ここから本文です

WannaCry騒動、リオ五輪、Struts 2脆弱性、そのとき「彼ら」は何をしていたのか

5/26(金) 6:10配信

@IT

 「人材不足」「育成の必要性」などの課題と関連してひとまとめに語られがちな「セキュリティ人材」。しかし、セキュリティ対策の実装や運用だけでなく、内外との調整役、脆弱(ぜいじゃく)性検査とその結果に基づく設計、いざ問題が生じた際のレスポンス対応など、さまざまな役割が必要だ。業務内容は多岐にわたるため、1人で全てを担うのは難しい。セキュリティ担当者が担うべき役割は、例えば日本シーサート協議会が定義している。

「セキュリティリサーチャー」とは?

 組織内CSIRT(Computer Security Incident Response Team)を整えるにせよ、そうではないにせよ、企業内、組織内でセキュリティ対策を実践していく上で極めて重要な役割がある。それが「セキュリティリサーチャー」だ。セキュリティリサーチャーは、さまざまな脅威や脆弱性の情報に加え、国際情勢やメディア報道なども加味しながら情報を収集し、「今、どんなリスクがあるのか」「それが自組織にどのような影響を与える恐れがあるか」「どのように対策すべきか」を分析。それを必要とする人々に情報を提供する。「どんな脆弱性が存在し、今すぐパッチを適用すべきかどうか」について、しかるべき担当者が判断するための「材料」を提供する役割を担っている。

 こうした情報収集の重要性は、先日公表されたApache Struts 2の脆弱性(S2-045)対応からも見て取れる。このセキュリティ事案は、修正パッチの公表後(つまり、パッチを当てなければ脆弱であることが公表されてから)、わずかな期間で複数のWebサイトがこの脆弱性を突く攻撃を受け、情報漏えいなどの被害が発生した。しかし、さまざまなセキュリティ関連組織が注意喚起情報を発する前に、開発元はこの脆弱性を修正した最新版をGitHub上で公開していた。もし、この段階で情報を得て、対策を早期に行えていたならば、状況は変わっていたかもしれない(もちろん同時に、組織としての脆弱性対応プロセスの整備も必要ではあるが)。

●「情報収集の際に留意すべき事柄」をセキュリティリサーチャーから学ぶ

 そんな役割を担うセキュリティリサーチャーは、どんな人が担当しているのか。セキュリティリサーチャーが日々どんなことを考え、どんな作業に取り組んでいるかを紹介するイベント「第2回 セキュリティ リサーチャーズナイト」が、2017年5月26日に開催される。日々情報を収集し、ブログやTwitterで発信している根岸征史氏(@MasafumiNegishi)とpiyokango氏(@piyokango)、辻伸弘氏(@ntsuji)が登壇し、普段の活動について紹介するという。

 参考までに、2016年10月に行われた「第1回 セキュリティ リサーチャーズナイト」の概要を紹介しよう。

 セキュリティリサーチャーの中には、組織内CSIRT向けに情報を提供する場合もあれば、自社が提供するセキュリティサービスの一環として、顧客向けの情報提供を行う場合もある。またこうした業務とは別に、自らの興味・関心に従って情報を集約し、純粋に困っている人やコミュニティー向けに情報を整理し、発信している場合もある。

 イベントを主催した三氏はそれぞれ異なる立場でリサーチに携わっているが、いずれも「呼吸をするように自然に」「時間のあるときはいつでも」、注目すべきインシデントや脆弱性があれば夜中であろうと休日であろうと情報をチェックしていることは共通している。「決して、朝から晩までインターネットを見ているだけの人ではない」(辻氏)。辻氏の場合、より深くウォッチするため、独自に監視環境も構築している。

 ソースとしているのは、「ニュース記事やプレスリリース、それにTwitterやFacebookといったソーシャルネットワーク上の情報。それにフォーラムや掲示板など」(辻氏)で、基本的に公開されている情報がベースとなっている。そこへ、「Feedly」でRSSを活用し、「TweetDeck」でハッシュタグや特定のキーワードを追いかけ、「Googleアラート」で特定の項目に関連する記事だけを収集するといったように、「あまりに情報の量が多いため、フィルタリングしたり、仕分けしたりして、できるだけ余計な情報を減らす」(piyokango氏)ための独自の工夫を施している。

 ペンテスターとしての立場から情報収集を行っている辻氏は、「脆弱性情報を確認する際には、攻撃コードの有無を必ずチェックしている。同時に、その条件も見るようにしている。近年は凝った名前付きの脆弱性が公表されることが増えているが、中には『騒ぎ過ぎ』と思えるものもある。そうした部分に惑わされず、パッチ適用の優先度を伝えるために、攻撃コードやツールの有無、その条件を見ないと信じないようにしている」という。

 根岸氏は、日本ではあまり報じられない情報も含め、海外のニュースもチェックしている。サイバー攻撃が発生すると、「犯人は誰か」「どの国が関与しているのか」などが取り沙汰されるが、「政治的な理由で情報が出てくることも多い。そこにはあまり寄りかかりすぎないようにしている。そもそもCSIRT的には、『攻撃者が誰か』よりも『どう防ぐか』の方が大事だ」と述べていた。

●「一次情報」とメディアで報道される「それ以外の情報の違い」に注意すべきだ

 サイバーセキュリティに関する報道の中には「騒ぎ過ぎ」だったり、第一報のみでアップデートがないこともある。セッションでは、リサーチャーとしての仕事を進める中でのポイントも紹介された。

 「一次情報と、メディアで報道されるそれ以外の情報の違いに注意すべきだ。同時に、それだけをうのみにせず、断定的に捉えないことも大事。分からないものは分からないものとして扱うべきだ」(辻氏)、「情報を見続けていると、初報からアップデートされることは結構ある。そうした変化を正しく認識することも必要」(piyokango氏)。

 リオオリンピック時のサイバー攻撃に関する報道を例に挙げよう。piyokango氏は「スポーツイベントはインシデントが起きやすいと予見できる。だから、その1年前の夏ごろに思い立って関連ツイートを眺めるようにした。どうしてもイベントだけに目が行きがちだけれど、継続的に見ていくと、カーニバルのタイミングで盛り上がったり、攻撃に参加するメンバーが変わっていたりと、いろいろと変化がある。また、現地の報道と日本の報道を見比べると、解釈が丸められていた場合もあった。中には、現地でしか流れていない情報もあった」と振り返る。なおサイバー攻撃は、開会式の時こそ盛り上がったが「思った成果が出なかったためか、翌日には盛り上がりに欠け、落ち着いた感じになった」そうだ。

 では、セキュリティリサーチャーは「得られた分析結果を発信する」ときにどんなことに気を付けているのか。例えば根岸氏は発信前段階で、IoTボットネット「Mirai」によるDDoS攻撃やハッキンググループ「The Shadow Brokers」がリークした幾つかの脆弱性についての“影響範囲”の調査を済ませ、「今後の状況によっては注意が必要になるかもしれない」と注意喚起を行っていた。なおThe Shadow Brokersはその後、ランサムウェア「WannaCry」に悪用された脆弱性を悪用するツールも公表している。

 顧客向けはもちろん、社内向け、コミュニティー向け、そして幅広い外部向けと、出し方を考慮しながら情報提供を行う立場の根岸氏だが、「情報を出しっぱなしにするのではなく、受け取る側がどう共有し、判断し、行動するかについてのフィードバックを受けていきたい」と述べている。

 セキュリティインシデントの増加を背景に、この10年あまり「情報共有が重要だ」と言われ続けながらも、クローズドな場を除けば、それはなかなか進んでいない印象もある。こうしたセキュリティリサーチャーの日々のタスクを参考にすることは、脅威に関する情報を早期かつ的確に収集し、判断し、活用していく際のヒントになるのではないだろうか。

最終更新:5/26(金) 6:10
@IT