ここから本文です

「ソーシャルエンジニアリング」は、予算獲得にも応用できるか?

@IT 7月22日(金)17時26分配信

 @ITは、2016年6月23日に東京・青山ダイヤモンドホールで「@ITセキュリティセミナー ~迷宮からの脱出~」を開催した。本稿では、前回に引き続き、レポート第3弾(東京版最終回)をお届けする(次回は大阪でのセミナーレポートを公開予定)。

【その他の画像】現代はSNSなどの普及もあり、"誰も隠せない、隠れられない時代"になっている

●予算獲得にも応用できるソーシャルエンジニアリング!?

 特別講演では、情報通信研究機構(NICT)のセキュリティアーキテクチャ研究室 主任研究員の安藤類央氏が登壇し、「あなたのだまされ方、診断します サイバー攻撃、ソーシャルエンジニアリングの深層」と題する講演を行った。同講演は、公開情報だけで読み取れる他国の主要機関のネットワーク構成から、ソーシャルエンジニアリングの手法に至るまで、ニュースなどではほとんど扱われないサイバー空間の実態を安藤氏が独自の観点から読み解くユニークな内容となった。

 安藤氏は講演の冒頭で、近年のサイバー攻撃の特徴として「殴ったことを相手に悟られないように殴る」行為が一般化したと指摘。軍事攻撃のように攻撃されたことが分かれば対応のしようもあるが、最近の攻撃は諜報戦争のように隠れて行われるため、対策が後手に回ってしまうと分析した。

 「攻撃者は可能な限り、Web上で誰でも見られる情報、例えば連絡先や氏名、趣味といった公開情報だけを使って攻撃を仕掛けてきます。非公開情報を使ってしまうと、足が付く危険性があるからです。現代はSNSなどの普及もあり、"誰も隠せない、隠れられない時代"になっています」(安藤氏)

 では、公開情報で一体どれだけのことが分かるのか? 安藤氏はその例として、公開されているDNSサーバの情報をたどることで、ある国の組織内のネットワーク構成がつまびらかになることを示してみせた。同氏によれば、そのネットワーク構成は稚拙であり、管理者もそのことに気付いていない様子であること、また、使用されているソフトウェアなどの情報も併せると、管理者が恐らく2人いることなどが読み取れるという。

 これは見方を変えると、私たちのような市井の人間においても、公開情報が思わぬ形で攻撃者に悪用される危険性があることを意味する。実際、「GitHub上に不注意で公開してしまっていたアクセスキーを悪用されてAWSインスタンスを立ち上げられ、ビットコインの採掘に使われた」といった事件が発生している。AWSから数百万円の請求書がきて初めて「殴られた」ことに気付くわけだ。

 また、ソーシャルエンジニアリングでも、“殴られた”ことに気付かないケースは多い。例えば、2013年に「Metasploit.com」のDNS設定が書き換えられる事件があったが、これはWeb経由の攻撃ではなく、FAXによって虚偽の”変更申請”が行われたというものだった(関連リンク)。FAXという旧来の手段を使うことで、“殴られたことに気付かせなかった”事例だといえるだろう。

 「ソーシャルエンジニアリングが恐ろしいのは、誰もが使うツールが攻撃の手段になるという点です。例えば、あるテロ組織は”リクルーティング”のために、Twitterを使って学生を勧誘しています。脅威はすぐ目の前にあるのです」(安藤氏)

 そのような見えないソーシャルエンジニアリングにどう対抗すればいいのだろうか? 安藤氏はそのポイントを、「4つのタイプと5つのフェーズを知ること」とし、具体的な対策を解説した。

 4つのタイプというのは、人間の性格を分類したパーソナルタイプのことだ。安藤氏はこれらを、形式や作法を重んじる「建前優先ガンコ型」、直情型で思い込みが激しい「瞬間沸騰バワー型」、数字重視でミスを嫌う「理屈先行インテリ型」、気分屋で諦めが早い「無反応マイペース型」と定義する。

 そして5つのフェーズは、ソーシャルエンジニアリングの各段階のことだ。安藤氏によればこれは、「1.大まかに情報収集し、相手のパーソナルタイプを見抜く」「2.具体的に相手のベースラインを取得し、作戦を練る」「3.相手に考える隙を与えない」「4.相手の弱みにつけ込む」「5.一発逆転・悟られずに去る、前のフェーズに戻す」の5つに分かれるのだという。

 安藤氏は、このフェーズごとに、相手のタイプに合わせた対応を行うことで、ソーシャルエンジニアリングが成功すると説明する。同氏は具体例として「上司と交渉してセキュリティ予算の決済を勝ち取る」ケースを挙げ、「例えば、上司がもし”建前優先ガンコ型”であれば、『相手より決済権が上の人の了解をあらかじめとっておく』『“既に前例がある”“ライバル社はもう始めている”などの言葉を多用する』といった作戦を展開していくことで、攻略が可能です」と述べ、会場から共感と笑いを誘った。

 「相手と自分のパーソナルタイプを知り、フェーズごとに作戦を変えていくことで、誰でもソーシャルエンジニアリングを行うことができます。逆に、自分のパーソナルタイプを特定しにくくしたり、相手の作戦を読んだりすることができれば、ソーシャルエンジニアリングに対抗できるようにもなります」(安藤氏)

●専門家陣が時事ネタを読み解く

 続くセッション「セキュリティ時事ネタをやわらか~く語りまSHOW!」では、@ITでも多数の執筆、登壇経験を持つソフトバンク・テクノロジー 辻伸弘氏、インターネットイニシアティブ 根岸征史氏、ラック 川口洋氏、@IT編集部 宮田健が登壇し、パネルディスカッションを行った。

 今回のディスカッションの趣旨は、「参加メンバーが気になること、事故対応から見える苦渋の選択、今のセキュリティ意識に対して皆さんに言いたいことを"柔らかく"取り上げる」というものだ。サイバーセキュリティに携わる専門家たちは、最近のサイバーセキュリティの動向を一体どう見ているのだろうか?

 まずテーマになったのは、「止まらない標的型攻撃」だ。根岸氏が「ちょうど1年前に日本年金機構の事件がありました。まずは振り返りとして、その報告書から学ぶべき点がたくさんあるという点を確認したいと思います」と切り出し、川口氏が「年金機構の件に関連する3つの報告書は、最高の教科書。あれを見ないと対策はできません。ご覧になったことのある人も、ぜひもう一度目を通してください」と訴えた。これを受けて辻氏も「報告書には報道にないことも詳しく記載されているので、そのあたりにも注目して、対策の参考にしてほしい」とアドバイスした。

 その上で、最近の標的型攻撃の傾向について議論になったのは、攻撃が発覚してから対応までにタイムラグがある点だ。辻氏は、2016年6月にJTBが攻撃された事件について、マルウェアへの感染後、不正な通信を検知したのが連休の初日だったため、「連休中であれば、ある程度派手な動きをしたとしても組織側の対応が遅れ、目的を無事遂行できる可能性が高い、と攻撃者は考えたのかもしれない」と推測。

 これに対し根岸氏は、「通信を検知できるようにしている企業自体が、実はそれほど多くない」とし、不正な通信を検知して対応することの難しさを指摘するとともに、「不審な通信を検知できる仕組みがあるか。検知したとして、どのように対応するのか。あらためて整理してみてほしい」と呼び掛けた。

 また、川口氏は、「感染が発覚した後の対応について、あらかじめ意思決定が必要だ」と述べ、感染時にもめることが多いのが「インターネットの回線を物理的に抜くかどうか」だと紹介した。「回線を全部引き抜いてWebやメールの一切の利用を停止するという判断もありますが、外部との連絡手段の確保を考慮して、メールだけ残すという選択もあり得ます。誰の権限で何を止めるのか。そして、どのタイミングで戻すのか。こういった点については、あらかじめ取り決めをしておくべきです」(川口氏)。

 続いてのテーマは「ランサムウェアの動向」だ。2015年には「TeslaCrypt」の感染が広がっていたが、2016年5月に開発者がマスターキーを公開し、暗号化されたファイルの復号が可能になった。「これは予想外で、驚くべき出来事だった」と根岸氏。また辻氏は、ランサムウェア感染者にインタビューを行った経験を踏まえて、感染から金銭を支払うまでの流れを説明した。ランサムウェアについては、「マスターキーの公開により、短期的に被害は落ち着きを見せているが、引き続きバックアップなどの対策は行っていくべきだ」といった意見が交わされた。

 最後の「脆弱(ぜいじゃく)性情報への対応」というテーマでは、辻氏が「CVSS(共通脆弱性評価システム)においては、基本値だけでなく、現状値にも注目してほしい」と述べ、「現状値は、攻撃コードの出現有無や対策情報が利用可能かを示した指標。たとえ“緊急”とされている脆弱性でも、攻撃の手法が確認されていないのであれば、すぐに対応しなくてもいいと考えることもできる」と説明した。

●新機能でマルウェア検知率を99%に

 エムオーテックスのセッションでは、営業本部 営業推進部 部長の金子大輔氏が登壇。「『未知の脅威に対抗するエンドポイントセキュリティ対策』~人工知能が実現した未知の脅威防御率99%~」と題し、同社のセキュリティ製品「LanScope Cat」の新機能「プロテクトキャット」について紹介した。

 LanScope Catは1996年にリリースされたIT資産管理・情報漏えい対策ツール。「どのPCで、誰が、いつ、どのデータに何をしたか」といったデータに対する人間の操作を管理することで、情報漏えいのリスクを見える化する。新機能として加わったプロテクトキャットは、このLanScope Catにおける未知の脅威対策を強化するものだという。またエムオーテックスではCylance社と連携し、初期導入から運用までをサポートしていくことを強調した。

 「プロテクトキャットは人工知能を活用して未知の脅威から守る機能です。パートナーであるCylanceの技術を活用し、未知のマルウェアに対する検知率99%を実現します」(金子氏)

●“CAPDサイクル"で実現するWebサイトセキュリティ

 続いてはシマンテック ウェブサイトセキュリティ ダイレクト・チャネルマーケティング部 シニアチャネルマーケティングスペシャリストの大塚雅弘氏が登壇し、「ウェブサイトの脆弱性対策 ~脆弱性への攻撃手法とその対策ステップ~」と題した講演で、脆弱性を狙った攻撃の特徴と有効な対策を紹介した。

 大塚氏はまず、多くのWebサイトが脆弱性を抱えており、企業規模を問わず攻撃を受けるようになっている現状を解説。その上で、ステップバイステップで対策を講じていくことが重要だとした。

 「最初のステップとして重要なのは現状把握です。マルウェアや脆弱性の有無をツールでチェックし、安全性を確認します。次のステップでは、具体的な防御対策の検討を行います。影響範囲を確認した上で、パッチ適用やバージョンアップで問題が出ないかを確認します。その上で、CAPD(Check、Act、Plan、Do)の順にサイクルを回すことがポイントです」(大塚氏)

●内部環境の状況を把握し、脅威に素早く対処する

 トリップワイヤのセッションでは、同社のマーケティング部 マネージャ 金子以澄氏が、「サイバー攻撃対策~企業は何をどうやって守るべきなのか~」と題し、攻撃時に狙われる脆弱性への対処方法と、情報を守るための最後の砦ともいえる「改ざん検知」の重要性を解説した。

 変更検知/改ざん検知製品で知られるトリップワイヤだが、現在は、脆弱性管理、コンプライアンス管理、ITオペレーション管理製品も提供している。金子氏はまず、サイバー攻撃対策の課題として、「エンドポイントでの対策が十分に進んでいない」と指摘した。

 「サイバー攻撃で最初に狙われるのは脆弱性です。そのため、まずは社内環境に存在する脆弱性の状況を把握しておくことが必要です。また、内部犯行への対策も欠かせません。これらに必要なのは、いずれもエンドポイントの状況を認識することです。変更検知/改ざん検知製品や、脆弱性管理製品を組み合わせることで、内部環境で何が起きているかを把握し、いち早く対処することが重要です」(金子氏)

●鍵管理、透過暗号、トークナイゼーションでデータベースを守る

 セッション「増加する内部犯行による情報漏えい データベース管理者に対する備えは万全ですか ?」では、ボーメトリック 東京オフィス シニアセキュリティアーキテクト 迎博氏が登壇し、データベース管理者による不正行為からデータベースをどう守るかを解説した。

 ボーメトリックは、2001年に設立されたファイルサーバ、データベース、クラウドストレージ向けの暗号化製品を展開する米国企業だ。暗号鍵やポリシー、ログを集中管理し、データベースやストレージを対象に暗号化を行うDSM(Data Security Manager)と呼ばれるアプライアンス製品を提供している。同製品では、データに対する“透過暗号”の他、個人情報など、データベースの特定カラムに存在するデータを無意味な内容に変換(トークン化)して保護する“トークナイゼーション”などの機能を提供している。

 「トークナイゼーションのメリットは、既存データベースのカラム改修が不要で、カラム暗号と比較して組み込みが容易なことです。トークナイゼーションによって原本データを『見せない』、透過暗号によってデータを『盗ませない』、そして鍵管理によってシステム管理者に『権限を悪用させない』という3つの対策を組み合わせることで、データベースを不正から守ります」(迎氏)

●人工知能によるマルウェア検知機能でSMBのビジネスを保護

 続くデルのセッションでは、クライアントソリューションズ統括本部 Dell Data Protectionセールスマネージャー 伊地田隆広氏が登壇。「『人工知能』が変えるエンドポイントセキュリティー」と題して、人工知能を活用して未知のマルウェアを検知するソリューション「Dell Data Protection | Threat Defence」を紹介した。

 人工知能による未知のマルウェア検知を支えているのはCylanceの技術だ。この技術は、プログラムの特徴を抽出し、数学的アプローチで解析を行うことで、自動的に危険度を数値化する。

 「ウイルス定義ファイルに頼らずに不正なプログラムを検知できるため、未知の攻撃に強く、頻繁なアップデートが不要です。また、フルスキャンのような作業も行わないため、分析が高速で軽いというメリットもあります。運用面では、クラウドベースで管理を行うため、自前の管理サーバが不要で運用が楽だという強みもあります」(伊地田氏)

●CSIRT構築・運用を形骸化させないポイントとは

 最後のセッション「CSIRTだけで大丈夫? セキュリティ強化実践のツボ、教えます!」では、インフォメーション・ディベロプメント iD-Cloudソリューション部エバンジェリスト/セキュリティディレクターの宮本朋範氏が、CSIRT(Computer Security Incident Response Team)の構築と組織運営、実践的なセキュリティ強化対策のポイントを解説した。

 宮本氏によれば、セキュリティインシデントに迅速に対応することを目的に構築が進むCSIRTだが、数年たつ中で、組織運営が形骸化するケースが目立つようになったという。その背景には、組織に対する周囲の理解が得られない、対策の正解が見付けにくい、あるいは体制を作ったもののうまく機能しないといった課題があるそうだ。

 これに対して宮本氏は、「まずは問題となるリスクを見極めた上で、対策が取られているかを把握する必要があります。単なる枠組みではなく、必要な項目をチェックできるようにし、実効性があるかを見極めることが重要です」と述べ、「その上で周囲の理解を得るためには、サイバー攻撃の演習や最新ソリューションの試験導入も有効だ」とした。

 また、正解が見つけにくい、体制がうまく機能しないといった課題に対しては、「外部人材の活用も考慮すべきだ」と宮本氏は述べる。「自社でセキュリティ人材を育成するだけでなく、コンサルタントやセキュリティエキスパートを招いたり、アウトソーシングサービスを活用したりする視点を持つことも重要です」(宮本氏)。

[齋藤公二,@IT]

最終更新:7月22日(金)17時26分

@IT

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]