昨今ますます高度化・複雑化が進んでいると言われるサイバー攻撃。では、その攻撃をしかける「ハッカー(もしくはクラッカー)」は、果たしてどのような思考から行動しているのだろうか? ──本稿ではホワイトハッカー(高い倫理観と道徳心を兼ね備え、高い技術を持ったハッカー。「エシカルハッカー」とも呼ぶ)として知られるTISの横森 隆氏に攻撃者側の実情について、国際的なハッカー集団と接触を試みた経験もふまえて見解を語ってもらった。
-
TIS株式会社 IT基盤技術本部 IT基盤サービス第1部 エキスパート 横森 隆氏 CISSP
Twitterでわかったハッカー集団の実態
──ハッカー集団と接触する機会があったと聞いていますが、どのようなやり取りだったのでしょうか。
横森氏: きっかけは2020年、とあるハッカー集団がTwitterのハッシュタグを用いて、一部のユーザーに「アカウントを凍結してやる」と脅していました。そうしたやり取りを観察していた私は、彼らがDDoS系のハッカーであると想定し、ハッカー集団の複数のメンバーに「ならば私のアカウントを凍結してみろ」とリプライを送って、彼らのスキルを確認することにしました。DDoS攻撃というのはサイバー攻撃の中でも単純な物量作戦ですので、彼らがセキュリティレベルの高いTwitterのシステムをハッキングしてアカウントを凍結することなど到底無理なのではないかと考えていたからです。
すると彼らは完全無視を決め込みました。そこで私は何でもない画像ファイルをDMで送ってみたのですが、そのファイルがことごとく削除されていたことがわかりました。このことから、マルウェアではない単なる画像ファイルであることを彼らが見抜けなかったのは明らかです。
続いてハッカー集団の中でもスキルレベルがワンランク高く、情報漏えいを狙ったサイバー攻撃を行う“ディスクロージャー系”との接触を私は試みました。彼らを挑発するような政治的な内容をTweetしたところ、DDoS系とは違い、彼らは報復を意図するような不正アクセスを仕掛けてきたのです。
つまり、一口にハッカー集団と言っても、DDoS系のハッカーもいれば、何らかのポリシーに基づいて行動しているディスクロージャー系のようなハッカーもいるということで、思考や行動が違うのがわかります。一方で、本当にスキルが高いと言われるハッカーはすでに企業や公的機関の要職に就いていることがほとんどで、どこかにサイバー攻撃をしても何の得にもなりませんし、その暇もないでしょう。
実は余裕がない立場のハッカー
──ハッカー集団と接触したエピソードをふまえ、攻撃側が置かれている立場についてどのような実態が見えてくるのでしょうか。
横森氏: まず前提となるのが、脆弱性を見つけるうえで一番有利なのは、その製品をリリースしているベンダー自身だということです。たとえば、マイクロソフトが毎月欠かさずにセキュリティパッチをリリースできるのも、彼らが自社製品を知り尽くしており、バグ、つまり脆弱性を発見できるからなのです。一方で攻撃者にとっては、この段階の脆弱性は非常に魅力的なセキュリティホールと言えるでしょう。
そして脆弱性を攻撃するための簡易プログラム、エクスプロイトコードの開発においては、ハッカーとセキュリティベンダーの技術は拮抗しているのではないでしょうか。しかしここで大きく差がでるのは、十分に検証できる環境があるかどうかです。セキュリティベンダーは資金力があるので豊富なリソースを使って、エクスプロイトコードが本当に機能するのかを十分に検証できます。そして検証結果を見ながら、より汎用性の高いエクスプロイトコードへとアップデートできるので、その防御技術も合わせて開発しているのです。
これに対してハッカー側にはそうした検証環境がないため、とりあえず攻撃を仕掛けて、企業側の反応や報道情報などからエクスプロイトコードの“手応え”を想像するなど、手探りで進めていくしかありません。そのためセキュリティベンダーのようにエクスプロイトコードをバージョンアップできないのです。こうした背景から、実は標的型攻撃のメールの半分は添付ファイルを開いても何も起きません。万が一標的型攻撃が発生しても、セキュリティベンダーは検証結果を生かし、それをブロックする技術を提供できるのです。
このように、脅威を無力化するために対策できるのがセキュリティベンダーであり、それができて初めてユーザーの役に立つことができるのだと言えるでしょう。「常にWindowsを最新のものにアップデートしましょう」とただ言うのではなく、悪性コードを防ぐための技術を提供できなければなりません。
「守る側の方が不利」は実は煽りに過ぎない!?
──今のお話のように、ハッカー側が優位とは限らない状況にもかかわらず、守る側が不利に感じてしまう背景・要因はどこにあると思いますか。
横森氏: そもそも私は「ゼロデイ攻撃」の“ゼロデイ”という言葉自体に矛盾があると感じています。なぜならば、セキュリティホールが発見されている時点で、どのような脆弱性なのかわかっているということなので、厳密な意味のゼロデイとは言えないからです。特に大手ベンダーの場合はすでにセキュリティパッチも用意しているはずです。
本当に未公開あるいは見つかっていない脆弱性──つまり「ステルスデイ」である状態の脆弱性を把握しているのが本当のハッカーと言えるでしょう。しかし、組織に害をなすことができる本物のハッカーというのは、あまり脆弱性にはこだわらないものです。なぜならば、彼らは脆弱性がなくても攻撃できてしまうからです。つまり、そのレベルのハッカーに狙われたら防ぎようがないとも言えます。
ただし大半のハッカーは先述したように脆弱性に依存せざるを得ず、品質の低いエクスプロイトコードしか持っていないため、セキュリティベンダーの方がはるかに有利なわけです。にもかかわらず、多くのセキュリティベンダーが、“守るほうが不利だ”と煽る傾向にあるため、企業もそれを鵜呑みにしてしまっている、というのが実状ではないでしょうか。
“最小セキュリティ”のススメ
──攻撃側が必ずしも有利ではないという現実をふまえたセキュリティ対策とは、具体的にどのようなものでしょうか。
横森氏:
まず、いまのユーザー企業の一番の問題点は、日々溢れる脆弱性情報に振り回されていることにあると考えます。何が自社にとっての問題でありリスクであるのかがわからずに、経営者を満足させることに重きを置いた セキュリティへと突っ走ってしまうのです。それは、ハンコをもらうための「ペーパーセキュリティ」であると言えるでしょう。
確実に保護しなければならない対象に最大限のリソースを投入するのが本当のセキュリティ対策であり、これを私たちは「セキュリティタスクフォース」と呼んでいます。セキュリティベンダーの立場から言えば、顧客の守るべきものは何なのかを最優先に考えて、”最適かつ最小限のリソース”で”最大限の効果”を追求し続けるべきなのです。このような“最小セキュリティ”を実践できていれば、通常の脆弱性もサイバー攻撃も必要以上に恐れることなどありません。
そして最小セキュリティを実現するためには、まずは自分たちの情報資産を十分に把握し管理することが最重要になります。その次に重要なのは、自社のネットワーク図をあらためて見返して読み解くことです。つまり、自分たちの情報資産とインフラ資産を把握することが、セキュリティの第一歩だと言えるでしょう。
その次のステップは人の管理です。どの人にどのような権限があり、どのような情報を扱えるのか把握し、管理することが求められます。多くの企業が情報セキュリティポリシーを策定しているものの、そのポリシーに則った行動をとれる人はほとんどいないのが現実です。
そこで実施していただきたいのが、従業員のセキュリティ意識や行動を調査する「ソーシャルエンジニアリングテスト」です。いくら自社のセキュリティポリシーを理解していても、ソーシャルエンジニアリング攻撃を受ければ、意外と機密情報を漏らしてしまう人は多いのではとみています。企業の最大の脆弱性は“人の脆弱性”にあると言っても過言ではありません。取引先や他部署を装った攻撃は常套手段ですから、人の脆弱性に対処したうえで、ようやくテクニカルなセキュリティ対策に進めるのです。
そのテクニカルなセキュリティ対策においても、まずやるべきことは脆弱性対策ではなくバージョン管理です。自分たちが使っているプロダクトのバージョン情報を把握することで、どの脆弱性情報が自分たちにとって関係があるのかどうかわかるのです。それができていないと、必要のないセキュリティパッチまで適用してしまい、担当者の負荷が増大してしまいます。
よく標的型攻撃訓練などが行われていますが、現実では訓練のような手口の標的型攻撃はないと思ったほうがいいでしょう。標的型攻撃を防ぐために企業がとるべき対策は1つです。それは、攻撃者が使うファイルはほぼWordかExcel形式なので、それらのマクロを無効化してしまうことです。そうすれば、万が一ユーザーが開いてしまったとしてもほとんど影響はないはずです。ちなみにほとんどのアンチウイルスソフトでは、そのファイルが悪意のあるものかどうかの見分けはつかないでしょう。
それと意外と知られてないのが、Windows 10のセキュリティ機能である「Windows Defender」の有効性です。Windows Defenderは既存のアンチウイルスソフトと競合すると言われますが、マルウェア対策で本当に頼りになるのはWindows Defenderだと私は考えています。
ここまでのセキュリティ対策を行っていれば、サイバー攻撃の8割は防げるはずです。セキュリティ対策のハードルは高くみられる傾向にありますが、これまで述べたように、自分たちの情報資産の棚卸しと人の脆弱性に対する対策、そしてMicrosoft Officeファイルのマクロ無効化とWindows Defenderの有効化などを実践すれば、大半の攻撃は防げるのです。逆に、そうした最小セキュリティを行えない組織であれば、それこそが致命的な弱点とも言えます。サイバー攻撃への不安を覚えつつも何から手を付ければいいのかわからないといった悩みを抱える企業には、ぜひ最小セキュリティの実践をおすすめしたいですね。
[PR]提供:TIS