JTB不正アクセス事件から何を学びとれるのか？：セキュリティのアレ（28）（2/2 ページ）

不正な通信を検知した後、どうする？

根岸氏　少し話が変わりますが、感染後の対応の点にも触れたいと思います。報道によれば、今回は「PlugX」と呼ばれるRAT（Remote Administration Tool）による外部との通信がセキュリティベンダーによって検知され、そのベンダーから連絡があったことで、JTB側が攻撃に気付いたとされています。こういう気付ける仕組みがあるかというのはもちろん大切ですが、「検知した後どうするのか」という点も重要だと考えています。例えば、「不正な通信を行っているコンピュータを特定する」「通信を止める」「他にも感染端末がないか調査する」といったことですね。

　今回のニュースを見ていると、不正な通信を検知してから全て遮断するまでに、5日ほどかかっています。その間いろいろやっていたのだろうとは思いますが、結果的には、その間に情報が漏れた可能性が高いようです。このように実際に検知した後の対応がスムーズにいくかどうかを、自分の組織に置き換えて考えてみるとよいでしょう。

辻氏　外部組織からの連絡を受けるタイミングもポイントですね。今回のケースでは、年度末の3連休の初日に連絡を受けています。そのときに、一体誰が対応するのか？

根岸氏　そうですね。実際に複数回攻撃を受けているような組織は、何度も訓練をしているようなものですから、攻撃に気付き、対応することができています。しかし、不慣れな組織がいきなり攻撃を受けた場合、適切に動けない可能性があります。日ごろから攻撃を想定した準備をどれだけしておけるかが重要だと、今回の件であらためて感じましたね。

辻氏　この種の攻撃が発生すると、一時的に、攻撃に対して「インターネットを完全に遮断する」という対処が積極的に行われるようになる印象があります。ただ現実的には、通信を止めるとして「どの通信を止めるのか」、また逆に「どの通信は通すのか」といったことを事前に決めておく必要があると思っています。

　例えばRATの場合、もちろん全てがそうではありませんが、80番ポートと443番ポートを使って外部と通信することが多いですよね。これらのポートは一般にWebアクセスに使用されるため、通信が許可されていることが多く、攻撃者もそれを知っているからです。では、攻撃を受けたときこれを止めるのか？ インターネットを全て遮断するということは、すなわち「業務が止まる」ということですよね。これはこれで、別の“事故”だといえます。業務を止めてまで守るべきものは何なのかといった優先順位をハッキリさせておくことが大切です。

宮田　事故が起きる前に、「何を止めるのか」「何は生かしておくのか」を把握しておかなければ、実際に被害に遭ったときに、「全部遮断だ」という性急な判断に至ってしまう可能性があるということですね。

辻氏　はい。それから、例えばオンプレミスでメールサーバを運用しているなら「25番ポートを止める」という対応で済みですが、最近はクラウドのメールサービスを利用しているケースも多いですよね？ この場合、基本的に443番のHTTPS通信が使われますから、「443番ポートは生かしつつ、危険なサービスだけを遮断する」という対応をする必要があります。

　そうなると、「自分たちが使っているクラウドサービスのリスト」を持っているかどうかが重要になります。それがなければ、「全部止める」しか選択肢がなくなってしまいますから。また、「なぜ全遮断しないのか？」という理由をパブリックに説明する際にも、「業務を止めないためにこれは生かしていますが、これは止めているから大丈夫です」と適切に答えることができます。クラウドサービスの棚卸しは、ぜひ行ってほしいと思います。

宮田　JTBの件に関しては、今後より詳細な情報が公開されるでしょうか。

根岸氏　日本年金機構のような詳細なレポートが出されることは、恐らくないのではないかと思います。

辻氏　あそこまでのものは難しいでしょうね。しかし、こうした事件を受けていろいろ推測を行ってみることも、学びにつながります。

宮田　自分たちの場合は、何ができるのか、何をしなければならないのか。自組織の備えを見直す上でも、もう一度、今回の事件に関する情報をチェックしていただきたいですね。

画像クリックで連載トップページへ