンスを使い、“自然体”で、適切な対応を“誠実”に取り組むこと――それが、サイバー護身術の“ツボ”なのかもしれない。

　日本ヒューレット・パッカードはその「インテリジェンス」を常に追究している。サイバー攻撃の現状を知り、問題を解決するサイバー護身術に必要なインテリジェンスとして、セキュリティオペレーションセンター（SOC）に必要な人材、プロセス、テクノロジーを見極めるホワイトペーパーを用意した。

　簡単なアンケートに答えることで、日本ヒューレット・パッカードが提供するホワイトペーパー「セキュリティオペレーションの現状」、そしてIoTのいまを紹介する「モノのインターネット (IoT) リサーチスタディ」をダウンロードできる。こちらもぜひ、活用していただきたい。