EmEditorや「オバQの毛」に気付いたeBookJapanに見る、「有事」のあるべき姿勢とは:適切なインシデント対応と情報公開には、適切な評価を(2/2 ページ)
ログイン試行のログと付き合わせ、リスト型攻撃の実態を明らかにしたイーブック
最優秀賞を受賞したのは、イーブックイニシアティブジャパンだ。同社が運営する電子書籍販売サイト「eBookJapan」は2013年4月5日に、外部からのパスワードリスト攻撃を受けた。今でこそ認知度の高い攻撃手法だが、「当時はまだこの攻撃がはやり始めたばかりで、専門家も詳しい情報をつかめない中、詳細な情報を公開していただいたことを評価した」(徳丸氏)
同社取締役として技術部門を取りまとめている村上聡氏は、MRTGでビジュアライズした当時のアクセスログを示しながら、「ちょうど事件があった4月5日の前後に、『オバQの毛』のようにピコピコとスパイクが生じている。このように、普段と違うところに注目しなくてはいけないと現場のエンジニアはいつも言っています」と振り返り、普段からの監視とビジュアライズの効果を指摘した。
イーブックイニシアティブジャパンはこの「eBookJapan」の負荷上昇を受けて調査を進め、「マイページ」に対するアクセスが増加していることから、ログイン成功・失敗に関するログを詳細に調査した結果、ログイン試行に関する興味深い事実が明らかになった。
「ログイン試行回数を表にまとめてみたところ、1回目、2回目の試行で成功している確率が非常に高く、逆に失敗しているアカウントでは1回だけで断念するケースが9割ほどに上っていた。ここから、『あらかじめ、どこかから流出したログインIDとパスワードの対応表を持っている人が、機械的にログインしてきたのではないか』と推測した」(村上氏)。ログイン試行のログを詳細に調査したことで、ここまで判明したと言う。同時に「かなりの数のユーザーが、IDとパスワードを使い回しているのだろうということも分かった」そうだ。
村上氏は「Web Application Firewall(WAF)でふるい落としている攻撃のログを見る限り、Webサイトへの攻撃は日常茶飯事」と述べ、さらに「正しいIDと正しいパスワードの組み合わせを持っている人は、正しいユーザーとしか認識できない。ユーザー自らが、複数のサイトで、ログインIDとパスワードの使い回しはしないように心掛けてほしい」と述べている。
情報公開に当たっては「議論はしたが、会社として『ユーザーファースト』は譲れなかった。顧客に何か被害が出てしまうと、取り返しのつかない信頼失墜になる。少しでも安心してもらえるよう、なるべく早く、正しい情報を出したいと考えた。最初のリリースを出した直後は、『いったいどうなっているんだ』という問い合わせもあったが、続報を出すごとに収束していった」(村上氏)
もう一つ、名前も連絡先も分からないながら特別賞に上がったのが、石川県のコンビニの店員だ。LINE詐欺に引っかかり、金券を購入しようとした被害者に「現在、こうした手口が流行っており、もしかすると詐欺ではないか」と説明し、被害を未然に食い止めたという。「僕らセキュリティ専門家が言っていることは、まだ全然世間に伝わっていない。届くべきところに届けられていない。草の根でこうした活動をしてくれる個人によって防げる犯罪もたくさんあるはず」(辻氏)
問題や脆弱性への対応を評価し、信用につなげる社会を
続いて、審査員一同による「事後の情報公開のあり方」に関するパネルディスカッションが行われた。
今回は3社が表彰されたが、審査員の印象に残る対応や情報公開は他にも複数あったと言う。例えば、Struts2の脆弱性を突かれ、セキュリティコードを含むクレジットカード情報が流出した原因を具体例を挙げて報告したJINS(関連記事)、感染する恐れのあるマルウェアのファイル名やその条件など詳細を示した公益財団法人 安全衛生技術試験協会などの例も参考になったそうだ。
情報公開、特にインシデントの調査を進めながらの情報公開となると、「正確性」と「迅速さ」のバランスをどう取るかで悩むケースもあるだろう。「間違った情報公開はよくないけれど、最初はまず想定される最大の被害を公表しておき、間違っていれば訂正すればいいのでは。実際そういった対応を取っているところもある」(辻氏)、「本当に調査中であれば『調査中』というステータスを公表することで、対処中であることを知らせることが大事。ユーザーからすれば、何が起きているか分からないというのが一番嫌だと思う」(piyokango氏)といった声が上がった。
また日本では、事故に関する詳細や侵入経路は「セキュリティに関することであり、模倣犯を出す恐れがあるので……」と伏せられることが多い。しかし「詳細の公表が攻撃を助長するという見方は本当だろうか」という根岸氏の問いに、辻氏は、一概には言えないとしながらも「攻撃側はもう詳細を知っていると思う。実際に日本の企業が被害を受けており、最優先で対策する必要があることを知らしめる方が、他の企業も守っていく上で大事な情報共有であり、ある種の社会貢献なのではないか」とした。
このようにセキュリティ技術者の視点からは、透明性は欠かせないと思える。だが経営者の目線では、セキュリティ事故の情報公開は、ブランド、信頼への影響という観点から避けたいと思う場合もあるだろう。
徳丸氏は「ある日、自分の会社がディレクトリトラバーサルで侵入されるという夢を見た。正直に言うと、当事者になるとすごく焦る。夢の中でも、できれば隠せないだろうかという心理状態が働いた(笑)」そうで、できれば避けたいと考える気持ちが生まれるのも無理はないとコメントした。これを受けて根岸氏も「セキュリティ原理主義に陥りがちだが、それ以外の観点を尊重することも大事」と述べた。
この論点に関して参考になりそうなのが、米国のパスワード管理ソフト「LastPass」のケースだ。運営会社は2011年5月に不正アクセスを受けたが、「対応が迅速で、しかも詳細な情報が公開されたため、かえって『これは信用できる』と思った」と北河氏は述べた。同氏は、さまざまなセキュリティカンファレンスでLastPassの脆弱性が指摘され、その修正が行われていることを紹介し、「脆弱性がないソフトは存在しない。隠さず公開してくれる方が信用できる。むしろ問題が起きていないのは、隠しているか、気付いていないだけではないか」とした。
徳丸氏も「よく『どういうソフトを選定すればいいか』と聞かれることがある。私はそれに対し『脆弱性情報をきちんと公開しているものがいいです』と答えている」とした。つまり、問題が生じないに越したことはないが、もしそれが明らかになったとき、どのように修正し、どのように情報を公開したかが、企業や製品・サービスの信頼度を図る指標になるのではないか、というわけだ。
辻氏は「マンションの宣伝ではセキュリティ対策をしっかりしていることが売りになり、ブランドになっている。なぜサイバーセキュリティはそうならないのか。『われわれはこういった対策をとり、こういう対応を取っていますから、安心して使ってください』と言えるようにならないといけないし、ユーザーも判断を下せるようにならないといけない」と述べた。
piyokango氏は「情報セキュリティ報告書」の公表に取り組む企業が生まれ始めていることに触れ、「定期的にこうした情報を出している企業ならば、しっかりしている企業と評価できるだろう」と述べた。
同氏はさらに、数多くの一次ソースに当たって情報を集約している立場から、「セキュリティの実務担当者と、広報担当者とが密にコミュニケーションを取れるフロー作りを考えてほしい。時には、内容が不十分なプレスリリースが公表されることもある。事前にどういう対策を打ち、どのような情報を公開するかを打ち合わせておくといいのでは」と指摘した。
また、マスメディアだけに限定してあいまいな情報を出すのではなく、広く一次情報を公開してほしいとも述べた。「世の中、CSIRTブームでインシデントレスポンスに対する関心が高まっている。ベストプラクティスを模索する上で、過去の対応が参考になる」(piyokango氏)とし、後学になるプレスリリースを公表してほしいとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。