2012年9月28日に開催された「ワールドワイドセキュリティ&モビリティ・カンファレンス」(主催:NIKSUN Inc.)。そこで行われたセキュリティに関する講演の模様をセミナーレポートとしてお送りする。カンファレンスでは携帯電話・スマートフォンなどモビリティに関するセッションも行われた。

カンファレンスのセキュリティセッションでは、ニクサン社CEOのパラグ・プルティ博士、東京電機大学の佐々木 良一教授、サイバーディフェンス研究所の名和利男氏、名古屋大学の高倉弘喜教授SCSK株式会社の古岡宏理氏の4氏が講演を行った。オープニングでパラグ氏は、全世界で進む高度なセキュリティ脅威の事例と日本での警鐘について触れ、佐々木教授はフォレンジックという立場から新たな脅威に対する備えの全般的な最新の技術動向に触れ、名和氏からは日本の官公庁や大手企業での事例・対策について述べ、高倉教授から今後セキュリティ対策はどうあるべきか方向性を示され、古岡氏の話の中で、具体的な事例とニクサン社のの最新ソリューションが紹介された。

Divider
オープニング講演 「サイバーセキュリティにおける防御:課題と最新の状況」
NIKSUN Inc. 創設者、会長、CEO
Dr.Parag Pruthi氏

現在日本で騒がれている「サイバー攻撃」に対しては今後もっと大きな災害をもたらす人災であると考え、このカンファレンスの中で最新の動向と対策についてお伝えする。日本人の特性なのか「情報の盗難」についてその実感が湧かない方々が多いと思われる。たとえば、今大人気の「iPhone5」これを苦労して手に入れたがその後、すぐに盗まれてしまったとする。盗まれた方は、狼狽し怒りがこみ上げてくるのではないでしょうか。こういった物理的に物が盗まれたとき、これと同じ感性を情報についてもお持ちでしょうか?

サイバー攻撃では、巨額の投資の結果である設計図がこっそりコピーされ、その情報がインターネットを利用して盗まれてしまった・・・。iPhone5の時と同じではありませんか?NSA(アメリカ国家安全保障局)の統括責任者も同様の警告をしています。ウォールストリートジャーナルでも、中国が1つの政策としてサイバー攻撃を通じて情報を盗んでいる。自分たち自身が苦労して作り上げているのではなく、盗むことで一気にその先端までのぼりつめようとしていると書かれているが自分もそう感じています。イギリスの諜報機関MI5でも国家レベルでインターネット上で様々なことが行われていると発表しており、フィナンシャルタイムズでもその損害額が多いところでは1社で8億ポンド(日本円で約1000億円)にも達するという。NSAでは「富が流出している」と10年も言い続けている。

2011年1月~6月だけで悪意のある攻撃が少なくとも19,000件もあったとの報告もあり、フォーチューン上位500社中168社に被害があると報告があり、ハッキングも162社にものぼっている。マスコミが騒いだ大規模なサイバー攻撃だけでも・・・Google、三菱重工、ソニー、日産、VISAカードなど多々被害を被っている。これらは皆「巨大な資産の盗難」である。巨額な投資と、社員の血と汗と涙の決勝である情報資産が不当に流出しているのです。2008年韓国政府は自国の知的財産が少なくとも820億ドル相当がハッカーで失われたという発表をしている。フォード車でも設計図がハッキング行為により盗まれたと報告している。

なぜ日本政府は公に発表しないのか?日本でもマルウェアが毎年多くなっているし、最近では急増している。 サイバーWarfare・・・サイバー戦争とマルウェアは強い相関がある。 北朝鮮は既に韓国との戦争を視野にGPSを妨害するサイバー戦争を出来るレベルへ到達した。こういう武器を国家自身が開発しているのが現状である。2008年CNNが電力網にサイバー攻撃をされた場合のシュミレーションを行った。コンピュータが乗っ取られ、爆弾をしかけられた様にSTOPされる。まるで40~50個のハリケーンが一斉に襲ったような状況になるという。その影響は大恐慌以上になるという試算がある。自然災害以上にターゲットを絞り脆弱なところを狙い撃ちされるからである。

以前、アメリカがイランの核濃縮施設をサイバー攻撃した話は有名である。その時つかわれたのがいわゆる「Stuxnet」である。今ではこの20倍もの感染力が強いマルウェアも 開発されているという。日本の政府や官公庁などにも「Stuxnet」以上の凶悪なマルウェアがしかけられていても何ら不思議ではない。今や論争や討論ではなくすぐに行動で示す時である。

Divider
基調講演 「情報セキュリティの最近の動向 ―デジタル・フォレンジックを中心にしてー」

東京電機大学未来科学部情報メディア学科教授
国立情報学研究所客員教授
内閣官房情報セキュリティセンター情報セキュリティ補佐官
佐々木 良一氏

2011年大相撲の八百長事件が発覚した。2010年に押収した携帯からのメールでそのきっかけが発見された。だが、当然ながら彼らは携帯メールは消去したはずである。それでもメール内容は復元された。実は、消去とはいってもデータの本体部分は消去されず、管理情報だけを消去しただけという事実を大部分の人は知らないだけなのだ。3.11の大震災において津波により多くのパソコンが水に浸かりつかえなくなってしまった。だが、水没後1週間以内であれば80~90%のDISKからデータの復元が可能になった。泥まみれになったDISKを1%の塩酸水で洗い、そこからデータ復元を行った結果だという。2003年にスペースシャトルのコロンビア号が空中分解した際にも回収したDISKをKroll Ontrack社が復元させた。セキュリティ被害は2000年に発生した科学技術庁のHPの改ざん2001年のCodeRedなどの第一次ターニングポイントからStuxnetによる攻撃や2011年のソニーネットへの侵入、軍需産業や衆議院に対する標的型攻撃などの第二次のターニングポイントと変化している。以前は面白半分だった攻撃目的は最近では多様化しており、お金儲け、国家の指示、主義主張など多岐に渡っている。これらの攻撃の殆どはまず「標的型メール」から始まっている。添付ファイルを不注意で開く状況をつくりだし、感染、その後強制接続し攻撃指令とソフトの送信を行うのである。その結果、感染が拡大し情報の流出へ繋がる。 その攻撃法は主に次の3段階からなる。

(1)初期侵入
(2)侵入の拡大
(3)目的の遂行

これらの対策として

① ログ・証跡管理の充実による被害実態の早期把握
② 組織内CERT(Computer Emergency Response Team)の設置と継続的充実による早期対応 

がある。これらを更に深堀すると

① ログ・証跡管理の充実による被害実態の早期把握

では
・パケットログの保存の強化
  (a)内部から外部へのパケットの保存(Firewall、IDSなど) 
  (b)全通信パケットの保存(NetDetectorの利用など)
・ログ間の相関の把握
  (a)ホスト側のログとパケットログの相関分析の実施
  (b)全ログ(入退室のログ等を含む)間の相関分析システムの導入(ArcSightなど)

などが重要である。 また資料には記載していないがNISCでも標的型攻撃対策のためには適切なログ管理が重要だとしており、その生命線とでもいうものが「時刻」となる。よって本来であればタイムサーバーなどで同期を各サーバーに対して行うことで、時刻の正当な認証を行う必要があるがそこまで行っている企業は大手企業を除けば少ない。 出口対策も一度入られてしまうと攻撃を受けやすく過信してはいけない。よって、入口対策だけでなく出口対策や管理的対策も含めた総合的対策を考えないといけない。

また、次のテーマとして「e-Discovery」における所見を述べた。(「e-Discovery」とは米国の民事訴訟における証拠開示手続き(ディスカバリ)のうち、電子データを対象としたもので、事件に関連する文書や資料などの情報を互いに開示する義務があり、2006年から法律により義務化されている)企業が訴訟を受ける場合、不正を行っていないことの証明のための事前処置は極めて重要である。その主な理由は米国において、準備がない場合には膨大な裁判対応費用が発生するからである。原告、被告とも情報開示するために弁護士同士でファイルのキーワード検索を行い、意識的に情報漏洩にならない程度の開示が必要となるがどうしても最後は人間が行う必要がある。もし事前措置を行っていなかったら、例として関連業務全体で8TBの情報があり、この中から200GBの関連ファイルに絞り、レビューをしただけで1億6千万円もかかった。現在では訴訟支援のための予測コーディングを提供する会社も多く現れた。(予測コーディングとは全ドキュメントのうち一部をコンピュータが抽出しこのドキュメントを人間がレビューしコード付を行うもの)

最後に今後ますますデジタルフォレンジックは重要となっていく。その中でもスマートフォンのフォレンジックは大きく成長するかも知れない。ネットワークフォレンジックと同様に注視していきたい。

Divider
3: 招待講演 「今後のサイバー脅威シナリオと考えれる防御策」
株式会社サイバーディフェンス研究所 上級分析官
名和 利男氏

以前のサイバー攻撃は、単独で行われると見られるものが多かったが、最近は、コミュニティ活動によるサイバー攻撃が目立ってきている。互いに出会ったこともなく顔も知らないが、一時的に共通する思想や目的をもった「緩やかなコミュニティ」が自然に構築され、一部の高い技術や強い思想を持つ攻撃者の誘導により、さまざまな手段により目的が達成まで持続的に攻撃を仕掛ける。彼らは、以前の技術誇示を目的とした攻撃そのものを行うことではなく、明確な目的を達成することが重要であるため、攻撃そのものはターゲットに気付かれないように巧妙に仕掛ける。そのため、ターゲットの内部にどんどん入り込み、300から400日間もの間、秘密裏に第三者による活動を許してしまうケースが増えてきている。

このような攻撃が成功する要因の一つに、SNS(ソーシャル・ネットワーク・サービス)のような断片的な個人に関する情報を継続的に発信するサービスの発展がある。攻撃者らは、ターゲットを攻撃するための最適な入口を見出すため、このようなサービスを利用し、ターゲットに見つからないような手段を取ることができる。例えば、組織のキーパーソンの行動記録やちょっとした所感じみた発言内容は、所属する部署や組織の重要な事業の関係先や有り様を類推するに十分な情報となる。また、電子メールの管理不足を突いた攻撃の成功も目立ってきている。多くの組織や団体で電子メールの転送は禁止されているか、一部の上層部や業務の都合上、未だにメールを転送している状況がみられる。

問題なのは、その転送された個人アドレスのパスワード管理である。組織によって管理されたものとは異なり、一般的にパスワード管理は緩くなっている。私の対処経験の中で最悪だったケースは、幹部クラスの職員が2年間に渡り、業務メールを個人アドレスに転送し続けいた。そして、その個人アドレスの IDとパスワードが第三者に知られていたため、業務メールの全ての情報が第三者に渡っていたことが判明した。また、調査を継続していくとね、非常に巧妙な標的型攻撃メールが、その幹部クラスの職員を騙って、その関係者全員に送信されていたことが分かり、幾つかの端末でウィルス対策ソフトに検知されないマルウェアが数ヶ月もの間、感染していた。これは、たった一人のセキュリティの認識不足と対策を怠ったことにより、広い範囲に深刻な状況を発生させた事例の一つということができる。

全ての職員や社員のセキュリティ意識を一定レベルまで、完全に高めることは難しいということを、そろそろろ私たちは認めないといけない。手持ちのスマートフォンやタブレット端末で容易に情報発信をすることができ、最近は、文字に比べて極端に情報量の多い、写真や動画などを発信することに抵抗がなくなってきた。
一方、ここ数年の財政状況の悪化により、特に若年層に収入源や就職難という形で深刻な影響が出ている。彼らたちの抱く不平不満が爆発し、インターネット環境を利用したさまざまな暴動活動が発生している。例えば、昨年のオキュパイ・ウォール・ストリートと呼ばれる若者による抗議活動がインターネットを通じて呼びかけられていた。今年9月に発生した中国から反日感情に起因した日本企業を狙った暴動は、サイバー空間においても発生した。その根底にあものは、中国の若者の不平不満のハケ口になったという見方が大勢である。

今後、私達が警戒しないといけないことは、このような強い反発心をもった若者達によるサイバー空間での暴動と、それを巧妙に悪用する国家やテロ組織の存在である。若者たちに共通するのは、情報通信技術やインターネットを使いこなすリテラシーが非常に高いことである。一部の高度な技術を持つハッカーが、彼らに対して、強い関心を示し、不平不満を持つ若者たちを積極的に利用し始めている。そして、特定国家やテロ組織が、相手国(攻撃対象国)においてクローズド・ネットワーク、例えば、金融分野では勘定系、エネルギー分野では制御系、通信分野において、情報通信技術が積極的に利用促進されていることを仔細に観察している。国内のアセットオーナーと呼ばれるインフラ事業者の多くは、クローズドネットワークシステムの構築と運用をベンダーに完全に任せてしまっており、セキュリティ対策の一部は、ベンダーを過剰に信頼しているところがある。

組織及びシステムに僅かな脆弱なところを狙っているのが、攻撃者である。その僅かなところから、大きな影響を与えるのが、サイバー攻撃の大きな特徴である。今後のサイバー脅威対処の重要なポイントは、完全に守ることは出来ないという前提にたった「多層的な防御策」と「迅速かつ適切なレスポンス(対処)」である。

Divider
4: 招待講演 「複雑化するサイバー攻撃の現状とその対策」
名古屋大学 情報基盤センター
情報基盤ネットワーク研究部門 教授
高倉 弘喜氏

サイバー攻撃がだんだんと巧妙化している。第一波の攻撃が社内への侵入であり、SNSなどを活用して巧妙に侵入してくる。通常はマルウェア添付のメールが多い。私は管理者ではない、私は重要な作業をしていないということは関係ない。社員の誰でもが標的になっているのが現状である。その後第二波攻撃がくる。社内LANへの浸食である。これも今まではあまり想定していなかった認証系(LDAP/AD)が標的になっているので注意を要する。 またコンピュータ以外のデバイスがネットワークに繋がっている昨今、プリンタ、スキャナー、 プロジェクター、情報家電そしてエアコンの制御までが汚染される可能性がある。プレゼン資料を無線で飛ばしたり、ネットワーク経由でテレビへ配信したり各種センサーもデータを捕捉してエアコンなどのコントロールを行っている。先日も私のキャンパスにコントローラーをつなげたいという業者がいた。リモートメンテナンスをしたいというがお断りした。この危険性を業者自体が判っていないのだ。

OSはLinux、FreeBSD、Windowsの機能限定版(場合によってはフルスペック版)を搭載し、スマートフォンはパソコン用とほぼ同じOSを流用している例も多く、これらの脆弱性が判断できにくく、メーカーは独自開発している場合も多いので、極めて混沌とした状況になっているのではないか。 少なくともパソコンと同じセキュリティリスクを負っていると思って差支えないと考える。

今後の対策は侵入は絶対に阻止、というのは非現実的だ。どこまで許すのか?そしてどこで検知するのか?情報漏洩はどの層で食い止めるべきか、などを検討し、出口対策の重要性は良く認識して欲しい。そして少なくとも「重要情報は絶対に持ち出しを阻止」するというポリシー は極めて重要である。 またログ監視などで不審者が発見されてもすぐに追い出さないというのも一つの考えである。 彼らは何を狙っているのか?どこまで漏洩しているのかという事象を確認してから追いつめてもいいのかも知れない。 従来対策の見直しが重要であり、その中でも「可搬メモリ」は今ではCPU内蔵であり、二次記憶は数百MB、Wi-Fiが搭載されている。よって組み込み機器+メモリでは10年程前のパソコン並みの性能がありこれがマルウェアを持ち込んだり、情報を持ち出したりする事実も多数報告されており十分な注意が必要だ。

IPv6はいまではセキュリティホールの1つともなっており、確認が重要だと感じている。現在のハードはその殆どがIPv6対応になっているが現実は殆どがIPv4のままで動いている。だから未使用のIPv6のアドレスを使い、企業全体に大きな悪影響を与えている場合もある。勝手に社内LANの中にIPv6網を構築している場合も散見されたからだ。セキュリティ上からIPv6は対象外になっているケースもあり、本当に今後は危険なセキュリティホールになるかも知れないのである。ネットワーク全体として全ての通信は「ここを通る」設計なのか?迂回路のネットワーク構築はどうなっているのか?監視システムを回避できる方法がないか、IPv6で別のネットワークを構築されている心配はしなくてもいいのか?なども重要になってくると思う。 フォレンジック的には「ウソ」を付くログの存在やログそのものを出さない組み込み機器の諸問題もあるが、原則として次のような事象が発見された場合には注意すべきである。

(1)普段は出ない大量のエラーログ
(2)不自然な空白の時間
(3)不自然な巨大ログ
(4)普段はみかけないログの出力

などである。

今後の標的型攻撃は目的達成まで決して引き下がらない。 追い出しても追い出しても続々と来ている。よって攻撃者の目的を見極め有効な防止策を立てるまで、監視を強化するという考えも「あり」かも知れない。(削除すれば防止策が出来る前に別の攻撃がきてしまい、実害が出るかも知れないからである。)

Divider
5: 講演 「パケット分析により実現するネットワーク安定化とフォレンジック ~日本国内における先進導入事例より~」
SCSK株式会社
ITエンジニアリング事業本部
エンジニアリングソリューション第1部
シニアエンジニア
古岡 宏理氏

私たちSCSKはもう10年にも渡りNIKSUN社製のNetDetector/NetVCRを販売している。これらの製品はパッシブにパケットを収集し、ネットワークを可視化するものであり、インライン製品ではありません。パケット収集ポートからパケットを受信し、一切のパケットを送信しません。また、パケット取得だけではなく、表示に一工夫していることも特色になっている。1台のアプライアンスでキャプチャ・統計処理が出来、検索・解析、バックアップの動作が同時に可能となっている。これは特筆すべきものだと思う。これらを具現化できるものがNetVCR+NetDetectorである。これまでに様々な機器を試したが価格性能比では優れた製品であると思っている。

ここで導入事例を多々お伝え致したいのだがNDA(機密保持契約)があり、導入しているという事自体を話してはいけないという企業が圧倒的に多いのでそこはご了承願いたい。これらのNIKSUN社製のソフトは、ネットワークフォレンジックが実現出来る。これは一言でイメージとしてお伝えするなら「ネットワークの監視カメラ」と言える。2005年ころまでログデータには次の問題があった。

(1)インシデント発生時の説明責任がうまく出来なかった
(2)サーバーなどのシステムログだけでは状況が判らなかった
(3)モニタリングが大企業でもSNMPベースでしか提供されていない

この様な問題をうまく解決したのがNIKSUNの製品群である。結果論としてはこのシステムが抑止力としてうまく機能し、社員教育を行う機運が出てきたと導入企業から高い評価を戴いている。ログは基本的に全てをとっているものの、独自の技術により全データ量は少なくなっている。また他の導入事例ではインシデント発生時に通信履歴等の確認やパケットデータを再現し、状況把握、手口を調査することが出来るようになったという。これはすごいことであると思う。更にEコマースサイトでは顧客の買った、買わないの苦情対策として本製品を導入したという。簡単にトラフィックの確認が出来るのが良いという。また監査証跡としての活用など、様々な利用方法があり、お客様の多様なニーズに応える製品群であると言える。是非、皆様の立場で本製品の活用イメージを描いては如何だろうか。また特質すべきことは入口・出口対策の侵入検知システムとの連携などにも期待ができ、サイバー攻撃に対して相当な対応策になり得ることである。グラフによる見える化推進やシステムの全コネクションを確認出来る機能を保持していることは本当に素晴らしいと思える 。

Divider

以上が各公演のサマリーです。プレゼン資料もPDFファイルとしてご用意しております。ご希望の方はこちらよりお問い合わせください。