ロシアによるウクライナ侵攻により、世界情勢は大きく変化し、国内にもその影響が及んだ2022年。セキュリティのトレンドはどのように変わったのだろうか。11月25日に開催された「TECH+セキュリティ専門家とベンダーの対話 第10回 2022年を振り返る」では、有識者らが最新のセキュリティ動向やセキュリティ対策について解説を繰り広げたほか、専門家5名によるパネルディスカッションが行われた。本稿ではその内容の一部を抜粋してお届けする。

  • (左から)SBテクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏、セキュリティリサーチャーのpiyokango氏、EGセキュアソリューションズ 取締役 CTOの徳丸浩氏

  • (左から)NTTセキュリティ・ジャパン コンサルティングサービス部の北河拓士氏、インターネットイニシアティブ セキュリティ情報統括室長の根岸征史氏

サプライチェーン経由のECサイト侵害

パネルディスカッションには、EGセキュアソリューションズ 取締役 CTOの徳丸浩氏、NTTセキュリティ・ジャパン コンサルティングサービス部の北河拓士氏、インターネットイニシアティブ セキュリティ情報統括室長の根岸征史氏、SBテクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏、セキュリティリサーチャーのpiyokango氏の5名が登壇。各人が2022年に注目したセキュリティ関連のトピックスを順に挙げるかたちで進行した。

まず徳丸氏が挙げたのが「サプライチェーン経由のECサイト侵害」だ。ECサイトを狙ったクレジットカードの悪用被害は以前からあったが、「細かい経路が変わってきている」と同氏は指摘する。

例えば、決済代行事業者・メタップスペイメントの事案では、ECサイトに入力した情報が、ユーザーが通常意識しない決済代行事業者のサーバに蓄積され、そこから情報が漏洩した。別のケースではECサイト上での入力画面をリッチにする入力最適化サービスのJavaスクリプトが改ざんされ、そこからカード情報が漏洩したという事案もあったという。従来はサイトの脆弱性を突かれて情報が漏洩するというパターンがほとんどだったが、「日本でもサプライチェーン経由での漏洩が出てきた」と徳丸氏はこのトピックスを選んだ理由を説明する。これを受けて辻氏も、「『自分たちで情報を持っていると大変だから、外部に預ける』というかたちを採っているにも関わらず、預け先が狙われたという点で、決済代行事業者からの漏洩はインパクトがあった」と同調した。

徳丸氏は「簡単な解決策はない」としつつも、セキュリティの強固な事業者を選ぶための何かしらの指標を検討すべきではないかと提案する。根岸氏はこれに同意し、「小手先の対策ではなく、全体的な見直し、対策を考える時期に来ているのではないか」と付け加えた。

管理インターフェースのインターネットへの公開

北河氏が挙げたトピックは「管理インターフェースのインターネットへの公開」だ。クラウドサービスを提供するニフクラがロードバランサーの脆弱性を悪用した不正アクセスにより、顧客の証明書データ及び通信パケットの窃取を受けた事案や、前述のメタップスペイメントの事案で管理画面のアップロード機能でバックドアを設置されたことを例に挙げ、「主な要因は脆弱性の未修正だが、管理インターフェースへのアクセス制御が行われていれば悪用は防げた可能性があるのではないか」と問題提起した。

加えて根岸氏も「機器の脆弱性は度々話題に上がるが、管理インターフェースへのアクセスコントロールはきちんと行っておけば、脆弱性管理ほど大変ではない」と説明。徳丸氏によると、総務省が行ったセキュリティの調査で一番多く見つかった問題点が、ルーターの管理画面のIDやパスワードが非常に簡易で、攻撃者が簡単にアクセスできてしまうものだったことだという。これらを踏まえ、専門家らは「セキュリティにおける基本的な部分がおろそかになっていないかを見直すべきだ」と声を揃えた。