常にどこかで被害が報じられているといっていいほど、ここに来て発生頻度を増している不正アクセス事件。どうしてここまで攻撃者の増長を許しているのか──なかなか語られることのないその真相について、セキュリティの専門家たちが本音で議論を繰り広げるパネルディスカッション(9月13日・東京、9月25日・大阪「マイナビニュース WEBセキュリティセミナー ~あの不正アクセスはなぜ起きたのか!? セキュリティ専門家が事件の裏側を徹底討論~」)が開催される。

これを受けて、まずはパネルディスカッションの"前哨戦"として、登壇予定の3人のセキュリティのプロに、最新のトピックや企業の取り組みの課題などについて意見をぶつけ合ってもらった。ここでは興味深いネタが満載となったこの特別座談会の模様を、全3回に渡ってご紹介。前回は、「Apache Struts 2」の脆弱性を狙った攻撃やSQLインジェクション、パスワードリスト攻撃(リスト型攻撃)など、今そこにある脅威について簡単に触れた。第二回である今回は、こういった脅威へどのように対策を行えばよいのかをお届けする。

興味深いネタ満載の特別座談会のメンバー。左からHASHコンサルティング 代表取締役 徳丸浩氏、NTTデータ先端技術 セキュリティ事業部 辻 伸弘氏、インターネットイニシアティブ セキュリティ情報統括室、根岸征史氏

Webサイト攻撃対策は、サービス提供側とユーザー側が一緒にやらないとダメ

攻撃手法がますます複雑化し、有名無名問わずWebサイトへの攻撃が激化しているなか、多くの企業では、"何を使ってどこを守ればいいのか"について頭を悩ませていることだろう。そこで、NTTデータ先端技術 セキュリティ事業部 辻 伸弘氏、インターネットイニシアティブ セキュリティ情報統括室、根岸征史氏、HASHコンサルティング 代表取締役 徳丸浩氏という、セキュリティ界でも各方面の事情に通じ、歯に衣着せぬ発言で知られる3人の登壇者に本音をぶつけてもらった。

──最近のWebサイト攻撃を見ていて、特に気になっているのはどういったことでしょうか?

徳丸氏は、まず弱いところを突いて、そこを足がかりにターゲットを攻撃するというパターンが、Webサイトへの攻撃でも広がりつつあるという

徳丸氏:標的型攻撃もそうですが、まず弱いところを突いて、そこを足がかりにターゲットを攻撃するというパターンが、Webサイトへの攻撃でも広がりつつあると思いますね。例えばSQLインジェクションへの対策は大企業では進んでいますが、比較的小さな企業ではまだ手つかずのところも多いです。そうした小さな企業のWebサイトをSQLインジェクションで攻撃して、何かしらのリストを窃取し、そのリストを使い大きな企業のWebサイトを攻撃するといった方法が取られているのではないでしょうか。

根岸氏:確かに、どこからか漏れているリストを使っていなければ説明がつかないほど、高いヒット率の攻撃が最近目立ちますよね。複数のサイトから窃取して寄せたリストなのか、それともどこかに大量に保管されていたリストを一気に抜き出したのか、どちらかはわかりませんが。

徳丸氏:私は複数のサイトから集めたのではないかと見ています。

──そうした正規ユーザーを騙った不正アクセスによる"なりすまし攻撃"にはどう対処すればいいのですか。

ユーザーが短い文字列や推測しやすいパスワードを設定しようとしたら受け付けないといった仕組みが必要、と語る根岸氏

辻氏:なりすまし攻撃については、サービス事業者側とユーザー側の両方が意識して対策しないとダメでしょうね。

根岸氏:サービス事業者側も、ユーザーに対してパスワードの定期変更を求めたり、パスワードの使い回しをしないよう注意したりするだけではだめですよね。長いパスワードを設定できるようにしたり、ユーザーが短い文字列や推測しやすいパスワードを設定しようとしたら、警告して受け付けないようにするといった仕組みを取り入れるなどの対策も必要でしょう。

辻氏:ユーザー側にも、パスワードについての最低限の知識は持ってほしいですね。もちろん、そのきっかけを作るお手伝いは私たちがもっともっと積極的にしていかないといけないと思っています。

守りたいものを明確にしなければ、やるべきことも見えて来ない

──ユーザー企業によるセキュリティソリューションの利用方法に対して何か一言ありますか。

辻氏:その脅威に対してはそのソリューションで守るべきではないよね? と感じる例は多々ありますね。例えば回線に大きな負荷をかける大量アクセスを用いる(D)DoS攻撃をWAF(Web Application Firewall)で守ろうとしていたりとか。WAFはSQLインジェクション対策などには有効なソリューションですが、ネットワークレイヤの(D)DoS攻撃は大量の通信を処理するだけではなくその通信経路、つまり回線の太さも重要となるわけです。どんなにお店の入り口を大きく素晴らしいものにして警備員や人員整理をする人を配備したとしても、その前の道が狭ければ沢山の人が押し掛けたときに道が人で溢れかえってしまうといった具合です。

その脅威に対してはそのソリューションで守るべきではない、と感じることが多いと辻氏

徳丸氏:企業の組織体制も影響していると思いますね。例えばCMSであればWebサイトのコンテンツに大きく関わるので広報が面倒を見たり、Apache Struts2の問題だとアプリ側なのでIT部門の管轄であるとか、管理する組織が分かれていることが多いです。そうした場合、それぞれの部門間できちんと連携ができていないければナレッジが共有できませんから、間違ったソリューションの使い方につながってしまうのではないでしょうか。

辻氏:ソリューションの使い方以前に、そもそも何を守りたいのかはっきりしている企業がどれだけあるのか、という疑問もあります。ただ、"今こういう攻撃が流行っているから怖い"と言っているだけのような感じがするんですよ。守りたいものもはっきりしていないのに、どんな脅威があるのかなんてわかるはずないのですけどね。これは、私達のようなセキュリティ業界の人間が、きちんと正しい知識を伝えきれていないことにも責任がある、と自省すべき問題ですね。

一番いけないのは、"セキュリティ対策のどこにお金を使っていいのかわからないし、全部やってしまうとお金がかかり過ぎるので、とりあえず何もやらないでおこう"となってしまうことです。そうではなく、"今回はここまでやろう"と一歩を踏み出さない限り、自社では何をやるべきかというのもわかって来ないでしょうから。

──このあと、ますます白熱していった議論だが、まもなく開催されるWEBセキュリティセミナーのパネルディスカッション第二部、「コストと効果も考慮した現実解を提示! サイバー攻撃対策の『今できること・できないこと』」では、具体的な対策方法を含めた提議がなされる予定だ。Webサイトへの攻撃に対して自社で今何ができるのかについて、会場でぜひヒントをつかんでいただきたい。