新米CSIRTへの至言:後編--セキュリティ情報の共有をめぐる現実と理想

2017年09月07日 06時00分

高橋睦美

 日頃からセキュリティ関連情報を収集し、インシデント防止に向けて準備を整え、いざ発生した際には対処に当たる「Computer Security Incident Response Team」(CSIRT)の構築に取り組む企業が増えている。CSIRT同士が協調し、情報やノウハウを共有し、共通の課題を解決することを目的に設立された日本シーサート協議会(NCA)の加盟チーム数も右肩上がりに増加し、今や243チームが加盟するに至った。

 NCA発足10周年を記念して行われたカンファレンス「NCA 10th Anniversary Conference」では、そんなCSIRTの抱える課題と、これからに向けた提言が紹介された。

情報共有の枠組みに“魂”を入れる

 同イベントのパネルディスカッション「仏作って魂入れよう! ぼくたちの情報共有新学期!」では、CSIRT研究家の山賀正人氏が講演で紹介した「積極的に情報発信を行っている専門家」の辻伸弘氏(ソフトバンク・テクノロジー)、徳丸浩氏(EGセキュアソリューションズ)、根岸征史氏(インターネットイニシアティブ)が、幾つかの脆弱性対応を例に取り、情報共有のあり方について議論を交わした。


インターネットイニシアティブの根岸征史氏

 まず根岸氏は、「受け手にとって役に立つ情報共有とは、どんなものかを常に考えている。CSIRTは情報を出す側でもあり、受け取る側でもあるが、そのどちらにも成熟が必要ではないか」と指摘した。

 一例として挙げたのが、2017年3月に発覚したApache Struts 2に存在する「S2-045」の脆弱性の扱いだ。脆弱性に関するアドバイザリが先に出されてしまい、正式な修正版が公開される前に、早くも攻撃のProof of Conceptコード(攻撃の概念実証コード)が登場した。実際に海外だけでなく、国内でも複数の企業がこの脆弱性を悪用する攻撃によって、被害を受けてしまった。

 ITベンダーでは3月7日の午後5時から同7時頃にかけて対応が始まり、金融ISACなどでも情報が共有された。だが根岸氏は、ほぼ同じ時間帯に攻撃が観測されていたことに触れ、「本当にその情報収集で大丈夫だろうかと思う。脆弱性に対応する立場の人が、二次情報に依存しているのはどうだろうか」と問題を提起し、「情報が流れてくるのを待つというスタンスはやめた方がいいのではないか」と述べた。

 S2-045の脆弱性については、アドバイザリが出た後に正式なアナウンスが公開されるなど、情報公開のプロセスに課題があった。

 徳丸氏は、深刻な脆弱性を修正する際に、事前に予告するようになったJoomla!や、詳細な脆弱性情報よりも先にパッチを公開したWordPressを例に取り、「脆弱性情報を受け取る側もそうだが、情報を出す側にも配慮や工夫がいるのでは」とコメント。同時に、組織ごとに、誰がどんな情報を見張り、どんな手順で対応するかを取り決めておく必要もあるだろうとした。

 関連して辻氏は、「全てについて一次情報を見るのも、しんどい話。深刻なもの、ヤバいものは優先してチェックするという具合に、脆弱性を全て同じレベルで見るのをやめた方がいいのではないか」と述べた。

 また、仮に対処プロセスを定めていた場合でも、パッチを適用するためテストしている間に攻撃を受ける可能性もあることに触れた。「被害を減らすために、選択肢の一つとして、誰が判断するのかも含め、『止める』というフローを作っておいてほしい」とコメントした。

いつもあると思うな、便利な情報

 根岸氏はもう一つ、「いつも便利なまとめ情報があるとは思うな」と指摘した。例えば、ランサムウェア「WannaCry」を巡っては、感染経路や感染対象、キルスイッチの役割などに関する情報が入り乱れた。

 「実際のWannaCryの姿は、最初に出てきた情報とだいぶ違っていたが、後追いの報道ではあまりそうした情報が出てこなかった。最初のまとめ情報を見ていて、それが間違っていた場合に、組織の判断に影響を及ぼすことになるが、それで大丈夫だろうか。二次情報に依存し過ぎ、うのみにするのも危険ではないか」(根岸氏)

 さらに根岸氏は、「二次情報を有効活用するのはいいし、便利だが、まとめ情報は間違っているかもしれない。情報を受け取る側がその可能性を意識し、情報が間違っていた時に、きちんと自分たちの行動を直せるか。情報を出す側にも、受ける側にも、間違いがあることを前提に、もっと成熟した情報共有ができると良いだろう」と語った。


ソフトバンク・テクノロジーの辻伸弘氏

 これを受けて辻氏も、「できるだけ注意していても間違うことはあるという前提で、情報が間違っていても、もう少し優しく受け止める世界になるといいなと思っている。今の情報共有は、『誰かが出して、見て、終わり』の繰り返しになっている」とし、「誰かが出した情報に追加したり、誤りを修正したりと、一人に依存するのではなく、みんなでブラッシュアップしていくのが本当の情報共有であり、そんな仕組みがあればいいなと思う」と述べた。

 次に辻氏は、「常々考えているが、セキュリティは誰のものか」と提起。同氏のたどり着く結論を「セキュリティはみんなのものだろうということ。特定の詳しい人や専門家のためのものではないし、詳しくない人をばかにする道具でもない」とした。だからこそ、広く情報を出し合ったり、育て合ったりして守る側が活性化していくべきと考えているという信念のもと、「一人CSIRT」に取り組んでいることを紹介した。

 現在は国内だけでも、さまざまな情報共有のスキームが整備されつつある。しかし辻氏は、「例えば、NCAに入るのもハードルが高いと思う。人やモノ、カネが必要で、“一人情シス”でやっているような小さな会社は入れない。個人として活動している立場から見ると、こういうところに参加できる時点で、ある種の特権階級ではないか。そこでしか得ることができない情報ばかり流通させても、それは『共有』とは言えないのではないか」と指摘。ほかの業界にも影響する可能性のある情報を、特定の業界や情報共有スキームだけに閉じて回すのはもったいないのではないかと、問題を提起した。

 「もっと情報を有した方がいいのではないか、そのために自分でできることは何かを考えて、『一人CSIRT』ブログを始めた」と辻氏。標的型攻撃やサービス妨害/分散型サービス妨害(DoS/DDoS)攻撃を観察する中で、幾つか見えてきたことがあるそうだ。

 例えば、実際に標的型攻撃で使われた“おとりファイル”を見れば、「この攻撃キャンペーンは、こういった組織を狙った攻撃に向いていそうだから、気をつけよう」という注意喚起につなげられるという。また、DDoS攻撃をちらつかせて金銭を脅し取る攻撃についても、発信元が韓国や中国の場合は、どのくらいの規模のDDoS攻撃があったかがニュースとして報道されており、どの程度対策すればいいか、今の対策で防ぎきれるかの目安になる。「こうした事例は共有という意識からではなく、あまり注意を払っていないだけかもしれないが、こうした情報があれば他の人にも役立つだろう」(辻氏)

 実は、国内でも6月29日頃の同じような時間帯に、複数の金融機関で障害の発生が公表されたが、ニュースにはなっておらず、サイバー攻撃を受けていたかどうかも一般には公表されていない。「同じ業種内の閉じたところで共有されているかもしれないが、DoSを受けたら困る業種は、ECサイトやオンラインゲームなど他の分野にもある。ターゲットが移る可能性を考えると、もう少し広く情報を出してくれるといいのではないか」(辻氏)

分かった攻撃手法も公開すべき?

 そもそも日本では、「悪用されるリスクがあるから」「他はみな公開していないから」といった理由からか、サイバー攻撃の手法や使われたマルウェアのハッシュ値、URLなど、詳細な情報は非公開となるケースが多い。


EGセキュアソリューションズの徳丸浩氏

 徳丸氏は、「海外のブログなどでは、PoCなどが積極的に掲載されている。そういうところから変えていかないと、日本は追い付かないのではないか。欧米並みにしたいなら、もっとオープンで荒々しい世界にならないと、情報を提供する側も出しづらい。そういう意味も含めてセキュリティの『成熟』が進まなければ、日本での研究も進まず、海外頼りのままではないか」と述べた。

 また辻氏が、社内の若手エンジニアに「調べたことを発表してみて」というと、「いや、自分の話なんてとてもとてもと反応する人が多いという。「けれど、自分の持っているものの価値を決めるのは自分じゃない。情報を出し合っている人は味方同士。自分が持っている情報に価値がないと思い込まず、一ミリでもいい、一個でも良いので出して、寄与する方向に持っていかないと、全体で守ることはできない」(辻氏)

 加えて根岸氏は、「情報を出した側にフィードバックがあると、さらに出しやすくなるかもしれない」とした。

 徳丸氏は、Apache Struts2の脆弱性を悪用され、情報漏えいにつながってしまったGMOペイメントゲートウェイ(GMO-PG)のケースを例に、万一侵入されたとしても攻撃を遅らせることや、攻撃者の狙いを達成させないための手法にも注目すべきではないかと述べた。

 「このケースの対応はすごく早かったと思う。だが、それでもやられてしまった。それなら、どうすればよかったか。もう少しウェブアプリケーションファイアウォールがうまく設定されていたり、バックドアを引っ掛けるためにファイルのパーミッション設定を厳しくしておいたり、データ領域についても改ざんを検知したり、あるいはSELinuxを外さなかったり、外部向けの通信を制御するといったことをしていれば、少なくとも攻撃を遅らせることができただろう」(徳丸氏)。

 攻撃への対応は時間との勝負であり、「遅らせる」ことは非常に重要だという。「情報をすばやくキャッチし、備える、という合わせ技で、侵入を前提とした被害緩和策を今こそまじめに考えるべき」と、徳丸氏は提起した。

 この件に限らず、最近は自社で発生したセキュリティインシデントについて詳細な報告書を公開する企業が増えている。「踏み込んだ内容の報告書が出るようになったのは、いいこと。そこから教訓が得られ、とても参考になる」(根岸氏)。

実績がつなげる“対策の輪”

 さらに踏み込んで辻氏は、「起きた事故についての情報を共有するだけでなく、『攻撃はあったが、こうした対策によって被害を食い止められた』といった内容を共有できれば、もっと良いだろう。特にファイルのパーミッションの設定変更のような、お金をかけずに実現でき、成功した対策事例こそ、広がってほしい」と述べた。

 最後に辻氏は、自身が所属するソフトバンク・テクノロジーで発生した不正アクセスへの対応にも触れた。不正アクセスの発覚後、同社は原因や経緯などを説明したプレスリリースを公開している。「出さないのはあり得ない。また、出すなら出せるものは全部出そう、となった」(辻氏)。実際にインシデントに関する情報を出す立場になってみて、「自分でやってみて、上層部とのやり取りや社内のコミュニケーションが大事だと思った」という。

 辻氏は、関係者の集まる最初のミーティングで、事態発生のきっかけを作った人とその責任者を名指しし、「気に病む必要はない、他にやるべきことはもっとある」と伝え、配慮したそうだ。

 「『個人の問題ではなく、組織の問題』ということを明確にした。おかげで、当事者から対処に役立つ情報をどんどん発信してもらえた。もう一つ大事なのは、情報を展開する土壌が組織にあるかどうか、そして、上層部や現場に協力してもらえるようになっているかどうかということ。その意味で、今回は皆に協力してもらえてありがたかった」と、振り返った。

 対処した辻氏が“気概を感じた”というのは、上司の振る舞いだ。「喫煙所でたまたま社長と一緒になり、『土日も来てくれるのか』と尋ねられ、『もちろんです』と答えた。すると、『よろしくお願いします』と頭を下げられた」(辻氏)

 セキュリティインシデントへの対応を進めるのは人であり、技術だけではない――。このことがよく伝わる辻氏の逸話で、パネルディスカッションは幕を閉じた。

関連記事