イー・ガーディアンは12月14日、「徳丸浩が解説する、23年度セキュリティトレンドの振り返りと24年度の予測」と題したメディアセミナーを開催した。
当日は、イー・ガーディアンCISO兼EGセキュアソリューションズ取締役CTO 徳丸浩氏が登壇。2023年度に発生したセキュリティインシデントのうち、同氏が注目したものをピックアップして解説したほか、来る2024年のサイバーセキュリティの脅威について見解を示した。
徳丸氏が注目した2023年度のセキュリティトレンド
冒頭、徳丸氏は「毎年、IPAが公表している情報セキュリティの10大脅威を見ているが、実はあまり大きな変化はない」と切り出した。有識者とはいえ人が集まって決めているものなので、投票が行われる時期に何か大きなインシデントが起きれば、それに影響される点は否めない。そのため「多少の順位の入れ替わりはあるものの、対個人の脅威も対組織の脅威も、大きな変化は起こっていないというのが私の認識」だと語る。
そうした前提の下、徳丸氏は同氏が注目した2023年度のセキュリティトレンドとして次の2点を挙げた。
- サプライチェーン上のサイバー攻撃
- 社会インフラでのシステム障害
セミナーでは、それぞれについて具体的なインシデント事例を上げて振り返りが行われた。
サプライチェーン上のサイバー攻撃
まず紹介されたのは、1月に公表されたアフラック生命保険とチューリッヒ保険での情報漏えいだ。いずれも、業務委託している米国企業が外部の不正アクセスを受けたというもので、徳丸氏曰く「サプライチェーンの問題の典型」だという。
「今後の対応としてアフラックがリリースとして出したものを要約すると、『委託先を厳選して管理を強化します』といったことが書いてあります。当然と言えば当然なんですが、ここが重要であり、かつ難しいところです。『他社だから関与できない』ではなく、厳選した委託先に対し、積極的にセキュリティの働きかけをしていくことが必要です」(徳丸氏)
続いて、10月に公表されたNTT西日本の子会社であるNTTビジネスソリューションズからの情報漏えい事件が紹介された。NTTマーケティングアクトProCXが利用するコールセンターシステムの運用保守業務を担うNTTビジネスソリューションズに派遣された元派遣社員が、USBメモリを使って約900万件の顧客情報を持ち出したというものだ。
徳丸氏は当時の会見資料に挙げられていたという主な4つの要因「保守作業端末にダウンロードが可能になっていた」「保守作業端末に外部記録媒体を接続し、データを持ち出すことが可能になっていた」「セキュリティリスクが大きいとされる振る舞いをタイムリーには検知できていなかった」「各種ログなどの定期的なチェックが十分でなかった」を引用し、「いずれも教科書に載っているような内容だが、実は非常に徹底が難しい」と語る。
「私自身も含め、セキュリティの専門家の多くが『これが難しいんだよね』という反応をしてしまいました」(徳丸氏)
本件においては、調査に非常に時間がかかったことなどから「1人1IDの原則」「それぞれに業務上必要最小限の権限を割り当てる」といった基本的なルールが守られておらず、ログの取得や監査も行われていなかったのではないかと徳丸氏は推測する。
仮に個人情報へのアクセス権限を持っていたとしても、1人のオペレーターが大量のデータにアクセスするのは不自然であり、ログの定期的なチェックが行われていれば、早期に発見できたはずだからだ。ただし、「これは非常にありがちな事態であり、まずは基本的なことからやるべきだが、なかなかできていないというのが現状」と指摘した。
その他、ECサイトからのクレジットカード情報漏洩事件を紹介。この事例のポイントは、ECサイトの運営会社が、開発・保守を担当した企業に損害賠償を求めたが、全て棄却された点だという。
徳丸氏は、「従来、類似の判決ではベンダーの責任を問うものが目立つが、本判決は事業主体であるサイト運営者の責任を問うものとして興味深い」とコメント。
「昨今、いろんな理由をつけてベンダーに責任を負わせるケースが多いのですが、知識がないからとか、お金がないからというのは言い訳であって、事業主体側が責任を持ってやるべきであることが判決で裏付けられました」(徳丸氏)
社会インフラでのシステム障害
社会インフラで起きたシステム障害としては、銀行の送金システムの不具合に関する事例と、コンビニエンスストアの証明書交付システムからの個人情報漏えいの事例が挙げられた。
10月10日に発生した、全国銀行資金決済ネットワーク(以下、全銀ネット)の「全国銀行データ通信システム」(全銀システム)の障害は記憶に新しい。
その発生原因になったとされるのが、各金融機関をつなぐ中継コンピュータ(RC)の移行とそれに伴うOSのバージョンアップに伴い、一時的に確保するメモリ領域が不足したことだ。OSはLinux、開発言語はC言語が使用されていたことが明らかになっている。
これに関して、徳丸氏は「そもそも、元のプログラムが良くなかった」と話す。作業領域のメモリサイズを手計算で算出していたと思われるが、C言語では環境に依存せずに動作するプログラミングは可能だからだ。
また、作業領域の不足により生成した、ロードファイルが一部破損する事象は「プログラムの単体テストで発見されるべきだった」と語った。
一方、コンビニの証明書交付サービスに関しては、各所でたびたび誤発行が発生し、メディアでも報道されている。セミナーでは、5月に発生した神奈川県川崎市の戸籍謄本誤発行の事例が取り上げられた。この誤発行が起きた原因は、「異なるコンビニにいる2人の住民が、1秒以内のタイミングで同時に交付申請した場合、後から実行した処理が先に実行された処理を上書きしてしまう」というプログラムのバグだ。
このように排他制御ができていないシステムは「意外と多い」と徳丸氏は語る。特に目立つのが、政府や地方公共団体向けのシステムだ。ただし、それは影響範囲が広く、公表の義務があるからであり、民間の企業でも起きていることだろうと同氏は予測する。
「民間や政府、地方公共団体のいずれも頑張ってDXを進めていこうというところなので、こういった問題もチェックしていく必要があります」(徳丸氏)
徳丸浩が考える2024年の脅威予測
「来年はこういうすごいことが起きますよ、と予言できればかっこいいんですが、私はわりと保守的でして、あまり大きな変化はないんじゃないかと思っています」(徳丸氏)
徳丸氏はその裏付けとして、「IPAの10大脅威を数年分眺めてみても、あまり大きな変化はない」ことを挙げる。この日取り上げなかったランサムウェアについても、脅威としては存在し続けるが、一重だった脅迫が二重、三重になったとしても攻撃側がやっていること自体は変わらないので、防御側がやることもあまり変わらないと語る。
「ランサムウェア(を使う攻撃者)は、お金を払ってくれる企業がいれば何でも良いと考えると、あまり革新的な手口を使う必要はありません。仮に新しい手口を持っていたとしても、古い手口が使えるうちは古い手口の方がいいんです。新しい手口を見せてしまうと、早く対策されてしまうことになりますから」(徳丸氏)
今後、VPNの脆弱性対策が非常に迅速にできるようになる、もしくはVPN自体あまり使わなくなるようになればこうした状況は変わる可能性があるが、今のところその兆候はないという。「ゼロトラストリモートアクセスのような技術も登場しているが、まだそんなに普及していないと思う」(徳丸氏)とのことだ。
また、AI関連の脅威についても、徳丸氏は「急激な変化はあまりないのではないか」と見る。攻撃者も、文章作成やプログラム開発などにはAIを使うかもしれないが、今の生成AIにクリエイティビティはない。そのため、何か今までになかったような脅威が出てくるわけではないというわけだ。
「フィッシング詐欺の文面をAIで、という報道もありますが、やはり生成AI臭い文章が出力されるので、そのまま使うわけにはいかないでしょう。機械翻訳は元々使われているので、その延長では(AIが使われることが)あるかもしれません。ですが、今の拙い文章でもすでに被害者はたくさん出ています。文面が良くなったからといって、被害が急激に増えるかというとそんなことはないだろう、と。基本的には現在の延長で、AIなどは活用されるだろうけど、私の見立てとしてはそんなに急には変わらないのではないかと思っています」(徳丸氏)