「攻撃を検出!」そのとき通信事業者は――国内初の想定演習

2月14日の重要インフラセキュリティセミナーでは、国内ではおそらく初の実施となった、通信インフラを狙ったサイバー攻撃に対する対応演習のあらましが披露された。

» 2007年02月16日 16時17分 公開
[高橋睦美,ITmedia]

 「通信インフラ事業者がまず心がけるべきなのは、自分たちが落ちないこと」――。2月14日に開催された「重要インフラセキュリティセミナー」では、Telecom-ISAC Japanでも活動している、NTTコミュニケーションズ法人事業本部第二法人営業本部の小山覚氏が、国内ではおそらく初の実施となった、通信インフラを狙ったサイバー攻撃に対する対応演習のあらましを語った。

 この演習は総務省が主体となり、NTTコミュニケーションズが入札の結果、実施を担う形となった。演習そのものは2006年12月から2007年1月にかけて行われ、情報セキュリティの日である2月2日には、総理大臣官邸で報告会も行われたという。

演習の前に「席に着くだけで一苦労」

 この取り組みが始まった背景には、インターネットがあまりにも「汚染」されている現状がある。P2P型ファイル共有ソフトによる暴力的なまでのトラフィック増加やボットの蔓延、ウイルスやスパムの増加などにより、「崩壊寸前の様相を呈している」と小山氏。解決策は、「ユーザーとISPがともにセキュアにならないといけない」という。

 その1つとして計画されたのが、サイバー攻撃への対応演習だ。大規模な攻撃などによってインターネットが機能不全に陥ることのないよう、人材育成や緊急対応体制の検証を行うこと、ひいては安全、安心にインターネットを利用できる環境につなげていくことが狙いである。だが、実施にいたる道のりは単純ではなかった。

 そもそも通信事業者というのは、データを届けることが業務である。つまり、どのようなトラフィックにも分け隔てなく通信を提供するのが仕事、ということになるが、「そもそも攻撃もまた通信の一種ではないか」「防御に当たって中身を見ることは、通信の秘密の侵害に当たらないか」といった論点が山積みで、皆が席に着くだけで一苦労だったという。

 また、通信事業者が自社の設備を守るのは当たり前として、ユーザーを守るとなると勝手にやってもいいものかどうかという論点が生じる。また、通信インフラと関連した重要インフラを守るには、そもそも何をすればいいのかが分からない……という具合に、法制度もさることながら、技術面での課題に運用面での調整、さらに社会的なコンセンサス作りなど、対応行動をとるためにはさまざまな課題が存在するという。

 中でも最初の壁は、ときには競争相手になる他の通信事業者との間の情報共有をどうするかという部分だった。「インターネットを守るには連携が必要。それを乗り越えて連携した対処のベストプラクティスを作っていきたい」と小山氏は述べている。

 さらに「未経験のインシデントが起こると、人は頭が真っ白になるもの。真っ白になる時間を短縮することを目的に、マニュアルつくりも進めていきたい」(同氏)

3つのシナリオが用意された対応演習

 実際の対応演習は3通りのシナリオにそって行われた。

 1つ目は、重要なWebサイトを狙った分散型DoS攻撃(DDoS攻撃)への対処だ。通信事業者としては、こうした攻撃があったとしてもアクセス可能な環境を作り、アベイラビリティを確保することが「仕事」ということになる。

 DDoS攻撃はさまざまな経路を介してやってくる。このため、攻撃対象のサイトが利用しているプロバイダーはもちろん、攻撃元のプロバイダー、それを中継しているプロバイダーらが「連携しなければ対処できない」(小山氏)

 またこの場合は、Webサイトを運用している顧客が助けを求めなければ、通信事業者側がアクションをとることは困難だ。だが「顧客が知っているのは事業者の名前くらいで、どこが窓口なのか、どこに助けを求めればいいのかが分からず、それを把握するのに1日くらいかかることもあった」(同氏)。さらに、間にサーバ管理者やシステムを納入したベンダー、データセンター側の担当者など、さまざまな人が関わってくる以上、そうした人々に平等に情報を届けていくことが対処に当たっては重要だという。

 2月2日に首相官邸で行われたサイバー攻撃対応演習の実演では、IIJを利用しているWebサーバがDDoS攻撃を受け、要請に応じて、NTTコミュニケーションズとKDDIという異なる事業者が電話で連絡を取りながら対処をとる、というシナリオが演じられた。ちなみに高市早苗内閣府特命担当大臣が攻撃者側の指揮者に、田村憲久総務副大臣が防御側指揮者に扮したという。

 2つめのシナリオは、DNS攻撃への対処である。つい先日には、DNSルートサーバを狙った大規模な攻撃が発生したばかりだ。

 かつて、コンピュータソフトウェア著作権協会(ACCS)のWebサイトにDoS攻撃が仕掛けられたとき、同協会ではDNSサーバからAレコードを削除するという形で対処した。この結果、存在しないレコードへの問い合わせが無限ループで発生し、DNSサーバに過大な負荷が集中してしまった。中にはサーバがダウンしたプロバイダーもあったという。

 これに対しTelecom-ISACでは、複数のプロバイダー間で調整しながら、パケットを「吸い込む」などの対策を協調して進めた。ただ、この事件については、ある程度時間をかけて相談しながら進めることができたが「今、突然DNSを襲うようなインシデントが起きたら対応できるだろうか」と小山氏は警鐘を鳴らす。

 そもそもDNSは分散協調型システムだが「それを運用する人間がつながっていない。人間がつながっていなければ、情報を連携して対処することなど望むべくもない」(同氏)

 最後のシナリオのテーマは、IP電話へのスパム攻撃だ。重要な番号に30分おきに嫌がらせの電話がかかってきたりすれば、円滑な業務遂行は望めないが、こうした事態にどのように対処するかが探られた。

 テレビドラマの逆探知ではないが、「昔の電話では、誰が誰にかけたかをエンドツーエンドで把握することができた。しかしIP電話では、ログが残されていない(あるいは残せない)し、経路が分からない。中継したISPは分かっても、そこから先、誰がかけてきたのかは問い合わせないとわからない状態」(小山氏)。演習では、あらかじめ打ち合わせをしてあったにもかかわらず、発信元を突き止めるのに3時間ほどかかったという。

 一連の対応演習の結果は、現在とりまとめが進んでいる最中だ。夏には、可能な範囲で何らかの報告ができる見込みという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ