分かった攻撃手法も公開すべき?
そもそも日本では、「悪用されるリスクがあるから」「他はみな公開していないから」といった理由からか、サイバー攻撃の手法や使われたマルウェアのハッシュ値、URLなど、詳細な情報は非公開となるケースが多い。
EGセキュアソリューションズの徳丸浩氏
徳丸氏は、「海外のブログなどでは、PoCなどが積極的に掲載されている。そういうところから変えていかないと、日本は追い付かないのではないか。欧米並みにしたいなら、もっとオープンで荒々しい世界にならないと、情報を提供する側も出しづらい。そういう意味も含めてセキュリティの『成熟』が進まなければ、日本での研究も進まず、海外頼りのままではないか」と述べた。
また辻氏が、社内の若手エンジニアに「調べたことを発表してみて」というと、「いや、自分の話なんてとてもとてもと反応する人が多いという。「けれど、自分の持っているものの価値を決めるのは自分じゃない。情報を出し合っている人は味方同士。自分が持っている情報に価値がないと思い込まず、一ミリでもいい、一個でも良いので出して、寄与する方向に持っていかないと、全体で守ることはできない」(辻氏)
加えて根岸氏は、「情報を出した側にフィードバックがあると、さらに出しやすくなるかもしれない」とした。
徳丸氏は、Apache Struts2の脆弱性を悪用され、情報漏えいにつながってしまったGMOペイメントゲートウェイ(GMO-PG)のケースを例に、万一侵入されたとしても攻撃を遅らせることや、攻撃者の狙いを達成させないための手法にも注目すべきではないかと述べた。
「このケースの対応はすごく早かったと思う。だが、それでもやられてしまった。それなら、どうすればよかったか。もう少しウェブアプリケーションファイアウォールがうまく設定されていたり、バックドアを引っ掛けるためにファイルのパーミッション設定を厳しくしておいたり、データ領域についても改ざんを検知したり、あるいはSELinuxを外さなかったり、外部向けの通信を制御するといったことをしていれば、少なくとも攻撃を遅らせることができただろう」(徳丸氏)。
攻撃への対応は時間との勝負であり、「遅らせる」ことは非常に重要だという。「情報をすばやくキャッチし、備える、という合わせ技で、侵入を前提とした被害緩和策を今こそまじめに考えるべき」と、徳丸氏は提起した。
この件に限らず、最近は自社で発生したセキュリティインシデントについて詳細な報告書を公開する企業が増えている。「踏み込んだ内容の報告書が出るようになったのは、いいこと。そこから教訓が得られ、とても参考になる」(根岸氏)。
