サイバー攻撃はその手口を進化させているため、セキュリティに関する情報もつねに最新のものが求められる。ではセキュリティの専門家は今どんな話題に関心を持っているのか。

9月17日~19日に開催された「TECH+フォーラム セキュリティ2024 Sep. 次なる時代の対応策」では、セキュリティの専門家5名によるパネルディスカッションが実施された。登壇したのはEGセキュアソリューションズ 取締役 CTO/情報処理推進機構(IPA)非常勤研究員/技術士(情報工学部門)の徳丸浩氏、NTTセキュリティ・ジャパン コンサルティングサービス部の北河拓士氏、インターネットイニシアティブ セキュリティ情報統括室 室長の根岸征史氏、SBテクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏、そしてセキュリティインコ(piyolog運営者)のpiyokango氏だ。この5名の専門家が気になるテーマを1つずつ挙げ、それぞれについて意見を交わした。

  • (左から)NTTセキュリティ・ジャパン コンサルティングサービス部の北河拓士氏、EGセキュアソリューションズ 取締役 CTO/情報処理推進機構(IPA)非常勤研究員/技術士(情報工学部門)の徳丸浩氏

  • (左から)インターネットイニシアティブ セキュリティ情報統括室 室長の根岸征史氏、SBテクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏、セキュリティインコ(piyolog運営者)のpiyokango氏

サポート詐欺広告の脅威

パネルディスカッションの最初のテーマは、徳丸氏が選んだサポート詐欺広告に関する話題である。サポート詐欺広告の手口は、PC作業中にウィルス対策ソフトを模した「あなたのPCは感染しました」といった画面が警告音声とともに表示され、虚偽のサポートに電話させるというものだ。最近では有名ITメディアや大手全国紙などのサイトにも現れるようになり、手法も洗練されて騙されやすくなっている。例えば、画面をスクロールするだけで詐欺サイトに遷移するパターンもあるそうだ。

「広告料を支払ったうえで詐欺ビジネスとして成立しているということは、それなりに被害にあっている人がいるでしょう。金銭を盗られたり情報が漏れたりといったことが起こっています」(徳丸氏)

ウィルスをばらまいているとしてメディアの責任を問う声もあるが、広告プラットフォームを経由しているため、自社のサイトで詐欺広告が配信されていることに気付きにくいうえに、広告プラットフォームに至るサプライチェーンが複雑なため、どこに責任が在るのかは難しい問題だ。

そのため現状ではユーザー側で対処せざるを得ない。WindowsのAlt + F4キーでのブラウザの終了やCtrl + Wでのアクティブウィンドウのクローズ機能などは、無効化されていることが多い。徳丸氏はその代わりに、Escキーの長押しやCtrl + Alt + Deleteからタスクマネージャを起動するなどの方法を知っておけば、回避できる可能性が高くなると説明した。

脆弱性公開から短時間で攻撃発生

北河氏が挙げたテーマは、脆弱性公開から攻撃発生までの時間が非常に短くなっていることだ。例えば2024年に発生したIvanti Connect Secureなどの事例では、脆弱性の公開からわずか数日で実証コードPoCが公開され、すぐに広範囲な攻撃が発生している。

「まずやっておくべきなのは、資産を把握し、アタックサーフェスを把握、縮小することです」(北河氏)

例えば不要なサービスや機能の無効化、管理インターフェースの非公開など、攻撃の機会をできるだけ減らすこと、そしてあらかじめ脆弱性対応計画を整備しておくことも必要だ。

「脆弱性のトリアージには外部サービスを活用することも有効です。対策は個別ではなく包括的に実施していくことが重要になります。そして脅威の進化に適応し続ける必要もあります」(北河氏)

「資産を把握することに加えて、必要最小限にしておくことも大事です。脆弱性が出てきてから蓋をするようでは到底追いつかないでしょう」(辻氏)

脆弱性が公開された場合には、トリアージによって緊急度が高いものから対処する必要があるが、それでも時間に余裕はない。その対応として有効なのは自動アップデートではないかと徳丸氏は言う。

「皆さんがおっしゃっていた対応ができる組織がどれだけあるか。ベンダーの対応もあまり期待できないとすると、有効なのは自動アップデートではないでしょうか」(徳丸氏)

「エッジのデバイスやIoT機器は、最近は自動アップデートが標準です。そういう方向に行くのが望ましいのかもしれないですね」(根岸氏)

Infostealerによる情報窃取への備え

根岸氏の選んだテーマは、Infostealerによる情報窃取への備えだ。Infostealer はブラウザやアプリに保存された認証情報の窃取を主な目的としたマルウェアであり、認証情報が悪用されると正規アカウントのなりすましによる侵入につながりやすい。

「守る側が対応できていないから狙われるので、備えをもう少し意識したほうが良いと思っています。盗まれたことに早く気付くことも重要です」(根岸氏)

情報が盗まれると、その情報を買った別の攻撃者が攻撃してくることがあるが、悪用されるまでの間に盗まれたことに気付ければ、パスワードのリセットなどできることがあるし、多要素認証などで防御することも可能だ。それでも対策がおろそかになっていることが多いと根岸氏は指摘する。

「InfoStealerは、Webブラウザから認証情報を盗み出していくことが多いです。そこから利用している外部のサービスにまで波及していくことを考えると、これは見逃せない脅威だと思いますね」(辻氏)

攻撃者が認証済みのCookieを盗み出し、認証もせずに侵入してくる例もある。これに対し、自分たちでできる防御の1つが、定期的にセッションを切ることだ。パスワードを変更してもセッションが使われていれば侵入を許し続けることになるためである。

「ただ、根本的な原因が分かっていなければ、再び侵入を許すことになります。だから、なぜ防げなかったのかも考えてほしいと思います」(根岸氏)

同一質問事項に対する各ベンダーレポートの数字の違い

続いて辻氏が、セキュリティベンダーがアンケートをした際の、同一質問事項に対してレポートの数字がベンダーごとに異なることについて話した。例えばランサムウエアの身代金を支払ったと回答した企業の割合は、ある調査では70パーセントだが、他調査では56パーセントや36パーセントという回答が出ている。

「結果に大きな違いがあることについては、母数が違うとか、対象が意識の高い企業なのか予算のない中小企業なのか、そういったところもあわせてチェックする必要があります」(辻氏)

辻氏はさらに、業種や規模によって身代金を支払わざるを得ない組織があることも認識すべきであり、自分たちの組織はこの支払った企業の中に入らないようにする備えができているのかを確認しておくべきだと述べた。

「身代金を支払ったかどうかを知っている経営層に、どうやってリーチしたかも気になります。セミナーの参加者名簿やアンケートからメールを送ってもリーチできないと思うし、広報を経由して申し込んだら断られます」(北河氏)

「実際は経営層ではなくその近くにいる人が、なんかそうらしいと思ってYesと回答するケースもあるかもしれません」(辻氏)

この数字に一喜一憂するより、自社の判断基準をしっかり持ち、それが守れない例外のときにはどうするかという判断のプロセスが決められていることが重要だ。さらに、結局払う選択肢しかなかったという状況になぜ追い込まれたのかを分析し、そうならないためにどうするかを考えることが最も大事だと根岸氏は話した。

情報窃取を主張する情報への接し方

最後はpiyokango氏が、情報窃取を主張する情報に対する接し方をテーマに話した。例えばKADOKAWAの事例では、リークサイトに情報を盗んだという主張を掲載、その情報がSNSで拡散されてしまった。

「掲載された情報を勝手に加工して住所一覧をつくるなど、これまでのリークサイトを伴う事例では見られないような悪質なことがSNSで横行していました」(piyokango氏)

情報窃取を主張する情報を実際に目の当たりにする機会が増えているが、掲載されている情報は全てが信ぴょう性を担保されたものではない。そういった情報にどう接するか、そもそも接する必要があるのかをよく考えないといけないとpiyokango氏は話した。

「自社の漏えいの影響範囲が分からないため、それを確認する目的でリークサイトに接続した例もありましたが、それ以外に情報にアクセスする正当な理由は思いつきませんね」(辻氏)

「専門家が被害状況の把握や注意喚起の目的で見るのは分かります。でも解析する以外の目的で情報を持っていると法律に触れることもある。そう考えると、普通の人が見る必要はまったくありません」(根岸氏)

最後に辻氏は、普通のインターネットで見られるリークサイトもあるため、とくに組織内からアクセスさせないようにすることも重要だと語った。