深刻さを増す セキュリティー侵害

サイバー セキュリティーの侵害を公表するのは、ほとんどの企業にとって気の進まないことであるにもかかわらず、サイバー攻撃の報告は毎日のようにニュースで取り上げられています。2013年にハッキング攻撃を受けた組織は、Google、Facebook、Sony Pictures、Acer Europe、米国公共放送サービス（PBS）、Fifth Third Bank、Ubisoft、世界自然保護基金（WWF）、カンボジア国家軍事警察および『The New York Times』誌までもが攻撃対象となりました。

ハッキングを受けるリスクは日々増加しています。企業は、製品モデル、従業員データ、金融サービスへのアクセスだけでなく、発電所や化学工場のような、細心の注意を要するシステムの制御でさえオンライン化を進めています。また、さまざまな個人デバイスから社内ネットワークへの接続を許可する対象者も従業員、契約業者、顧客と増加しています。そこに様々な動機や目的にかきたてられ、集まってくるハッカーたちの数や規模は想像を絶します。たとえば、ある従業員が間違った電子メールを不用意にあける等の小さなほころびをうかがっていたハッカーがバックエンドデータベースに侵入して組織の貴重な情報資産を盗むといったことが起こり得るのです。専門家の見解は一致しており、今や組織がハッキング攻撃を受けるかどうかが問題ではなく、それがいつ起こるかが問題なのです。

脅威の規模

米国イリノイ州シカゴに本拠を置き、ネットワークへの侵入に対する対応と修復を支援する製品を組織向けに提供するTrustwave社は2013年3月、「2012年度中、ほぼすべての業界、国、データタイプ等に関わらず何らかの侵害行為に巻き込まれた事がある」という驚くべき評価結果を発表しました。一方でウイルス対策企業のNorton社は、サイバー犯罪の被害総額は世界全体で3,880億米ドルに上り、世界の麻薬取引総額である4,110億米ドルに近づいていると推定しています。

携帯電話事業者であるVerizon社が公的組織と民間企業を含む世界18の法執行機関やデータ保護組織の支援を受けて作成した「2013年度データ漏洩/侵害調査報告書（DBIR）」によると、2012年だけで4,400万件のレコードが侵害の対象となりました。しかしこれは確認できただけの数字で、実際はこれをはるかに上回ると考えられます。

データ損失は、侵害を受けた組織に重大な経済的被害を及ぼす可能性があります。しかし正確な損失額は、侵入された期間と、何が盗まれたかによって変わります。損失額は、被害を受けた組織の所在地によっても大きく異なります。

侵害の金銭的損失がどの程度かにかかわらず、ネットワークへの侵入はきわめて破壊的な影響を及ぼす出来事です。米国カリフォルニア州に本拠を置くWebアプリケーションセキュリティー企業Cenzic社でチーフ・マーケティング・オフィサーを務めるBala Venkat氏は、次のように述べています。「化学工場であれ、原子力発電所、金融機関、医療関連組織に至るまで、セキュリティー侵害の影響は変わりません。攻撃を受けた組織は機密データや金融資産を失い、さらには業務上の安全性が脅かされる可能性があります。」

引用統計：Verizon 社 2013年度データ漏洩/ 侵害調査報告書t

当然ながら、診療所をハッカーから守るのと国家が化学工場や原子力発電所へスパイ行為を目的として侵入するのを防ぐのとでは対策が異なります。Verizon社のRISK（Researching and Investigating Solutions Knowledge）インテリジェンス部門でマネージングプリンシパルを努めるWade Baker氏が言うように、資産保護を目的として、一つのアプローチをやみくもに適用しても、ある組織にとっては不十分、他の組織にとってはコストがかかりすぎるという事態に陥る可能性があります。

「2012年度に、ほぼすべての業界、国、データタイプが何らかの 侵害行為に巻き込まれました。」

Trustwave 社
（ネットワークへの侵入に関するコンサルティング企業）

Baker氏は次のように述べています。「組織は、どのような種類のハッカー・グループが自分たちを攻撃しようとするか、どのようなデータを自分たちが保有しており、誰がそれを欲しがるかという点を自問する必要があります。次に、ハッカー・グループはどんな手法を使うのかを考えるのです。そうすれば防御の範囲を絞り込めば、問題となる可能性の高い脅威や脆弱な点を優先的に取り組むことができます。」

ハッカーの特徴

ハッカーは、自分たちが欲しいものとターゲット組織が保護しようとしているものが異なる場合でも、セキュリティーの弱いシステムを足掛かりとして、そこから銀行、国の電力網、集中制御型交通システム等、より魅力的な標的に攻撃を仕掛けます。

攻撃の標的と戦術は、その背後にいるグループの性質と動機によって異なります。DBIRによると組織的な犯罪集団は、転売できる財務記録やハードウェアリソースを標的にする傾向があります。一方サイバースパイは、知的財産や企業機密をねらう場合がほとんどです。また、ウィキリークスなどのハクティビストグループは、ターゲット組織の評判をおとしめたり、不正の疑いのある行為や実際の不正行為を暴いたりすることを目的としています。

国連の専門機関である国際電気通信連合（ITU）の執行組織としてマレーシアに設立された対サイバーテロ国際多国間提携（IMPACT）でグローバル対応部門のマネージャーを務めるShahbaz Khan氏は、次のように述べています。「われわれが見てきたのは、組織は自分たちの敵が誰であり、攻撃の動機が何であるかを把握しておく必要がありす。誰が危害を加えたがっていて、それにより何を得るのかがわかれば、組織と情報をより効果的に保護できるようになります。」

クラウドの現状

それでは、データが社内に置かれていない場合はどうでしょうか。一元管理されるサーバーファームで、顧客のデータとアプリケーションをホストする「クラウドコンピューティング」サービスが普及しつつあります。これは、一部にこうしたサービスが、セキュリティーと保守にコストのかかるインフラストラクチャを組織から一掃するとうたわれているためです。クラウドプロバイダーは数の増えたモバイルワーカーにもサービスを提供し、どこからでもインターネット経由で重要なプロジェクトやリソースにアクセス、管理できるようにしています。

多くのセキュリティー専門家が警告しているとおり、データやプロジェクトをクラウドに移動すると、特有のセキュリティーリスクが発生します。これは、非常に多くの企業のデータが一つの場所に集められるという、攻撃者にとっては手を出さずにはいられない魅力的な状況が生まれるためです。その逆に、貴重な資産を自宅ではなく銀行の金庫に預けることにクラウドコンピューティングを例える専門家もいます。米国カリフォルニア州に拠点を置くネットワークセキュリティー企業Fortinet社でEMEA脅威対応チームのシニアマネージャーを務めるGuillame Lovet氏は、次のように述べています。「個人で保管するよりも備えが整っている銀行の方が安全と考えるのは自然です。それが仕事なのですから。」

Trustwave社でデジタルフォレンジックとインシデント対応を担当するディレクター、Chris Pogue氏は、少なくとも今のところ、クラウドサービスが組織犯罪集団の主要ターゲットになっているわけではないと述べています。「現時点では、クラウドベースのセキュリティー侵害は多くありません。今後もこの状態が続くとは限りませんが、クラウドでの侵害が原因で組織が大きな被害を受けるようになるのは、まだ先のことだと考えています。」
ただし、この状況もクラウドにデータを移す企業が増加するにつれて変わる可能性があると、Pogue氏は述べています。「この手の標的に興味を持ちそうなハッカーの大半はすばやく入手して販売できるデータを探していますが、そのようなデータは現時点でクラウド上にはほとんど存在しません。」

ハッキングされたら何を すべきか?

ハッキングされた場合、セキュリティー対策として実装したすべての保護レイヤーが破られています。この時点で侵入を検知する方法は一般的にはネットワークやワークステーションの動作と通信の様子を調べていつもと違う点を特定する以外にありません。攻撃を受けるリスクの高い一部企業ではセキュリティーの専門家を雇ってネットワークトラフィックを徹底的に調査してハッカーの活動を示唆する疑わしいパターンを捜します。

Fortinet社のLovet氏は、セキュリティー侵害が検出されたらまずネットワークを停止すべきだと説いています。そのうえで侵害されたシステムを特定してネットワークから切り離し、他のシステムへの攻撃や感染に使われないようにすることを推奨しています。

Lovet氏は次のように述べています。「ここから電子情報の科学捜査が始まります。ハード・ディスク・ドライブの膨大なオフライン解析が必要となります。侵害されたシステムからは虚偽の情報が意図的に返される可能性があるため、侵害されたシステムを単純に解析しても意味がないのです。」

攻撃者の侵入を防げない場合は侵害を最小限に抑えるために事前に攻撃に備えて準備をし、すばやく対応できるようにしておく必要があります。セキュリティー技術、人員および、プロセスなどの防御レイヤーを何層にも重ねることで、堅固な防御が実現するというのが専門家の一致した意見です。

IMPACTのKahn氏は次のように述べています。「守るべき重要機密を保有している場合、何層もの強力な保護が必要です。どのセキュリティーシステムも破られるおそれがあり、保護を施さない状態は許されません。それができないのなら、貴重な資産を社内ネットワークには置かないようにすることを検討すべきです。」

次に、皆が実施している対策に甘んじるべきではないとも述べています。「既存の『ベストプラクティス』は、今日の脅威に対抗するには不十分です。集団に従うのではなく、必要なことを実施する必要があります。」

3つ目のアドバイスとして、企業が想像力を働かせるべきだと述べています。「他の企業では無視されているような制御手段でもためらわずに採用してください。たとえば、Trusted Platform Module（TPM）に基づくデバイス認証は、実装と管理が比較的容易でありながら悪用されることがまれで、強力な制御レイヤーとなります。完璧ではないソリューションをいくつか組み合わせる方が、理想的な単一レイヤーのセキュリティーよりも良い結果が得られます。」

最後にKahn氏は、最悪のケース想定したシナリオを策定し、訓練を積んでおかなければならないと説いています。「このシナリオは、従来の事業継続計画を上回る最悪の事態を想定するもので、偶発的なシステム停止などからの復旧を目的とはしません。極端な状況や大規模なデータ損失が起きたときに手際よく取るべき対策を定めるためのシナリオです。」

Wim Remes氏は、米国ワシントン州シアトルに本拠を置き、ソフトウェアとハードウェアに関する保証サービスを提供するIoActive社でマネージングコンサルタントを務めています。Remes氏は、組織が備えられる最も重要なサイバー能力は、いつなんどきでもすばやく障害対応モードに切り替えられる能力であると考えています。

Remes氏は次のように述べています。「それなりの規模をもった組織では、複数の部門が協力し、脅威を監視して必要な対応を行うチームを設けて、脅威に直面した企業が陥りがちな『パニックモード』を防ぎ、業務を遂行するプロセスに脅威に対する意識を浸透させる必要があります。この能力を獲得できれば、重要なプロセスへの影響を最小限に抑えて迅速な対応がとれるようになります。」◆

Brian Krebsは、サイバー セキュリティー関連の最新情報と調査結果の報道を専門とし、毎日のように更新されるニュースサイト、KrebsonSecurity.com の記事を執筆しています。また、これまでに作られた主要なサイバー犯罪グループの盛衰をたどった『Spam Nation』（近日刊行予定）の著者でもあります。

国家ぐるみのハッキング

米国バージニア州に拠点を置くセキュリティーコンサルティング企業のMandiant社は、2013年、企業秘密を盗むために中国が国家ぐるみで行っていた7年間のハッキング行為を記録したレポートを発表してサイバー セキュリティーの関係者に衝撃を与えました。

Coca-Cola社やLockheed Martin社を含む150の組織が広範囲にハッキングされていたと、このレポートは記載しています。特に衝撃的なのは、世界中の企業に攻撃を仕掛けている中国チームはレポートで詳述されたグループを含め、20以上も存在すると明らかにした点です。

Mandiant社の最高セキュリティー責任者であるRichard Bejtlich氏によると、フォーチュントップ1000の企業の約40%は常に中国政府が支援するハッキングチームによるAPT（Advanced Persistent Threat）攻撃の標的となっています。「これらのハッキングチームは任務と標的情報について指示をうけ、その任務の遂行を命じられます」とBejtlich氏は述べています。

APT攻撃には、緊密に組織化され、明確な目標を持ったハッカーチームが必要となります。これらのハッカーは多くの場合、以前には知られていなかったソフトウェアやハードウェアの脆弱性を発見してそれを利用し、高い価値のあるターゲットに侵入します。

「APT攻撃との闘いは何年も続くことが少なくありません。ターゲット企業のガードが固くなると、APTグループはターゲット企業のビジネスパートナー経由で侵入しようとします。パートナー企業がセキュリティーホールをふさぐと、アウトソーシング先の技術サービスプロバイダーを足掛かりに侵入が試みられることもあります。国家ぐるみの攻撃やAPTレベルの攻撃の標的になってしまった企業の経営陣は、それ以後、常にこの問題につきまとわれることになると理解する必要があります。」.

下記のサイトにVerizon社の「2013年度データ漏洩/侵害調査報告書（DBIR）」の全文が掲載されています。 www.verizonenterprise.com/jp/DBIR/2013/