WannaCryや脆弱性とどう戦う?piyologの中の人に聞く、知っておきたいセキュリティ重大事件

WannaCry、WPA2の脆弱性など、最近セキュリティに関する事件に注目が集まっています。国内外のセキュリティインシデントにまつわる情報をまとめ続けるpiyokangoさんに、エンジニアが学ぶべきセキュリティに対する心がけを聞きました。

WannaCryや脆弱性とどう戦う?piyologの中の人に聞く、知っておきたいセキュリティ重大事件

大規模な情報漏えい、標的型攻撃、名前の付いた深刻な脆弱性──昨今のITセキュリティに関わる事件、事故は増えるだけでなく、影響範囲も拡大しています。しかも、その攻撃内容は複雑化し、守る側は常に後手に回らざるを得ない状況が続いています。

だからといって、何もしないわけにはいかないのがセキュリティ。企業の、そして個人のリスクを軽減するためにできることは「知る」ことではないでしょうか。

その「知る」をサポートするのがpiyokango@piyokangoさん。はてなダイアリーでセキュリティ情報に関するブログ「piyolog」を運営。“セキュリティに詳しいコザクラインコ”としての活動は多方面で認められ、2017年5月には総務省より「サイバーセキュリティに関する総務大臣奨励賞」を個人として受賞するほど。的確に時系列で情報を追いかけ、誰にでも分かりやすく、じっくり、しっかりとセキュリティ事件・事故を追いかけ続ける姿はセキュリティ界では知らぬものはいないほどの有名人です。おそらく、本稿を読むエンジニアの方の中にもpiyologの記事を目にしたことがある方は少なくないはず。

そのpiyokangoさんに、若手エンジニアにまず知ってほしいセキュリティに関する5つのポイントを聞いてみました。最新事例に学ぶ、セキュリティのための心得とは?

ランサムウェアの脅威への対抗手段とは?

1

──まず、世間を騒がせているランサムウェアから始めたいと思います。データを勝手に暗号化し、復号するために「身代金」を要求するのがランサムウェアの仕様のひとつです。piyokangoさんはランサムウェアをどう見ていますか?

piyokangoさん(以下、piyo) 2017年は、ランサムウェア「WannaCry」が日本では注目を集め、ランサムウェア=WannaCryのような認識をお持ちの方もいるかもしれません。

2世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた - piyolog

ランサムウェアは、PCなどが感染してしまうと家族の写真や業務関連の書類など、保存されたデータが暗号化されてしまうといった被害を受けます。重要なデータが目の前で使えなくなる。そんな事態を目の当たりにしてしまうと頭が真っ白になってしまうかもしれません。

実は組織を狙ったランサムウェアもあるのですが、こういった事例を見ていて、技術的な対策だけにとどまらず、「もし自分がそのような脅迫を受けたらどう考え、どう行動するか?」をあらかじめ想定し、対応を考えておくことが重要だと感じます。 また、身代金を要求するような「脅迫」を行うサイバー攻撃は、ランサムウェアだけではありません。

──ランサムウェアだけに気を付けるだけではいけないんですね。実際に、どのような脅迫があるのでしょうか。

piyo 世界では既にそのような事例がありますが……、実は日本でも最近、地方銀行やFX事業者などの金融機関でDoS攻撃によるものと思われるシステム障害が発生していました。

──DoS攻撃であれば、これまでもよく使われていた手法かと思いますが……。

piyo そうですね。DoS攻撃*1というと、大量の通信を発生させてサービスを止めることが目的です。

最近使われるのは、まず標的に対してDoS攻撃の「予告」を行う手法です。このとき、自分が攻撃ができることを示すためなのか、わずかな時間だけですが、DoS攻撃が行われることもあります。そして、標的に対して「DoS攻撃をやめてほしければ、金を払え」と脅迫するのです。 先ほどお話しした通り、複数の地方銀行で脅迫があったと2017年6月には報じられています。その後、今度は9月にFX業者や仮想通貨取引所に対し、次々とメールによる脅迫とDoS攻撃が行われたことが明らかになりました。

3仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた - piyolog

──この事件に注目すべき理由はなんですか。

piyo 大手のサービスでは正常なアクセス自体も多くて、DoS攻撃の種類にもよりますが攻撃を受けた側がはっきりと「この障害は攻撃だ」と言い切ることが難しい場合があります。

しかし、今回のケースでは「脅迫」メールが届いていたこともあったと思いますが、DoS攻撃を受けたと発表する組織を複数事例確認できました。さらにそれが特定の業種に集中していたために、なんらかの関連性があるのではないかと見られました。これが今回の攻撃の特徴、傾向のように思います。

障害発生時、TwitterでそのFXサイトのユーザーと思しき人の反応を見てみると、「ログインできない!」などの投稿が朝の時間帯に多く、実際に障害が報告された時間帯も午前中の発生が目立っていました。FX取引自体には詳しくありませんが、攻撃者は取引の傾向などからどのタイミングで使えなくなるのがそのサービスを利用しているユーザーにとって一番痛手なのかを把握しているのかもしれません。

一部サービスではFX事業者のバックエンドの取引サービスを提供しているシステム会社が狙われたとみられるケースも確認されています。報道によれば脅迫はそのシステム会社が受けていたらしいのです。その点からも事業者の背景などに関する知識を持つ人間による攻撃なのかもしれないと思いますね。

──脅迫文には、海外で活動するハッカーグループの名前があったと聞きました。

piyo ソフトウェアの脆弱性と対策などセキュリティに関連する情報を発信、調整している組織「JPCERT/CC」が、が、9月19日ごろより「Phantom Squad」を名乗る送信元から脅迫メールが国内の複数の組織へ届いているといった注意喚起を行いました。本文まで読めば分かりますが、今回確認されている攻撃との関連性は不明だと書かれています。

タイミングが悪かったなと思っているのは、その注意喚起が出される前の、9月14日ごろから先ほどのFX事業者などへの攻撃が発生していたということです。そしてこの脅迫メールには「Armada Collective」という別のハッカーグループの名前が出ていて、Twitterの反応などをみていると混乱をされている方もいたようです。とはいえ、メールで示されたグループ名だけから実際に受けた攻撃との関連性を判断するのは難しいと思います。

──そもそも、こういった脅迫行為への対策は可能なのでしょうか。

piyo DoS攻撃は一定期間継続して行われます。乱暴に言ってしまえば大抵は「いつかは終わる」攻撃ともいえます。事業を継続するうえで、この「いつか終わるまで」の期間を我慢できるか否かにより、対策の必要性も変わると思います。

しかし、韓国のホスティング事業者である「NAYANA」に対する脅迫事件では、ランサムウェアを使った攻撃にさらされ、顧客のデータまでもが暗号化されてしまいました。企業自身への被害だけでなく、その企業のサービスを利用する顧客にまで影響が及んだため、結果的にNAYANAは身代金を払うことを選択しています。

その点では、対策はやはり「前もって考える」ことだといえるでしょう。繰り返しますが、こういう事件に自分が立ち会ったしまった場合、その時点で思考停止に陥ってしまいがちです。特に脅迫事件は身代金を払うべきか、払わざるべきかという判断も出てきますが、事件に遭遇し、そこで初めてどうするか考えるようではその分対応が遅れてしまいかねません。

最近ではこのような「事例」が、報道だけでなく当事者からも詳細に発表されることがあります。これは大変貴重な情報です。ぜひ皆さんにも「この事件と同じ攻撃を受けたら、自分たちはどう考えどう行動するか?」を、貴重な情報を元に前もって準備しておくことをおすすめしたいです。

4
攻撃を受けてからでは遅い
前もって“準備”せよ

WannaCry騒動に学ぶ、正しい危機認識とは

5

──最近、ITに関するセキュリティに注目が集まっていて、専門家だけでなく多くの人が感心を寄せるようになったような気がします。この点に関して、どのようにお考えですか。

piyo 特に2017年5月の「WannaCry」では顕著でしたね。最初は英国での感染が12日の金曜夜に報道され、日本でも13日の土曜日にニュースになりました。日曜日にも報道が相次ぎ、これは週明けの月曜日以降も続きました。

6世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた - piyolog

──WannaCryは特殊なものだったのでしょうか。

piyo WannaCryの事例は、組織として学べる点が多かったと思います。特にこの事例で興味深い点は、その感染手法です。

多くの報道で、何もクリックせずともWannaCryに感染してしまうといった解説がされたと記憶しています。WannaCryに限らずウイルスなどと呼ばれる不正なプログラムはプログラムやOSの欠陥でもある「脆弱性」を突いて攻撃、感染を行うことがあります。WannaCryも脆弱性が突かれていますが、実はこの脆弱性に対する修正プログラムは騒動から2か月前の2017年3月に公開されていました。公開されてすぐに修正プログラムが適用されていれば、WannaCryはここまで話題にならなかったでしょう。

──WannaCryは報道でも大きく取り上げられ、その危険性がアピールされていました。

piyo このWannaCryを話題性の側面から見てみると、当初の感染経路が明らかになっておらず、報道される情報を見ていると「とにかく危険だ!」という印象だけが先行していたように思います。一方でセキュリティ研究者らが感染手段と経路を調べ始め、Windowsの脆弱性を利用していることが明らかになっていったのです。このような情報を追いかけていれば、必要以上に怖がることもなく対処することも可能だったのではないかと思います。

WannaCry騒動はセキュリティの専門家でなくても、世間話として語られ、関心を呼んだ事例であり、真偽不明の様々な情報が流れました。しかし話題が過熱しすぎていたとしても、感染する原因がはっきりすれば的確な対策が打てます。

2017年10月上旬頃から話題になりだした、WPA2の脆弱性に関するまとめも、素早くリリースされた。

──煽られないための知識として、まず何を押さえておくべきでしょうか。

piyo サイバー攻撃は様々な方法を駆使して行われます。しかし、そこには今お話ししたような「原因」が必ずあり、それを発端として影響が出てくるわけです。

報道だけを見て単に「危ない」と考えてしまうと実態が見えなくなることもあります。今そこにある危機を過大・過小に評価せず、「正しく怖がる」べきです。そのためには、原因を意識することから始めましょう。

危機を正しく怖がろう
そのためには、原因が何かを知ることが重要

「piyolog」運営で学んだ正確な情報把握術

──正しく怖がるためには、情報取得が不可欠に思えます。piyokangoさんはセキュリティインシデントの情報をまとめ続けていますが、どのようにして精度の高い情報を取得しているのでしょうか。

エンジニアHubに会員登録すると
続きをお読みいただけます(無料)。
登録のメリット
  • すべての過去記事を読める
  • 過去のウェビナー動画を
    視聴できる
  • 企業やエージェントから
    スカウトが届く