NTTコミュニケーションズ(NTT Com)は3月17日、セキュリティの最新動向を説明する会見を開催。同社セキュリティ・エバンジェリストの小山覚氏は、世界のサイバー犯罪被害総額が100兆円に達していることを示しながら、「2014年のグローバルリスク報告書によると、財政危機や異常気候などとともに、サイバー攻撃や重要情報インフラの故障は重大な悪影響を及ぼす可能性が高いリスクに位置付けられている」と現状を解説した。
「攻撃手段が巧妙化するとともに、電力やガスといった社会インフラ制御系システムに対する脅威が増加している。日本の企業でも被害が出ており、制御システム監視と異常検知の手法を各社が検討している段階にある」
社会インフラに対するサイバー攻撃の例として、昨年6月に米国で交通標識に「ゴジラ襲来」と表示されるハッキング被害例を紹介しながら、「日本でも同様のことが起こる可能性がある」と指摘した。
リモードコード実行による攻撃の70%がゼロディ攻撃であり、攻撃発見に要した日数が243日と長い期間潜伏する傾向が高いこと、サンドボックスを導入しても、ユーザーのPCに攻撃が届いてしまうというように、ブラックリストでの対策などに代表される従来型のセキュリティ対策は通用しないといったことが起こっているのが昨今のセキュリティ事情だ。
NTTコミュニケーションズ セキュリティ・エバンジェリスト 小山覚氏
小山氏は「URLブラックリストに登録されていないサイトから攻撃するといった動きがある」と現状を説明した。
「企業は独自のブラックリストの導入と、不審な通信先の監視のほか、複数機器の警報を相関分析し、すり抜けた脅威を検出することや、上りと下りの通信すべての仮想PCで動作を確認し、徹底した脆弱性対策を行うことも必要である。パターンファイルやシグニチャに依存しない、新たなエンドポイント型のセキュリティ対策が必要であり、当社では、ZAP(Zero day Attack Protection)と呼ぶ新たなサービスを日本マイクロソフトの協力を得て社内に導入。大規模環境のセキュリティ対策やインターネットに直接つながっていない専用システムのセキュリティ対策に貢献することを想定している」
NTT Comでの事例として、「システムを一元的に管理できていない、脆弱性対策情報が確実に伝達されていないといった課題のほか、サービス停止判断の遅れや脆弱性攻撃のリアルタイム検知と適切な対処が行われていないなどの課題もあった」という。
そこで「全社システムのセキュリティリスク低減策として、全社システムを調査して基礎情報を再整備し、システムのソフトウェア脆弱性解消の対応策やセキュリティ強化策を策定し、適用基準にのっとって実行。セキュリティリスクマネジメントの新たな業務運営プロセスでは、全社システムの管理方針を改めて策定し、緊急度に応じた対応実施基準と体制を確立。ソフトウェアの脆弱性発覚時の対応、ソフトウェア脆弱性発覚時の対応訓練、規程や約款の改訂などでリスクマネジメントを見直した」とする。
同社は、サービス停止判断を1時間以内とし、災害対策体制確立判断を3時間以内にするなどの対応実施基準を策定。「Bashの脆弱性“Shellshock”を狙った攻撃には独自のカスタムシグニチュアで脆弱性の公開から10時間以内に対策し、4500件の攻撃を検知、防御できた。経営者が決断すべきは、事業継続のためのシステム停止ができるかどうかという点。攻撃者よりも早く決断できるかどうかが鍵になる」とした。
「当社の例をあげると、飲み会のメールが来ると18%の従業員がすぐに添付ファイルを開いてしまうという問題がある。こうした従業員の意識も改革していかなくてはならない」と指摘。「企業におけるセキュリティレベルの設定には、テクノロジ(新技術の導入)、オペレーション(攻撃の分析、対策の実施)、ユーザビリティー(利便性、自由度)といった3つの要素をバランスよく捉えることが必要。偏ったセキュリティ対策は事故のもとになる」と訴えた。
“野良IoT”の危険性
モノのインターネット(Internet of Things:IoT)に関するセキュリティ対策についても言及した。
小山氏は「脆弱なブロードバンドルータが踏み台となって、さまざまな攻撃が発生している。機器の脆弱性を外部から悪用し、第三者が攻撃するもので、数百台のルータで最大70Gbpsのトラフィックにのぼる“リフレクション”攻撃が行われるといった例も出ている」と具体的な例を挙げた。
「悪意の第三者が家庭用ルータのパスワードを不正変更して、攻撃の踏み台として利用したり、悪性サイトの設置、運用などに活用したりといったケースもある。摂取したアカウントで爆破予告やテロ予告などに利用されるなど、犯罪の温床になる場合のほか不正プロキシを運用して、ネット銀行に不正送金したり、IP電話では海外通話に使用され、高額請求の課金被害が発生したりといった例もある」
IoTでは、250億個のモノがネットワークに接続されるという予想がある。これに関連して小山氏は「ネットワークに接続されたモノが管理者不在であること、10年以上、使われることになるモノにどうセキュリティ対応をしていくかを考えていかなくてはならない」と指摘した。
小山氏は「誰も管理していないIoTは、極めて大きなリスクを持っていることを認識する必要がある。IoTは、管理されたネットワークにつなげることが大切であり、Internet of Thingsではなく、“Intranet of Things”であることが重要だ」とIoTに潜むリスクに言及。今後を見据えて、こう提案した。
「脆弱なモノの持ち主を探して対策を呼びかける“Secure IoT Framwork”を構築し、その通知に関わるコストをいかに下げるかといったことを考えていく必要もある。放置されたIoT、いわば“野良IoT”を極力作らない仕組みが必要であり、やむを得ない場合にはIoTをネットワークから切り離したり、通信の秘密や不正アクセス禁止法などによる適法性の担保も重要である」
小山氏は「IoTが今後のセキュリィベンダーの勢力図を変えていくことになるだろう」とも指摘した。