オフィスへの侵入とITシステムへの侵入は、同じ不正行為でも当然ながらその中身は全く異なる。前者は物理世界の脅威で後者は主にサイバー空間の脅威だ。対策の手法も担当者も異なるだろう。しかし、異なる2つの世界が密接していく時代は、両者一体でセキュリティを考えていく必要があるかもしれない。そんな示唆的な出来事に対応したというKasperskyの研究者に話を聞いた。
kaspersky コンピューターインシデント調査部門 上級セキュリティリサーチャーのSergey Golovanov氏
同社のコンピューターインシデント調査部門で上級セキュリティリサーチャーを務めるSergey Golovanov氏は、5年ほど前に、大手銀行のATMから大量の金銭が奪われたインシデントの調査を担当した。このインシデント(同社は「DarkVishnya」攻撃と命名)は銀行強盗ではなく、銀行内のネットワークとシステムを介した不正アクセスによるものだった。当初は不正アクセス元が判明せず、継続的な監視によって、銀行のオフィスの会議室から実行されていたことが分かったという。
この会議室には、密かにノートPCとRaspberry Pi、USBメモリーが設置され、これらが銀行内のネットワークに接続されていた。攻撃者は細工したATMの更新プログラムを内部システムに送り込んだと見られている。ATMの担当者はそのことに気が付かず、通常の手順でATMのソフトウェアを更新した模様だ。その結果、攻撃者はATMで不正プログラムを実行し、金銭を奪ったという。
Golovanov氏によれば、不正アクセス元となった会議室には、銀行関係者や外部の人間が1日に数十人も出入りしていた。採用面接や打ち合わせなどが頻繁に行われる場所で、入退室の管理が厳重にはなされていなかったようだ。攻撃者がいつ、どのようにして攻撃のための機器を設置したのかは今も分かっていないという。ただ、その後の手口の分析からGolovanov氏は、この攻撃を国際的なサイバー犯罪組織「Carbanak」が実行したと判断している。
このインシデントの対応で同氏が関わったのは、あくまでITに関する領域であり、それ以外の調査などは警察側の管轄だった。インシデント全般の対応状況や再発防止などについては関わっていないという。
ITに関する領域での基本的な対策としてアドバイスできることは、(1)ネットワークアクセスコントロールを適切に行う、(2)安全が確認されないデバイスをネットワーク接続させない、(3)ホワイトリストで規定以外のアプリケーションが実行されないようにする、(4)重要なシステムや機器への物理的な接触を防ぐ――など。銀行側の実際の対策状況は分からないが、少なくともATMの管理担当者は、普段の手順に従って作業したと想定され、ATMの更新プログラムに細工がなされていたことには気が付けなかったようだ。
Golovanov氏は、2005年からコンピューターのインシデント調査を手掛けてきたが、この「DarkVishnya」ようなケースのインデントに対応した経験は少ないとのこと。2019年も多数のインシデントに対応しているが、物理的な要因が大きく関与するこの種のインシデントは1件だけという。
一般的に銀行は、多数のセキュリティ基準に基づいて物理とサイバーの両面から堅牢なセキュリティ対策を講じている。「DarkVishnya」の標的となった銀行の場合、少なくともITに関する領域では、ATMの管理担当者が通常の業務プロセスに従っていることから、まさか更新プログラムに細工されているとは思わなかったのかもしれない。問題点は、攻撃者が最初の侵入口とした会議室で利用者の身元確認や入退室の管理が適切に行われていなかった、物理的なセキュリティ管理だろう。
しかし、物理的なセキュリティの不備だけに着目するのは“片手落ち”となりかねない。IoTに代表されるような“サイバーフィジカルシステム”が注目されつつあり、セキュリティでは物理とサイバーの両面で講じる重要性が叫ばれている。ただし多くの場合、その指摘は社会インフラシステムなどにフォーカスしがちだ。
Golovanov氏は、2010年に発生したイランの核施設を標的とする「Stuxnet」事件の調査も手掛けたことがあり、攻撃に悪用された脆弱性を突き止めた実績がある。Stuxnetは、重要インフラシステムのセキュリティの必要性を挙げる際に、極めて危険な脅威の事例としてよく使われる。Golovanov氏に「DarkVishnya」が非常に危険な脅威かどうかを尋ねると、比較にはならないと話す。
「DarkVishnya」の事例にならえば、重要インフラシステムで物理とサイバーの両面から堅牢なセキュリティ対策を講じていても、その隙間(Golovanov氏は“エアーギャップ”と表現する)を突かれることがある。“エアーギャップ”は、重要インフラのシステムだけでなく身近なオフィス環境にも起こり得る。脅威の危険性に関わらず、“エアーギャップ”を意識したセキュリティ対策が求められてくる。
「DarkVishnya」攻撃における特徴。身近に潜む“エアーギャップ”を突いたインシデントだったという(出典:Kaspersky)
ここでGolovanov氏は、「防止策に多額の予算を投じたり、ビジネスプロセスなど組織の仕組みを変えたりするような方法はやるべきではない」とも助言する。セキュリティ対策を厳しくするほどに利便性が失われ、業務効率や生産性への悪影響が懸念される。それでは本末転倒になりかねないからだ。
「DarkVishnya」は、数多あるセキュリティインシデントの中では少ないケースであるものの、セキュリティ対策では見落としがちな身近に潜む“エアーギャップ”のリスクや、セキュリティと利便性とのバランスなど、改めて認識しておきたい点を示唆してくれる事例だろう。
