【要点抽出】サイバー攻撃被害に係る情報の共有・公表ガイダンス その1

サイバー攻撃を受けて世間に公表。やりたくないですね~。
完全に漏洩したならまだしも、漏洩疑義の段階とか悩みますね~。
今回はそんな極力あってほしくない状況における共有・公表の仕方について学びます。

https://www.meti.go.jp/press/2022/03/20230308006/20230308006.html

何の本?

2020年に三菱電機やNECがサイバー攻撃を受けて、その公表の遅さについて世間や閣僚から批判を受けたことがありました。
その後、JPCERTが情報共有や公表のあるべき姿について数十ページの文書を出していたのですが、改めて本気のガイダンスを出した形です。
被害組織が、何のために、何の情報を、どのタイミングで、誰に出すのか、という5W1Hをまとめた本です。

このガイダンスの発案当初の思いを一言で表すと
「サイバー攻撃被害に係る情報を取り扱う様々な担当者の判断に資することを目的として、サイバー攻撃被害組織等の立場にも配慮しつつ、技術情報等組織特定に至らない情報の整理を含めた、サイバー攻撃被害に係る情報の共有・公表ガイダンス」らしいです。なろう小説みたいです。


構成は?

全154ページ、5章構成です。

  • 1章 はじめに

  • 2章 情報共有・被害公表の流れ

  • 3章 FAQ

  • 4章 ケーススタディ

  • 5章 チェックリスト/フローシート

一見よくある構成に見えて、ページ配分がなかなか特徴的です。
まず1章が20ページ近くあります。普通は前おきにこんな使いませんが、ここに重要なポイントのほとんどが載っています。
そして、2章が本書の最重要ポイントかと思いきや、これは2ページでシュバっと終わります。かわりにその後のFAQが100ページ近くあります。
4章、5章は割愛します。


1章 はじめに

本書の最も中心となる主張は「分けて考えよう」です。

  • 情報の出し方として「情報共有」「公表」は分けて考えよう

  • 情報の中身として「攻撃手法や攻撃者の情報(攻撃技術情報)」「被害の内容の情報(被害内容・対応状況)」は分けて考えよう

という具合です。
一目でその違いを知りたい方は、本書の5章のチェックリストを見ることをお勧めします。

情報の出し方

情報共有とは、

  • 誰が:被害組織が

  • 誰に:コミュニティやJPCERTやIPAなどの専門組織に

  • 何を:攻撃技術情報

  • 何のために:被害組織としてはインシデント対応に必要な情報を得ること。参加組織としては被害の防止のための情報を得ること

一般公開はせずに、クローズドな関係での情報発信を指します。
情報共有の必要性について、本書では「お互いが黙ってたら何の情報が足りてないかすら分からんだろ?だからとりあえず出すところから始まるんだよ」と言ってます。もったいぶってても良いことねぇよってことですね。

公表とは、

  • 誰が:被害組織が

  • 誰に:世間に

  • 何を:被害内容・対応状況

  • 何のために:法令を守るために、お客様に迷惑をかけないために、世間から怒られないために、等

オープンな情報発信を指します。
公表の必要性について、本書では「世の中サイバーのこととか分からずに批判してくるヤツがいるだろ?もっと皆が公表したら世間の理解が高まってアホな批判が減るかもよ」と言ってます。前向きにやろうぜってことですね。
(いや、とはいえこれは日本では簡単ではない…)

この他の情報の出し方として、第三者による情報発信や、行政機関への報告、警察への通報等があげられています。


情報の中身

攻撃技術情報は、共有しても被害組織にとってレピュテーションなどのダメージには繋がりにくいです。また、こうした情報は共有タイミングが早ければ早いほど他の組織にとって有用です。

一方、被害内容や対応情報は、被害組織のレピュテーションにも直結するので、慎重に情報を整理してから公表する(少なくともその前に気軽に共有とかしない)ことが一般的です。

本書ではとにかく攻撃情報だけは切り離して先に共有してくれたっていいじゃないか!と言っています。

この他、行政機関への報告や警察への通報について、その必要性を4つに分けて書いていますが、雑にまとめると「NISCも警察も国や社会を守るためにうまく役立てるから情報ヨロシク」です。


2章 情報共有・被害公表の流れ

ここは3章のFAQに入る前に、軽くフローや考え方に触れるだけの章です。
情報共有のフローは
「新規性がある攻撃ならどんどん共有して!世の中で広く起きてる攻撃の情報なら別にいいです」という考えです。

公表のフローは
「法令とか、二次被害の恐れとか、お客様への影響とか、そういうのを諸々考慮してケースバイケースで判断してね」という考えです。


3章 FAQ

ここから大きく4つのジャンルに対し、33のQAが続きます。
全部触れますが、特に知っておきたいQには✅をつけます。

<情報共有について>

Q1.なぜ情報共有が必要なのですか?
1章の「何のために」の通りです。

Q2.どのタイミングでどのような情報が共有/公表されますか?
マルウェアのハッシュ値みたいなIoCは比較的すぐに。
TTPのようなまとまった情報は少し時間がたった後で、第三者の専門組織から出ることが多いです。

Q3.「被害組織」とは何ですか?
3パターン書かれていますが、要はどんな経路にせよ「やられて困るアナタ」です。

Q4.サイバー攻撃被害に係る情報にはどのようなものがありますか?

1章の「攻撃技術情報と被害内容・対応状況は分けて考えよう」の分類の話です。

  • 悪用された脆弱性、マルウェア、通信先、その他TTPは攻撃技術情報

  • 被害組織名、業種や組織の規模、被害内容は被害内容・対応状況

  • 対応や攻撃のタイムライン、事前にできていた対策状況、攻撃者に関する情報は両方の色がある

攻撃情報の共有や被害情報の公表について、サンプル文面が載っています。

Q5.どうやって「情報共有」をすればいいのですか?
ハブ・スポーク型、n対n型、間接/代理型とまとめられていますが、とりあえずJPCERTに言えば間違いなさそうな雰囲気です。

Q6.どのような情報を共有すればいいのですか?
共有してほしいのは攻撃技術情報です。その中でも他社において新規性がある情報はマジで有用とあります。特定の分野、組織、システム、製品を狙った攻撃情報が欲しいのですね。
一方で、せっかく共有してくれても断片的すぎる情報や古すぎる情報はあんまり役に立たない(良いフィードバックも得られない)よ、ということも優しく書かれています。

Q7.「インディケータ情報」とは何ですか?
IoCやTTPについての解説なので割愛。

Q8.いつ情報を共有すればいいのですか?
攻撃が起きたら早くくれ。に尽きます。

Q9.情報共有活動に参加していない場合、どこに共有すればいいのですか? 
サイバーセキュリティ協議会の窓口宛てでも良いし、セキュリティベンダやJPCERT等に共有を依頼する形でも良いです。

Q10.情報共有を行う上での留意点はありますか?
以下3点があげられています。

  • インシデント対応で忙しい中、共有のための手間がかかる

  • 共有したとしても良いフィードバックが得られない場合がある

  • 共有は匿名で行っていても、後で被害内容を公表した際に「あーあの会社の話だったのね」と共有元がバレる場合がある

2点目については、Q6やQ8で触れられているように早く・他社の調査に役立てやすい情報を出すことでフィードバックを得やすくなります。

Q11.攻撃技術情報の共有とノウハウの共有とは何が違いますか?
インシデント発生から時間が経つほど攻撃に関する情報の量は増え、情報の鮮度は下がっていく関係にあります。
攻撃技術情報の共有は早さが命なので分かった情報からどんどん欲しく、
被害組織がインシデントから学んだノウハウの共有は時間が多少経った後でもいいので情報をそろえて出す点に違いがあります。

Q12.専門組織同士はどういう情報を共有していますか?
攻撃技術情報を共有し、協力しながら攻撃を分析したり対応を協議しているそうです。それらは結果として、まだ被害に気づいていない会社へのフォローや攻撃インフラのテイクダウンなど様々な形で役立てられます。

Q13.なぜ非公開で参加者が限定された情報共有が行われるのですか?
理由が3点あげられています。

  • 攻撃者にバレないようにこっそり共有したいから

  • 被害組織や狙われてそうな組織を保護したいから(Q21、22に関連)

  • あまり共有の輪を広げすぎると意図的に情報を漏らすような変なやつが紛れ込むから

非公開といってもISACのような分野毎のものコミュニティもあれば、サイバーセキュリティ協議会のような分野横断のものもあります。
基本的にサイバー攻撃は同一分野を狙うことが多いので分野別に共有したほうが効果的だが、時には横断での共有が必要なこともあるようです。

長くなったので続きは後半に。

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。

この記事が気に入ったらサポートをしてみませんか?