このページの本文へ

「防御より、戦うという意識を持ってほしい」と呼びかけ

事件の教訓から学ぶ!ヤフー流サイバー攻撃対策術

2014年07月10日 06時00分更新

文● 谷崎朋子

  • この記事をはてなブックマークに追加
  • 本文印刷

7月8日、マクニカネットワークス主催「Macnica Networks DAY 2014」の基調講演で、ヤフーの高元伸氏が昨年同社で発生した標的型攻撃事件を振り返り、サイバー攻撃に対する考え方や防御策について語った。「防御ではなく、戦うという意識を持ってほしい」と高氏が会場に呼びかけた同講演をレポートする。

ツールもCUIも使いこなす高度な攻撃集団に遭遇

 「サイバー攻撃は確率の問題ではない。攻撃者は確実に存在し、誰もが攻撃に遭遇する可能性がある」。基調講演の冒頭でこう断言したヤフーの高元伸氏は、昨年発生した一続きと見られるYahoo! Japanの標的型攻撃事件を振り返った。

ヤフー 社長室リスクマネジメント プリンシパル 高元伸氏

 攻撃キャンペーンに最初に気付いたのは、2013年4月のことだ。認証サーバーから大量のアカウント情報を抽出し、ファイルに固めるプロセスが検知されたのだ。気付いた担当者は、同プロセスを実行しているアカウントの管理者に連絡し、覚えがないと返答があったので、すぐにプロセスを遮断。幸いなことにファイルは外部へは流出しなかったが、「認証サーバーに、しかも管理者権限でアクセスされている事実は重大。関連経路などの調査を開始した」(高氏)。

 しかし翌月には、4月時点で洗い出せなかったバックドアから侵入され、データ持ち出し事件が起こった。今回はファイルに落とすのではなく、1分間に数万単位のデータをコンソール経由で抜き出しており、プロセスは遮断したが、不可逆暗号化されたパスワードと、パスワードを忘れた場合の再設定に必要な情報の一部が148.6万件流出した可能性は高いと発表された。

 そして10月、社内の業務用PCがゼロデイ攻撃に遭い、社内のドメインコントローラーへの踏み台に悪用される事件が発生したという。このインシデントは、パスワードダンプを検知して早期に遮断できたため、サービスやユーザーが影響を受ける前に食い止めることができた。

昨年Yahoo! Japanが受けた、同一キャンペーンと思われる標的型攻撃の事例

 一連の攻撃を受けて、高氏は「攻撃者はツールもコマンドラインインターフェイスも使いこなし、導入していたサンドボックス型製品をすり抜けるなど、高度な技術力を持っていることが分かった。協力を要請したセキュリティ専門企業によれば、手口が海外のサイバー攻撃専門集団と非常に似ているらしい」と明かす。

 詳細な調査を実施したところ、4月の検知から遡ること数週間もの期間、攻撃者はすでに侵入しており、システム内を探っていたことが判明した。マルウェアについても、ヤフーの社内IPアドレス範囲にのみ反応するよう作りこまれており、その他さまざまな調査結果を照合してみても「あきらかにヤフーを標的にした攻撃だった」と、高氏は述べる。

攻撃の実体験を踏まえた対策の考え方

 こうした攻撃は防ぐことができるのか? 高氏は、4月のインシデント発生から約4か月間、短期で実施した対策をいくつか紹介した。たとえば、重要サーバーでの二要素認証の導入、ログ監視体制の強化、社内ポータルや研修を通じた社員のセキュリティ意識向上などが挙げられる。特に、意識向上の取り組みとして行った経営層向け研修は、現場で何が起きていてどう考えるべきかを整理し、現場の感覚を洗い出す効果があったという。

インシデント発生から約4か月間で実施した対策

 具体的な対策ポイントは、次のとおりだ。

  • 自社システム内や情報の配置場所など、社内状況を把握する
  • データやリスクに応じてネットワークをセグメント化する
  • ネットの出入り口をさまざまなセキュリティ対策で固める
  • 重要なセグメントの境界などに侵入検知システムを配置する
  • 社員教育
  • 四半期に1回は情報資産の管理状況と突き合わせて対策の見直しを図る

 社内状況を把握することは、自社のリソースや予算などのバランスを考え、導入するソリューションを判断する指標になると、高氏は言う。そして、自社の対策チームが効率的かつ柔軟に動けるよう、システムを作り替えることも提案した。

 「(事故を未然に防ぐには)アラート通知から分析、プロセス遮断までの時間を稼ぎ、攻撃者が本丸に到達する前に対処することが重要で、そうしたソリューションを導入するべきだ。その内容は、封印が破られたら通知するだけのものでも構わない。薄皮でもいいから多層防御を行ない、何かあったらすぐに知らせる仕掛けを考えたい」(高氏)。

 また、高氏は攻撃者の視点を持つことも必要と述べる。「犯罪者の層は広がっており、分業化も進んでいる。他業種の攻撃事例を対岸の火事で終わらせず、全体の動向を注視しながら、類似の攻撃を受けたとき対処できるのか、そもそも同様の攻撃を受ける可能性はあるかなどを検討してほしい」。

 社員教育についても、エンドポイントは最低限防御するべきと高氏は強調する。たとえば、PCで何か怪しい挙動があったら必ず報告する、機密性の高い情報を高セキュリティエリアから低セキュリティエリアに置いたままなど不用意に扱わないといったような高い意識を社員に持たせることも重要だ。

 補完する対策として、ヤフーでは何かあった場合は社内掲示板に投稿し、セキュリティチームや技術チームが確認、調査できる仕組みを作っているという。同掲示板は、最新の脅威事情の情報交換にも役立てられている。

業務端末で実施すべき最低限の防御

 「サイバー攻撃で一番悔しいのは、攻撃行為を止めさせられないことだ」。そう述べる高氏は、攻撃者に対して警棒で殴り返すことはできても、迎撃して相手のシステムを破壊することは難しく、防御には限界があると漏らす。

 「複数社や政府機関と情報連携できれば、いずれは可能になるかもしれない。それまでは、バランスを取りながら自社でできる最大限の対策を実施したい」(高氏)。

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード