近年、国家主導型サイバー攻撃の被害が世界各国で増え始めている。本連載では、国家主導型サイバー攻撃のねらいと手口について、世界のサイバー事件に詳しいマカフィー サイバー戦略室 シニアセキュリティアドバイザー CISSPのスコット・ジャーカフ氏に事例を交えながら解説していただく。
2017年、米国の大手信用情報企業であるエキファックスは、サイバー攻撃によって大量の個人情報が流出したことを明らかにした。
同社は主に個人のクレジットカードやローン、支払い履歴、債務不履行の有無に関する情報などを調査する企業で、個人を特定可能な財務データを多数所有している。これらのデータが盗まれるということは、個人としても企業としても非常に深刻な問題であることは言うに及ばない。
今回は、大規模な情報漏えい事故へと繋がったエキファックスに対するサイバー攻撃について、お話を伺った。
Apache Struts2の脆弱性を突いた国家ぐるみの攻撃
エキファックスがサイバー攻撃を受けて流出を許してしまった情報は、米国の顧客約1億5000万人の社会保障番号や生年月日、住所などといった個人情報。また米国だけでなく、英国やカナダの市民も被害に遭っている。
攻撃者は、ジョージア州・アトランタにあるサーバをターゲットに、Apache Struts2の脆弱性を悪用し、2017年5月から7月にかけて不正アクセスを行っていたものとみられる。
このApache Struts2の脆弱性が公表されたのは2017年3月だった。同様の脆弱性を突いた攻撃により、日本のいくつかの企業や組織も情報漏えいによる被害を受けていることを公表している。
エキファックスの発表によると、3月にこの脆弱性情報が公開された後にパッチ適用を進めたものの、いくつかのシステムで適用が抜けていたため、7月までこの情報漏えいに対応できなかったとしている。
ジャーカフ氏によると、この攻撃は国家ぐるみで実行された痕跡があるという。
「その手口から、私は中国によるものである可能性が非常に高いとみています。中国による国家主導型サイバー攻撃の特徴は、ロッキード・マーティンが提唱する『サイバー・キルチェーン』の各プロセスに対して、複数のチームがそれぞれ対応していることです」(ジャーカフ氏)
例えば、サイバー・キルチェーンの「偵察」プロセスに対応する部隊が、企業サイトやSNSなどの情報からターゲットの情報を収集するなどして侵入口を探し、別のチームがこれらの情報を用いて実際にネットワークへの侵入を試みるといった具合に、複数のチームがサイバー・キルチェーンの各ステージでそれぞれ活動し、次のプロセスを担当するチームと連携していく流れで攻撃が行われるのだという。
国家主導型サイバー攻撃は検知しづらい?
情報漏えい自体は5月に発生するも、発見されたのは7月。
発覚までにかなりの日数を要しているように思われるが、ジャーカフ氏は「我々の調査によると、組織における情報漏えいが発生してから発覚するまでの平均は243日です。この数字をみると、エキファックスのケースは比較的早い段階で発見できたという見方もできます。国家主導型の場合は特に、通常のサイバー防御で想定される攻撃のパターンと大きく異なるため、検知が非常に難しいのです」と説明する。
第一に、外部の悪意ある攻撃者に侵入されないようにすることが一般的な防御の考え方であるため、インバウンドでトラフィックが発生するようなサイバー攻撃は、一見して怪しいものであることがわかり、比較的検知しやすいと言える。
一方で、国家主導型のサイバー攻撃は通常、いわゆるスピアフィッシングの手法を用いることが特徴だ。今回のApache Struts2の脆弱性を利用したエキファックスへの攻撃とは別の話になるが、一般的には、内部に何らかの手段を使って侵入し、そこで悪意のあるファイルやソフトウェアを開き、アウトバウンドのトラフィックを発生させ、そこからコマンド&コントロール(C&C)サーバに接続して外部からさらに攻撃を仕掛けてくるようなパターンを取るため、インバウンドでトラフィックを発生させるようなサイバー攻撃とはそもそも攻撃のパターンが異なる。
「一旦C&Cサーバとの接続が確立してしまえば、C&Cサーバに対してトラフィックを発生させたとしても、FacebookやTwitterへの投稿などのトラフィックと同じようなものに見えてしまいます。トラフィック自体が怪しいものだとしても、アウトバウンドのトラフィックは他のものに紛れてしまうため、異常を検知することは藁の山のなかから針を一本探すような難しい状況になってしまいます」(ジャーカフ氏)
経営陣のセキュリティ意識の甘さが招いた事故
とはいえ、今回のエキファックスの情報漏えいは、前述したとおりApache Struts2の脆弱性への攻撃が元になっている。
ジャーカフ氏はこの事故について「エキファックスの経営層がセキュリティに対する投資について真剣に考えていなかったことの表れと言えるかもしれません」と指摘する。
Apache Struts 2の脆弱性は、攻撃者にとっては攻撃しやすく、これまでにも甚大な被害が多数報告されてきている。
さらに、エキファックスは、個人を特定できる価値の高いデータを扱っているため、攻撃者からしてみれば格好の攻撃対象であった。
強固なセキュリティ対策が必要なのは明白だが、少なくとも当時のエキファックスの体制では不十分であったというわけだ。
システムの脆弱性には予見できない部分が多く、100%の安全はない。セキュリティはコストではなく投資として考える必要があるということを、ぜひこの事故から学んでほしい。