ソフトバンク・テクノロジー プリンシパル セキュリティ リサーチャー 辻 伸弘氏(写真は2016年撮影)

ソフトバンク・テクノロジー(SBT)が7月24日に公表した「不正アクセスによる情報流出の可能性に関するお知らせとお詫び(第一報)」。ソフトバンクグループのICT中核会社であり、セキュリティソリューションを基幹事業の一つに据える企業のセキュリティインシデントであるだけに、注目を集めた。

今回、同社のプリンシパル セキュリティ リサーチャーとして著名な辻 伸弘氏に、事の経緯と自社で起こったインシデントにおける新たな発見、改めて伝えたいことについて話を聞いた。

SBTに何が起こったのか

簡単に事件をおさらいする。ことの発端は7月17日、同社のセキュリティ監視チームがマルウェアの実行と通信のブロックを検知したところから始まった。マルウェアは「仮想通貨採掘プログラム」、いわゆる"マイニング"を行うものだ。結果的に、標的型攻撃やばら撒き型攻撃に類するマルウェアではなく、攻撃者が取引先情報にアクセスした痕跡は第三者機関の調査で確認されなかった。

辻氏によると、今回のケースで問題となったポイントは4つある。

  • アカウント管理の不備(アカウントの整理、不要なアカウントの削除など)

  • 不適切な設定のパスワード(推定されやすいパスワードの利用)

  • 検証サーバーが外部公開されていた(アクセス制御の不備)

  • 検証サーバーにおいて多数の実データファイルを管理していた

これらの要素が複合的に絡み合ったことで「お客さまの情報を危険に晒してしまった。大変申し訳ありませんでした」(SBT 広報部)。ただし辻氏が「周囲から『個人情報の漏えいが(第三者機関からも)認められなかった事故で、公開するほどの事象なのか?』」と言われたように、マルウェアプログラムの性質上、そして実際のフォレンジック調査の結果からも、会社として公表する根拠に欠ける。

「過去の事件・事故の事例からすれば、このレベルは『調査の結果として漏れていなければ公表しなくていい』と言えるかもしれません。ですが、会社として、携わった多くの人間が公表するという意思を共有していましたし、社長の阿多も『すべてを明らかにする』という意思を持っていました」(辻氏)

その情報公開の範囲は、

  • 不正アクセスの概要

  • 漏えいの可能性のある担当者情報の内容、件数

  • 対処の時系列

  • 今後の対応

  • マルウェアのファイル名、ハッシュ値、通信先URL

と広範、細部に渡る。

「マイニングソフトですから、業種・業態を問わず幅広い企業に影響をおよぼす可能性がある。ハッシュ値で使用されたファイルの特定が可能ですし、そういったものを管理するソフトが入っていない企業であっても、通信先のサーバーアドレスがわかればUTMやプロキシサーバーでブロックできる。通信先の情報はマイニングプールと明確にわかるもので、通常の業務では"ありえない"もの。事前のフィルタリングや、ログからの痕跡を見つけ、早期に対処するための有効な手法だと思います」(辻氏)

これまでの活動が糧に

辻氏をご存じない方に説明すると、セキュリティ リサーチャーとして前職時代からさまざまなインシデントに携わり、1人CSIRTといった各種セキュリティイベントの独自調査活動も行ってきた。またマイナビニュースでも情報セキュリティ事故対応アワードの実行委員長を務めており、インシデント分析・評価だけではなく「どのようにインシデントを情報公開すべきか」といった観点でも活動してきた。

「アワードで『この対応が良かった』『こっちの方が多角的に分析できている』といった評価を、ほかの審査員と繰り返しこなしてきたことが、今回の対応に活かせたと感じています。単純に事件・事故をまとめていただけでなく、それらの例から見出すべき教訓は何か、それを元に今回の情報公開へと活かしました。これは、今までに情報を公開してくださった数多くの組織の方々のおかげです」(辻氏)

誤解を招く前に断るが、あくまで今回のインタビューは「SBTがインシデントを起こした」という事実を元にした内容だ。

しかし、辻氏の言葉や筆者の感想を含め、非常にポジティブな言葉が並ぶ。それは、「情報が漏えいしてしまった可能性がゼロではない」という事実は変えられず、「何が起きたのか」という事態の把握と、「起きてしまったことを元に、どう対処すべきか」という対策の検討が、SBTにとって重要だという考えがあるからだ。

インタビューで、「(情報公開した理由は)第一にお客さまのため」と辻氏は語ったが、責任を負うべきはあくまで顧客に対するもの。顧客に対する責任を果たして、その上で「次に同じ事態に陥らぬように何をすべきか」を建設的に議論する。そのための土壌作りとして、こうした情報公開の事例を増やすことの契機になるのではないかと感じた取材だった。

現場が萎縮しないようにする"一言"

話をインタビューに戻そう。

7月17日の14時前にマルウェアを検知してから、20日に不正アクセスを受けた形跡を確認するまでの間、19日に辻氏は対応メンバーとして現場に入った。「マルウェアメールが届いたといったことは日常茶飯事。当初は呼ばれることはありませんでしたが、いよいよ雲行きが怪しくなってきた19日から参加しました」(辻氏)。