経営者のためのセキュリティ〜ハッカーの手法から。
はじめに
2024年6月8日 KADOKAWAグループのサーバ群がサイバー攻撃を受け、ニコニコ動画などをはじめとする主要サービスが停止。業務システムなども影響を受け、KADOKAWAグループは、大きな損失を被るとともに、犯人グループが個人情報を含む漏洩データを公開するという、なかなかにパンチ力のある事態が発生しました。
ネット上には、それを嘲笑うかのようなコメントが溢れていますが、実際のところは明日は我が身です。戦々恐々としているITインフラエンジニアも少なくないでしょう。
経営者諸氏におかれましては、もちろん危機感を持たれて対応に当たられている方もおられるわけですが、世の中の大半は、自分の会社はそう大きくないし、お金もない、IT企業でもない。と言って遠い国の出来事だと思っているのではないでしょうか。
日本でも個人情報保護法が改正され、悪意ある第三者の侵入による被害は、国の個人情報保護委員会への迅速な報告が義務付けられました。さらに情報が漏洩した個人への通達も義務付けられたため、毎日のように個人情報の漏洩やランサムウェア被害が発表される事態になっています。
しかし、ランサムウェアなどで営業を妨害されたり、明らかにシステムに異常がない限りは、侵入の形跡に気づいていないというパターンがほとんどです。
しかし、知らぬが仏では済まされない世の中になりつつあります。その現状と対策を書いていきたいと思います。
何も対策していないネットワークにはすでに侵入されている
よほど運が良くない限り、何も対策していないネットワークにはすでに侵入されていると考えて良いと思います。放置されているサーバやネットワークはハッカーたちにとってとても都合のいい攻撃拠点です。
うちには取るものがない…という人もいるかも知れませんが、結構な確率で、別の相手を攻撃するための拠点になってしまっています。
攻撃元を調べていくと、謎の情報商材屋のブログサイトに到達したこともあります。IDとパスワードだけで管理しているようなレンタルサーバが中継されているなんてことはよくあるのです。
知らないうちに加害者になっているかも知れません。
ハッカーはどのようにして社内に侵入してくるか
ハッカーと聞くと、ものすごい頭の良い凄腕のITエキスパートが、ものすごい速さでキーボードを叩いて・・・みたいな世界を思い浮かべがちですが、そこまで難しいことをしているわけでもないのです。
まずは、オートでポートスキャンをランダム行い、侵入口を探すという感じで巡回しています。入れそうな入り口を見つけるとそこに対して、色々な攻撃を試してみます。そして脆弱性を見つけると重点的に攻撃を始めるという流れです。
2023年から2024年のトレンドだと、SSL-VPNポートからの侵入が多いと思います。一台で色々な機能を提供しているUTMアプライアンスの脆弱性を利用しています。
WEBサイトの脆弱性をついて、サーバを乗っ取るというのもよくあるのですが、適切にDMZが設定されていれば、社内への侵入まで許すことはまずありません。
コロナ期間中にリモートワークが推進され、ITインフラエンジニアたちは、早急なリモートワーク環境の構築を迫られました。セキュリティを一時的に緩和した会社も少なくないと思います。
セイキュリティを担保するはずだったUTM機器の脆弱性を利用して侵入してくるのでタチが悪いのです。ほとんどの会社がI Dとパスワードのみの組み合わせでリモートワークを行なっていると思いますが、IDとパスワードだけではすでにパンツ一枚しか履いていないのと同義で、すぐに侵入を許してしまうでしょう。
社内へ侵入したらどこを目指すのか
社内へ侵入したらまずは、バックドアの設置を目指します。バックドアを至るところに設置するまで、ハッカーは比較的大人しくしていると思います。
これも案外簡単に設置されてしまいます。社内にはセキュリティアップデートのされていない24時間電源の入っている、みんなが便利に使っているサーバが至る所に置いてあったりします。みんなが便利に使ってしまっている野良サーバ。IT部門が管理していたとしても社内だから。と言ってセキュリティアップデートが長期間されずに放置されているサーバなんて至る所にあったりします。
セキュリティの甘いサーバへ侵入したら、まずはバックドアの設置をします。これで簡単にいつでもそのマシンへのアクセスができるようになります。バックドアは、大体リバースプロキシの機能を使っています。バックドアも元々ある実行ファイルを改変して偽装したり、最近は偽装も巧みになってきています。専門家でも見落とすことがあります。
リバースプロキシを設置したら、色々なハックツールをダウンロードして、さらに攻撃の手段を増やしていきます。もちろんリバースプロキシは、複数設置しておいて複数侵入経路を確保します。
ある程度、セキュリティの甘いサーバを掌握したら次は認証系のサーバを目指します。認証系のサーバは、Windows ServerのActive Directory機能を使っている会社が多いのではないでしょうか。公になっていない事例も含めると結構やられています。ここでは割愛しますが、Active Directoryの乗っ取り方法についても割と昔から同じような手法が使われています。認証系のサーバは乗っ取られてしまうと致命的であるにも関わらず、メンテナンスを頻繁にできないというジレンマがあると思います。なので、社内の脇の甘いサーバがActive Directoryサーバだったなんてことも多いのです。
そうしてActive Directoryを掌握されたらあとは時間の問題です。認証サービスを利用しているデータストアを探し、ある程度実態を把握しデータをダウンロードしたり、暗号化を開始します。
なので、ある程度の規模の会社で、社内へ侵入されて大事なデータを暗号化されてしまった!というパターンは高確率で認証系サーバの乗っ取りが前段としてあるのです。
そのほかにも、社員がウィルスを持ち込んでしまい、バックドアを設置されてしまうというパターンもありますし、悪意のある第三者が社内に紛れ込み不正な機器を設置していくということもあります。まさかと思うかも知れませんが、よくわからない小さな箱がネットワークスイッチにぶら下がっていたという事案もたくさんあるのです。
経営者のためのセキュリティ
正直ここまで書くと、社内のセキュリティを担保することがいかに難しいかわかると思います。最近は物理的に客として社内に侵入し、不正な機器を取り付けていくというような事案まで発生していますし、脇の甘いサーバは社内にゴロゴロ転がっています。毎日脆弱性は報告され、そして攻撃者は常に未知の脆弱性を探しているのです。
あなたの会社は今、デジタル的に完全にクリーンな状態だと胸を張って言えるでしょうか。ほとんどが、自信が持てないはずです。
ここで大半の経営者、IT部門が陥るのは、何か強力なソリューションはないのか。これさえ入れておけば安心というものを探すでしょう。
しかし、何かひとつ入れておけば全てのセキュリティが担保されるようなソリューションは私が知る限り今のところありません。
インターネットから隔絶されていて、社員以外の出入りを禁じ、通信機器の持ち込みが制限されているような場所ならいざ知らず。そんな場所では一般的な仕事は成り立たないからです。
くれぐれも某有名俳優がコマーシャルをしているソリューションを何も考えず導入するのはやめましょう。
警察や司法は助けてくれない
警察や司法へ訴え出るのは当然の権利ですが、毎日山のような攻撃が飛び交うインターネットの世界で、警察や司法はほぼ無力です。
そんなことないよ。ちゃんと証拠を提出して、証明すれば・・・という人もいますが、それはセキュリティインシデントを実際に扱ったことがない人の言葉だと思います。
まずは、海外からの攻撃であることが多いのが問題の一つです。ハッカーコミュニティには国境がありません。なので、世界中から攻撃を受けることになることが多く、コミュニティで共有された情報を元に攻撃して来ることがほとんどです。
膨大なログの中から犯人を特定し、犯人に至る調査を続けるだけでかなりの時間と費用がかかります。海外での裁判となれば費用も莫大です。またこれを警察や司法に説明するのがまた大変です。証拠の提出ともなるとなぜそれが証拠となるのかの説明まで丁寧に文書を作成して説明する必要があります。
もちろんKADOKAWAグループへの攻撃のような場合は、警察もサイバー課が出張ってきてくれるはずなので、最近は少し話しやすくなりました。
ただ、社内へ侵入されバックドアを設置された上、認証系を掌握されるような状態だと、社内に侵入したという確固たる証拠を保全できているか疑問です。
おそらくは結果から推測することくらいしかできず、完全な証拠を提出するのはかなり難しいと思います。
たとえ犯人グループに行き着いたとしても、犯人っぽい人が数日拘束されるくらいが関の山といったところでしょう。
日本の警察や司法が今回のKADOKAWAの事案でどこまで頑張れるのか、KADOKAWAはどこまで調査を頑張れるのか、とても注目しています。
ITセキュリティがなぜ大切なのか
前述のとおり、セキュリティ対策をあらゆる面からおこなっていないと、実は警察、司法へ訴え出ることもできないのです。
証拠となるログを提出できるように常日頃から保全できる環境を作っておくこと。
侵入されたらすぐに察知できるように不審な通信を見張っておくこと。
正規のアクセスであっても通常の行動(ビヘイビア)から外れていないかチェックすること。
大切なデータには複数の鍵をかけておくこと。
鍵の使い回しはしないこと。
ここまで書くと、一般的な設備のセキュリティの考え方と実はそう変わらないことに気づくと思います。
ITというだけで難しく感じてしまいますが、実は至極当たり前のことをしているだけなのです。
違う部分はひとつ、ほとんど距離がないことです。インターネットに接続されているということは世界中から通信が到達する可能性があるということです。
しかし物理的に悪いことをしている人を捕まえようとすると、国際犯罪者を捕まえるという難易度の高い状況が発生することになるのです。
ある程度リスクを許容する
完璧なセキュリティは存在しません。
なので、毎日少しずつ、色々な方法を使って大きなインシデントを小さく、小さなインシデントのうちに解決する。ということが重要になってきます。
ゼロトラストというセキュリティ用語がありますが、これは「何も信用しない」という意味です。ゼロトラスト、つまり社内のサーバ、クライアント、ネットワーク。全てを信用しないという考え方です。
ある意味、白旗を上げているとも受け取れる考え方ではあるのですが、全ての機器は信用できないと考えて、大切なデータを守るためにセキュリティを構成する考え方です。
1番取り入れやすい考え方で、全ての要素が信用できないのであればパスワードをかけたりしてデータを守ります。ほとんどのソリューションがこの考え方に基づいています。
ですが、単純にパスワードだけかけておけば良い時代は終わりました。従来のレベルのゼロトラストでは簡単に突破されてしまうのです。
すでに時代は、自分を何度も色々な方法で証明しなければ、信用できなくなってしまったのです。
ゼロトラストの反対の考え方として、デジタルハイジーンという考え方もあります。これはゼロトラストの反対の考え方で、全てのネットワークと端末はクリーンな状態であるという状態にまで管理、監視、コントロールできるようにしておくというものです。
ですが、これは比較的難易度の高い状態です。比較的システムの要件は画一的にする必要があり、導入の難易度が高いです。
そこで私は、セキュリティインシデントが発生し頭を悩ませる人々にはこのように言っています。
まずは情報の棚卸しをして、本当に守らなければいけない情報の鍵は別にかけたり厳重にしておきましょう。と。
正直漏れたら恥ずかしいけど、そこまで大切ではない情報と重要な情報を分けて管理します。全てを守ることは現状もうコストから考えても現実的ではありません。
重要な情報は、しっかり鍵をかけ、物理キーなども用意しても良いでしょう。アクセスできる人間も限定し、情報の出入りを監視します。
そして、毎日少しずつ、気付いたところには鍵をかけ、必要なところには手当てをし続けることが大切です。これだけで格段にセキュリティはアップします。
大切なデータはきちんと強固な鍵をかけてしまっておく、誰でも取り出せるようにしない。そして毎日セキュリティ対策の手を止めない。
ある程度リスクを許容し、大切なデータだけはしっかり守る。
それが一番大切なことなのです。
セキュリティインシデントにあってしまったら
いざ、セキュリティインシデントにあってしまったら。その時はまず慌てないことです。たまにLANケーブルを引っこ抜け!と大慌てでシステムをシャットダウンする人たちも多いのですが、まずは何が起こっているのか把握することに専念しましょう。
LANケーブルを引っこ抜いたほうがいい状況まで事態が進捗していたら、実はそんなにそれに効果はないと思っています。
むしろ、シャットダウンによってログが適切に保全されなかったり、他の攻撃を呼び込むこともあって事態が悪化することの方が多いように思います。
ランサムウェアによる暗号化が開始されているような事態でもない限り、慌ててシャットダウンすることは避けたほうが良いと思います。
深呼吸をして一旦落ちついてください。
できる限りのログを保全したら、システムの継続性を検討します。
ハッカーの目的はさまざまです。技術や作品を盗もうとするスパイもいれば、データの身代金を要求される場合もありますし、愉快犯もいます。
ビジネスと顧客の安全を最優先に考え、どんな手を打ったほうがいいか、SOCと協議します。日頃から相談できるSOCがいると心強いです。
ログの保全、SOCの一時調査(24時間以内が望ましい)を経て、ログの保全や必要な対策をおこなっていきます。必要であればここで国の個人情報保護委員会への報告(第一報)を行います。
SOCの対応が終わったら次はCSIRTの出番です。実はここが一番できていない会社が多いと思います。ビジネス影響も考え、何がおこかったのかを多角的に調査します。前後するインシデントとの関連があることも多いです。
漏出したデータがビジネスにどのような影響を与えるかなどもここで検討します。
AIの出現で多少ゲームチェンジもありそうですが、現状においては、このSOC、CSIRTの部分ではかなり高度な技術を持ったアナリストの力を借りる必要が出てきます。これらの人たちの腕もピンキリで本当に腕のいいプリンシパル級のアナリストの調査は、かなりのコストがかかります。軽く数百万円から数千万円かかります。ほとんどの会社がそこまで調査なんかしてらんないよ。となります。ですが、クレジットカード情報の漏洩などでは小さな会社でも指定の調査会社による調査が避けられない場合もあります。
ここまできてしまうとビジネス自体が致命的な状況出会ったり、そこまで行っていなくても致死率も十分に高く、何もできずサービスを終了せざるを得ないという状況が現実のものとなってきます。
とにかく早く気づくことが命運を分ける
事態が進展してしまい、実害が出てしまってからの方がはるかに大変なのはわかっていただけたと思います。ビジネスは止まり、収入が絶たれるにも関わらず、多額の調査と裁判費用がかかる。そんな理不尽な世界なのです。
とにかく早く侵入を察知することが大切なのです。
KADOKAWAグループの侵入もおそらくSSL-VPNや脇の甘いサーバの乗っ取りから始まっているはずです。その時点で気づくことさえできていれば、こんな大きな問題にはならなかったはずです。
通常時のセキュリティコンサルティングは、緊急度の高い高度な調査に比べ、比較的安いコストで可能な場合も多いです。
このドキュメントは、結構な数の大小様々なセキュリティインシデントの知見から書いています。ここまで書いていいのかな、ダメかな?と頭を悩ませつつも、基本的な考え方の啓蒙は必要だろうと思い、今後は色々書いていこうと思っています。
この機会に、経営者として事業継続性を担保するためのセキュリティを少しでも前向きに考えていただけるとそれだけでほんの少しセキュリティアップできると思います。
この記事が気に入ったらサポートをしてみませんか?