ニアミスだった2人のペンテスターが語る「ここが変だよ、日本のセキュリティー」

やまないフィッシング詐欺、監視から見えてくる世界的な“つながり”

大角氏2018年もそうでしたが、2019年もフィッシング詐欺が一番メジャーな攻撃手法になると思います。この傾向はおそらく今後も続くでしょう。フィッシング詐欺はあまり手間をかけずにできる攻撃手法で、攻撃者は本物のアカウント情報を手に入れることができます。それをそのまま第三者に売ったり、自分で不正ログインに使って、そこから何かしら悪さをしたりしてもいいわけです。攻撃者はこうしてお金を稼ごうとするので、非常に警戒しています。2018年から佐川急便さんの社名が悪用されているため、佐川急便さんはホームページで広くユーザーに注意喚起を行っています。他にもヤフーを含めて日本の多くの企業がフィッシングサイトを作られており、それぞれの企業が上記佐川急便さんと同様にユーザー保護を第一に考え注意喚起を行っています。

辻氏義援金詐欺もありましたね。

大角氏はい。西日本豪雨での義援金特集サイトを公開したら、すぐにフィッシングサイトを作られました。「これは許せない!」と速攻で対応しました。辻さんも継続的にフィッシング詐欺に使われるサイトを追いかけていますよね。

辻氏そうなんです。今では東京駅なんかでとある運送会社の本物の広告を見ても、「あ、フィッシングサイトだ」って思っちゃうくらい(笑)。おそらく軽く1000以上のドメインは見ていますね。最近は攻撃に使われるドメイン名が変わったり、前に悪用した企業名やブランドの同業者の名をかたったりと、いろいろ変化しています。残念ながら、攻撃者は相当もうかっていますね。攻撃側の“エコシステム”は脅威ですよ。

大角氏佐川急便さんになりすました偽サイトを使う攻撃では、アクセスがAndroid端末からだった場合に遠隔操作をする偽アプリをインストールさせて、そこからユーザーのアドレス帳の情報を抜き取ったり、他人にSMSを送り付けたりできてしまいます。iPhoneからの場合はApple IDを盗み取るなど、別の攻撃をされてしまうようです。

辻氏攻撃の仕組みが“ハイブリッド”になっていますよね。

大角氏それに、報道で解説しているフィッシングサイトの見分け方が不十分だと感じています。よく本物のサイトとフィッシングサイトの画像を横に並べて、「正しいサイトはココにボタンがありません」といったように、見た目の違いばかりを説明しています。しかし、今のフィッシングサイトは本物を丸写ししていますから、そんな方法では見分けられません。それよりもドメイン名を確認すべきですし、そもそもメールが来ても中にあるリンクをクリックしないといった基本的な心がけが大切です。いつも利用する本物のサイトをブックマークに登録して、そこからアクセスするか、検索してアクセスするように教えるべきです。

辻氏それにAndroid端末では端末によっては、初期設定でサードパーティーのアプリのインストールを許可してしまっている場合があります。設定で必ず確認し「許可しない」をチェックするのも大事ですね。

 ところで、サイバー攻撃者が正規のサービスを悪用するケースもあります。ヤフーではどんな状況ですか?

大角氏そうですね、具体的には言えませんが、アカウントの悪用を検知する仕組みを強化し、悪い点が見つかれば機能を制限したり、アカウントを停止したりする対応をしています。アカウントの悪用はユーザーへの被害に直結しますから、かなり力を入れている点です。

辻氏正規ユーザーのアカウントが乗っ取られる場合と、攻撃者がアカウントを作成して悪用する場合のどちらが多いのでしょうか。 というのも、正規ユーザーのアカウントが乗っ取られた場合、いきなり停止されるのは厳しい対応になってしまう気がします……。

大角氏実際に止めるまでは幾つか段階があります。一時的に止めて追加情報で本人を確認したり、スパマーが攻撃できないようにメール機能だけを無効にしたりと、細かく制御します。ですから、機械的に完全にIDを停止することはしていません。

知的好奇心を満たすだけでなく、対策を伝えるために「敵」の動きを追跡

大角氏僕はもともと、サイバー犯罪者の動きを追うことにすごく興味がありました。今のインシデントレスポンスの仕事もそうですが、悪い人間と向き合い、いろいろ探ることで、「このような攻撃が来るからブロックしておこう」という対処ができます。

辻氏僕も一時期、Anonymousに代表されるようなハクティビストの動きに興味を持って見ていました。Twitterアカウントに直接話しかけると普通に答えてくれましたが、自分たちにない考えや行動原理が何かを知るのは、文化的にも今まで知らなかったことや違う発想、生活環境が見えるという意味では興味深かったでですね。もう一つ、犯罪者同士の関係性がどうで、どのように動いているかにも興味があります。例えばEmotetやTrickbotといったマルウェアが侵入していたインフラを使って、別のランサムウェアが侵入するようなことがあります。それらがどうつながっているか、というところは興味深いですね。

大角氏犯罪者の「エコシステム」ですね。既に脆弱性がある古いWordPressやDrupalを使っていることを分かって攻撃している人もいるかもしれません。彼らが本当に協調しているのか、それともたまたま相乗りしているのかは分かりませんが、興味深いところです。ただ、それが分かったところで、僕らがやるべきことは変わりませんよね。その追跡ばかりに興味を持ってしまうと、ただの噂好きで終わってしまいますし。

辻氏そうですね。僕らは、そういったつながりを追いかけつつも、「じゃあ、やることは何か」を伝えるのが大事だと思っています。「その攻撃を誰がやっているのか」という視点は、話としては面白いんですが……。

 センセーショナルな話になり、注目されやすいですが、僕らはどちらかというと、IoC(Indicator of Compromise:サイバー攻撃などの痕跡情報)の方に目を向けて、それらをどう活用してIPS(不正侵入防御システム)やProxyで防いだり、ログを確認して外部への通信が発生したりしていないかを見ていくことが大事です。IoCに目を向けてもらう背景として、「こんな話がありますよ、だからこうすることが大事ですよ」というのを伝えていくべきではないかと、(2015年に発生した)日本年金機構への攻撃の頃から考え始めました。

大角氏日本のセキュリティー業界では、セキュリティー人材不足はずっと言われ続けていますが、具体的に、「ではどうする」というのはなかなか難しいですね。

辻氏よく2020年に向けて人材育成が急務と言う話を聞きますが、あと1年もない今、どんな施策をして、どのくらい人材を確保できて、どのくらい足りないのかっていう話が全然聞こえてきませんね。

大角氏そうですね。

辻氏それで少し心配なことがあります。以前、何人かの学生に「どうしてセキュリティーの仕事をしたいのですか?」と聞いたら、セキュリティーの人材不足の話を真に受けているのか、「食いっぱぐれないから」と答えました。2021年にも同じことが言えるのかなって考えると、これでいいのかと……。

大角氏セキュリティーの仕事は、ITの基本を身につけないと、そのうちに行き詰まることが多いですね。ですから、学生のうちはコンピューターサイエンスを学んだ方がいいと思います。僕もそうですが、その先で、ウェブがやりたいならそうした会社に、ネットワークがやりたいならISPに行って一般的なシステムやサービスの構築を学んでからセキュリティーに行った方がいいですよね。

辻氏そう思います。セキュリティーに限らず、「こうした方がいいですよ」とアドバイスをする側が現場のことを分かっていなければ、誰もそんな人の話を聞いてくれませんからね。

大角氏もう1つの心配は、希望とのミスマッチです。学生さんには(サイバー演習などで)攻撃を仕掛けるレッドチーム側をやりたがる人が多いのですが、企業が求めているのは防御するブルーチーム側なんですね。ブルーチーム側に入ってみると、パッチを当てるといった地味な作業が多く、学生さんは以前から想像していた仕事と違うと感じてやめてしまうケースがあります。どうしてもレッドチームをやりたいというのであれば診断ベンダーぐらいですが、そこもどんどん自動化が進みそうです。

辻氏「人材」という意味では、ロジカルに物事を考え、文章にできることも大事だと思います。テクニカルな部分もありますが、自分が好きで価値があると思う仕事なら、なおさら、それを同じチームのメンバーや他部署の方、経営層などに説明できる能力があって、はじめて価値を発揮できるでしょう。例えば「BEC」(ビジネスメール詐欺)がどういうもので、どんな人がどのように狙われるのかを伝えられ、他部署の詳しくない人たちにきちんと伝え、理解を得て、対策の実行を調整できる能力が求められるのではないでしょうか。これについてセキュリティーが特別ということではなく、どこでも必要な能力だと思います。会社の中でそれぞれの職種にしていることが違うだけですからね。

大角氏企業にとってのリスクは、セキュリティーに限らずいろいろあります。財務関係のデューデリジェンスを財務のプロが対応するように、僕たちの場合はそれがサイバーセキュリティーということですね。

辻氏大角さんといろいろな話をしていて、「前の職場をやめるのがちょっと早かったな」と思いました。大角さんと一緒に取り組んだり、悩んで意見を戦わせたりしながら、何かを作ることができたらよかったなって。

大角氏辻さんとこうしたお話をしたのは初めてでしたが光栄です。とても有意義でした。何より、あらためてセキュリティーのこと、日本がどうしたらもっとよくなるかを真剣に考えている方なんだなと思いました。

提供:ヤフー株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2019年9月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]