LINEヤフーがインシデント対応訓練、ランサムウェア感染や情報漏洩にどう対応すべきか

サイバー攻撃は年々増加しており、情報漏洩などの社会性の失墜にとどまらず、業務継続を困難にするなど莫大な損害を与えるケースも多くなっている。

そんな中、LINEヤフーは本社においてサイバーセキュリティ専門企業であるGSXの専門家を迎え、全社規模のインシデント対応訓練を行った。同社は2023年不正アクセスによる情報漏洩が発生しており、その教訓を生かしさまざまな訓練を実施している。今回、同社が行った訓練の模様をお届けする。

LINEヤフー　インシデント対応訓練

セキュリティに関する部署の責任者が一堂に会したインシデント対応訓練

LINEヤフーは、2年前の情報漏洩の教訓から、インシデントの発生に対応した訓練を部署ごとに行っている。そうした中、同社は全社レベルのインシデントの発生を想定し、セキュリティ問題に対応する部署の責任者を本社に集め、組織間の連携強化とセキュリティ・リスクマネジメント体制の改善と強化、全社のインシデント対応の迅速化を目的にインシデント対応訓練を実施した。

訓練には、セキュリティ統括本部、広報、カスタマーサービス、法務統括本部、政策企画特別渉外室からシステムを担当するCIO（Chief Information Officer：最高情報責任者）、CTO(Chief Technology Officer：最高技術責任者)、セキュリティに関するCSIRT（Computer Security Incident Response Team:セキュリティ事故対応チーム）、サイバーセキュリティ分析部と、インシデントに対応する部署の責任者が集合。関係者が一堂に会して行われる初の訓練となった。

LINEヤフーのセキュリティに関する部署の責任者が集合

訓練は、実際に発生した事件をベースに作成されたシナリオを基に行われた。ナビゲーター役はGSXの森本氏が務めた。訓練のシナリオは、次のような内容だ。社内の従業員の端末がマルウェアに感染し、ハッカーグループが社内ネットワークに侵入して情報を窃取した後、ランサムウェアを感染させシステムをダウン。その後のシステム復旧と、ハッカーグループによる脅迫と窃取された情報の漏洩など、同社にとって最悪のパターンを想定した厳しい内容だった。

このシナリオに沿って、「不正侵入による情報漏洩」「Cassandraで障害発生」「Cassandraの復旧」「ダークウェブへの掲載」「情報暴露」という5つのテーマに対し、討論・質疑応答などが行われた。

訓練スタート！LINEヤフーのデータベースが不正侵入を受けて情報が漏洩

訓練は、2月10日、サイバーセキュリティ分析部にて分散型データベース管理システム「Cassandraで従業員の端末がマルウェアに感染している可能性を検知、その後当該従業員のアカウントが乗っ取られ、所有者端末を踏み台としてサーバに保存されているヤフーIDやメールアドレスなどの個人情報がダウンロードされたことがCIO室の調査によって確認されたというシナリオから開始された。

訓練シナリオ：不正侵入による情報漏洩が発生

森本氏は、サイバー攻撃の初動について「システムダウンなどに比べ、調査する部門が多く事態の把握が難しい。システム部門に負荷が集中する」と指摘した。また、現状を把握するためのシステムログの調査はログ情報が膨大で短時間での正確な確認は難しく、過去の事例より2、3週間は必要となると解説。同氏は情報の共有について、あらかじめルールを作成しておくことで、各部署の連携がスムーズになると語った。

システム部門の担当者によるシステムへの影響有無の確認

この状況に対応して、システム部門のCIOが全社システムへの影響有無の確認の指示を行うほか、当該アカウント無効化やパスワードリセット、セッション破棄等などの措置の実施、CSIRTチームがSlackにチャンネルを作成しその場で社内ルールによる情報の共有を行うと発言。

森本氏は同時点では、まだサービスの停止などの事業継続に関わる問題は発生していないが、BCP（Business Continuity Plan:事業継続計画）の準備についても考慮に入れておく必要があると述べた。

第2ステージ：データベースで障害発生し、ランサムウェアに感染

訓練は次のステージに。2月12日、Cassandraで暗号化されたファイル群が出現してシステム障害が発生し、特定フォルダに置かれたテキストファイルのメッセージによりランサムウェアへの感染とハッカー集団から脅迫を受けていることが判明したというシナリオの下、の質疑応答が行われた。

訓練シナリオ：Cassandraで障害発生

森本氏は、初期の段階ではハッカーグループは脅迫ではなく「交渉」という形をとり、チャット等を活用し身代金の引き上げを要求してくるケースが多いと解説。また、交渉の内容を公開するなどの事例も紹介し、ハッカーグループは信用できる相手ではないとして、交渉はしない方が無難とアドバイスした。

ハッカーグループに対して法務部門としての対応を発表

第3ステージ：停止したシステムの復旧時に考えなければならないことは？

訓練は次のステージ、システムの復旧に移る。2月14日、日々バックアップされていたイメージデータからシステムの復旧が行われることとなった。どの時点のデータをもとに復旧を行うか、サービス再開するにあたってのどのような措置を行うかについての質疑応答が行われた。復旧データに関しては、システム部門が、バックアップデータもランサムウェアに侵害されている恐れがあるためフォレンジック調査などを行い慎重に検討して決定することが必要と発言。

訓練シナリオ：Cassandraの復旧

森本氏は、この時点でのニュースリリースについて、情報が少ない段階で詳細な報道をすることは危険なため事態の発生とその対応のみ報道し、後ほど追加で詳細情報をリリースしていく方法を紹介している。また、情報の発信を行わない場合、様々な憶測が流れる危険性があり、最低限でも現状についての報道は必須であることを語っている。

第4ステージ：ハッカーグループが情報漏洩をWebサイトで宣言、広報部門の対応は？

復旧が進む中、痺れを切らしたハッカー集団が行動に移る。2月19日にハッカー集団のWebサイトに同社の情報が漏洩していること、身代金を支払えば情報の暴露は行わない旨を宣言、7日間の猶予期間が設けられカウントダウンが開始される。

訓練シナリオ：ダークウェブへの掲載

この事態に対して、どのような対応すべきか、それぞれの部署より意見が発表された。システム部門からは、漏洩の疑いのある情報の特定、法務統括本部では警察への相談を行うべきといった意見が出た。この局面で中心的な役割を担う広報部門からは、具体的なマスコミからの問い合わせやプレスリリースに対応するという発言があった。

メディアの問い合わせなど、この局面で重要となってくる広報部門が発表

第5ステージ：ハッカーグループが盗んだ情報を公開、その後の対応は？

訓練は、ハッカーの要求を拒否し情報が暴露されてしまう最後のステージに進んだ。2月26日、ハッカー集団のWebサイトで10GBにも及ぶデータファイルがアップロードされる。中には個人情報が記載されたエクセルファイルを含む約20万のデータファイルが存在し、一部情報がCassandraの情報と一致していることが確認された。既に34件ダウンロードされていることも確認された。

訓練シナリオ：情報暴露

この状況で行う対応として、システム部CIOは、暴露情報とCassandraの情報の突合を確認、また、システム部門CTOで、CSIRTチームや外部セキュリティベンダーへの解析を依頼と発言した。法務統括本部からは、警察への相談、PPC(個人情報保護委員会)への続報、被漏洩者からの賠償請求に対する対応、情報拡散者への提訴検討などの発言が上がった。

森本氏は、漏洩情報の拡散対策における法的対処について、昨年に発生したカドカワが情報拡散者を提訴する旨警告した事例を紹介した。

代表取締役社長 CEO 出澤氏と上級執行役員 CISO 仲原氏が講評

訓練後は、上級執行役員 CISO（Chief Information Security Officer）の仲原英之氏が講評を行った。同氏は「こういう機会があるということは重要であり、エンジニアや広報なども含めてインシデントへの対応策としてよいアイデアを得られる」と述べた。

また、仲原氏は2年前に発生した情報漏洩事件を踏まえた上で「当社は規模が大きいのでログが膨大であり、対応に時間がかかってしまう。その点に関して多くの課題がある」と述べた。そして、迅速な解決のためには、「影響範囲を特定して、調査の範囲を絞っていくなどの工夫が必要になる」と語り、最後に正しい判断には正しい情報が必要と正確な情報収集と解析が重要とまとめた。