情報共有がセキュリティインシデントの早期解決・予防につながる――JPCERT/CC真鍋氏

ビジネスにおいてネットワークはすでに欠かせないインフラの1つとなっている。しかし一方で、ネットワーク上にはさまざまな脅威も存在する。サイバー犯罪者は、思いもよらない手口で組織内の情報や個人の金銭を狙ってくる。その気はなくても、社員が業務用のスマートデバイスを紛失したり、出来心で情報を漏えいしたりするということも考えられる。

JPCERT/CCは国際的なセキュリティ対策の窓口

講演を行うJPCERT/CC 理事分析センター長真鍋敬士氏

2013年9月27日に開催されたセミナー「ネットワーク・セキュリティ・インフラの全貌」では、そうした課題に対してどうすべきか、セキュリティベンダーのエンジニアや業界著名人を講師に招き、具体的な対策方法について4つの講演が行われた。前半の基調講演では、JPCERTコーディネーションセンター（JPCERT/CC）の理事であり分析センター長を務める真鍋敬士氏が登壇し、「サイバー攻撃、される前にできること、されてからできること」と題して、組織としてセキュリティインシデントにどう備えるべきか、どう対処すべきかを解説した。

まず真鍋氏は、JPCERT/CCの役割について簡単にまとめ、聴講者に協力をうながした。JPCERT/CCは、日本のセキュリティインシデント対応の国際的な窓口となる組織である。セキュリティインシデントは、国境をまたいで実行されるケースがほとんどで、その解決には国際的な協力が重要となる。その橋渡し役となるのがJPCERT/CCだ。また同センターは、セキュリティ情報や脆弱性情報を収集・分析して公開し、国内のセキュリティレベルの向上も目指している。「組織のセキュリティレベル向上には、インシデントをハンドリングするCSIRT（Computer Security Incident Response Team）が重要な役割を担います。JPCERT/CCは、日本国のCSIRTに当たります。CSIRTがない組織は、インシデントを誰に伝えるべきか連絡系統がはっきりしないために対応が遅れます。CSIRTは、すべてのインシデントの窓口として機能し、また他組織のCSIRTとも連携して情報交換を行います。この連携こそがセキュリティレベルの向上につながります」（真鍋氏）。

真鍋氏によれば、CSIRTの設置がこの数年でブームになりつつあるという。日本においても、「日本シーサート協議会」が組織内CSIRTの設立を促進・支援を行い、課題解決のために積極的に活動しているとのことだ。

真鍋氏は続いて、最近のサイバー攻撃の傾向についてまとめた。大きくは「悪性Webを介した攻撃」と「標的型攻撃」の2つがここ数年の主流であるという。悪性Webを介した攻撃とは、主に改ざんされたWebサイトやメールを起点とし、マルウェアを仕込むためのWebサイトへ誘導するという手口だ。標的型攻撃は、ソーシャルエンジニアリング手法を起点とし、ターゲットとした組織や個人を徹底して狙う手口である。「双方に共通して言えることは、既知の脆弱性を悪用する攻撃がほとんどだということです。いわゆるゼロデイアタック（脆弱性が公表される前にそれを利用して攻撃すること）は、わずかな数しか検出されていません。既知で未修正の脆弱性が積極的に悪用されていることを示す事実です」（真鍋氏）。

外部CSIRTとの情報交換がインシデントの早期解決・予防に効く

真鍋氏は、実際のマルウェアを悪用したセキュリティインシデントとその対応について、具体的な事例をあげて紹介した。詳細は省くが、国内の複数の組織にマルウェアが仕込まれているという海外からの情報を発端とし、JPCERT/CCが被害組織へ情報を提供して、初めて被害に気づくというものだった。このとき、ある被害組織は、JPCERT/CCの情報提供を基に民間のセキュリティ対応サービス事業者と協力して事態の収拾に動いた。この組織では、最初の対応で感染コンピュータを発見し、侵入ルートを潰すことに成功したかに見えた。ところが攻撃者は、別のルートを事前に用意しており、再び侵入してきたのだ。管理者が、不審な動きをするシステムに気づいて発覚した。

「標的型攻撃の恐ろしいところは、目的を達成するために何重もの手口を使ってくることです。この事例はまだ軽傷なほうで、ネットワークが複雑になればなるほど、侵入経路が増えることでしょう」。真鍋氏は、こうしたインシデント対応の際には、情報を積極的に外部と共有してほしいと強調する。もしかしたら、同じ攻撃を受けた組織が、より詳しい情報を持っているかもしれない。あるいは前述の被害組織のように、根絶できなかった脅威を発見できるかもしれない。そもそも、外部からの情報でインシデントが発覚するケースは多く、互いの連携が重要だという。

そのためにも、事前準備として組織内CSIRTの設置が重要となる。CSIRTが窓口となって、情報の収拾と共有を実施する。その情報を基に、ゲートウェイ／サーバ対策やユーザー教育などを通じて社内を強化。攻撃者は、ターゲットに寄生する虫のようなものであるから「共存していく考え方が必要」（真鍋氏）という。「“対策をしなければならない”のではなく、“敵を見つけるチャンスを作る”“組織を守るチャンスを作る”という観点で、外部と積極的に連携し、知見の集約に励んでほしい」（真鍋氏）。