マイクロソフト 蔵本氏が話す「今のセキュリティの考え方」

日本マイクロソフト マイクロソフトテクノロジーセンター セキュリティアーキテクトで、筑波大学非常勤講師の蔵本 雄一氏

内閣官房内閣サイバーセキュリティセンターと在日米国商工会議所は10月31日、学生や若手社会人を対象にしたセキュリティイベント「サイバー・ハロウィン キャリアトーク」を開催した。筑波大学非常勤講師の蔵本 雄一氏による基調講演「サイバー攻撃を見て知って正しく怖がろう」の様子をお伝えする。

「侵入」を前提としたサイバー攻撃対策を

蔵本氏は冒頭、サイバーセキュリティの考え方について「相対する敵がいるため、相手を研究することが重要」と語り、攻撃者がどのような意図で攻撃を行っているのか分析し、そこから「彼らが嫌がる防御策」を考えることが重要と説く。

例として蔵本氏が挙げたのは、昨年から今年にかけて猛威を振るっている「ランサムウェア」。この手口について「ファイルを暗号化したから金を支払え」という高圧的な手法をイメージしがちだが、実際には「本当に金を払えば復号化できる」と思わせるため、「お試しで1ファイルだけタダで復号する」という手口を用いるケースがある。

また、「支払い(bitcoin)のやり方」「よくある質問」などのチュートリアルも用意して「並のシェアウェア以上に丁寧な対応」(蔵本氏)を行い、心理的に金銭を支払うように仕向けている。

ランサムウェア「TeslaCrypt」の感染後画面。期限内に指定額を払わないとどんどん「身代金」が上がるものだったが、現在はESETが復号ツールを公開している

数年前まで「サイバー犯罪」と言えば威力誇示が主な目的となっていたが、現在はランサムウェアをはじめとしてお金儲けにシフトしている。こうした状況を踏まえた対策としては、サイバー犯罪を抑止するために「犯罪を成功させるためのコストを上げ、うまみ(利潤)を減らす」ことが重要になる。

ただし、「金銭の支払い」だけが彼らの攻撃理由ではないと蔵本氏は指摘。例えば、会社の財産である機密情報や知的資産(IP)もブラックマーケットで金銭に換えられるほか、脆弱なセキュリティ体制の企業のPCを「踏み台」にする遠隔操作マルウェアを送り込む例もある。これらの攻撃はセキュリティソフトが侵入を検知できず、「すでに侵入されていた」という事後検証の結果が出ることも多い。

マルウェアと言っても以前は自己顕示や技術力の誇示という個人犯から金銭を目的とした組織的なものに変化した	すでに9割の企業は侵入されているとの調査結果も。侵入に気付くまで8カ月かかる理由は「アンチウイルスのパターンファイルに引っかからないため」

では、この時代に即した「セキュリティ対策」とは何か。蔵本氏は、従来のセキュリティ対策が「防御力向上:やられないようにする」にフォーカスしていたのに対して、「検知分析:やられていることをすぐに検知する」や「被害軽減:やられても被害を小さくする」「事後対応:やられた後でも、情報を保護する」といった侵入前提の対策を中心に据えるように指南する。

「車に例えると、いくら安全に運転していても、予期せぬもらい事故は防げない。そのためにも、シートベルトを締めて、エアバックの点検が必要。これと同じように、サイバー攻撃でも『どのように被害を最小限に食い止めるか』を議論する必要がある」(蔵本氏)

この最新のセキュリティ状況を反映した対策としては「着弾点となるPCの保護」と「攻撃拡大の要因となるIDの保護」「第三者が読めないようにデータを保護」の3点が重要であるとまとめていた。

実際にKali Linuxを使ってデモ。標的型メールで一台を乗っ取る	認証情報(IDとハッシュ)を抜き取り、周りのPCで試す
別のPCも乗っ取れたので、重要情報らしきものを取得	ZIPファイルにパスワードがかかっているが、6ケタ英字程度ならば0.2秒でパスワードがわかる