標的型攻撃を受けたヤフー、語られた対策とは?(1/4 ページ)

2013年に不正アクセスでユーザー情報が流出したヤフー。同社がこの事件で得た教訓も基づく標的型攻撃対策の視点を語った。

» 2015年05月19日 07時30分 公開
[國谷武史ITmedia]

 ヤフーは2013年4月と5月、そして10月と度重なる標的型攻撃の事態に直面した。特に5月の攻撃では不正アクセスによって148万6000件ものパスワード関連情報が漏えいした可能性が発覚し、大きなニュースにもなった。この経験から同社は何を学び、現在の対策につなげているのか――社長室 リスクマネジメント室プリンシパルの高元伸氏が語ってくれた。

 当時の事件概略は次の通りだ。


 高氏によれば、まず4月の攻撃は運用担当者がデータの抽出作業している目の前で検知され、瞬時にこれを防いだ。しかし5月の攻撃は、4月の攻撃における対応作業の最中で検知され、瞬く間に情報漏えいの可能性が疑われる状況に陥ったという。「一連の動きは数分単位の出来事。5月の事件は検知から1時間ほどのうちに、漏えいに至った可能性がある」と振り返る。

 これら一連の攻撃が標的型と分かったことは“幸運”だという。攻撃の痕跡を頼りにフォレンジック調査などを実施し、攻撃に使われたマルウェアの中から社内IPアドレスレンジなどのコードが見つかり、攻撃は明らかに同社を狙ったものだと判断した。

 なお、同社サービスやユーザー情報などのビジネスの“心臓部”に当たるシステムは物理的に隔離されており、非常に厳しいアクセス管理を実施していることから、一連の攻撃による影響は及ばなかった。

サイバー攻撃の特徴とは?

 攻撃で同社が得た教訓の1つは「サイバー攻撃が実際に起きる」こと。サイバー攻撃は自然災害などと違い、人間の目には見えないだけにその脅威をイメージしにくい。しかし経験してみると、脅威を「会社」レベルだけではなく、「社員」一人一人のレベルで実感できるという。まず社員一人一人がサイバー攻撃の現実感を認識する必要があるという。

サイバー攻撃に対峙したヤフー。高氏がその経験を語った

 「サイバー攻撃とは、明確な意思、悪意を持った人間(攻撃者)が想定外の手法を意図的に用いて実行するもの。自然災害などのように確率論で考えるリスクではない。攻撃は組織的に行われ、標的の最も弱い部分を狙う。終わりなき戦いといえる」(高氏)

 また、サイバー攻撃は「守る」側が不利になる。戦術論では守る側が有利とされてきた。守る側は自分たちの内部の仕組みを知っており、攻める側は相手の内部を(詳しく)知らないという理由からだ。サイバー攻撃は人間の目にも見えず、攻める側はその動きを隠せることができてしまう点で、守る側が有利という戦術論の常識を覆す特徴を持つ。

 つまりサイバー攻撃とは、自然災害のように偶発的に発生するものではなく、守る側が不利になるリスクとなる。「サイバー攻撃に遭わない」ということは絶対にあり得ず、脅威を完璧に阻止することも不可能だ。一見すると当たり前のように思いがちだが、高氏の説明からはサイバー攻撃を実体験すると、想像する以上にこうした特徴を痛感させられる。

 標的型攻撃などによる情報漏えいのリスクに対処するには、守る側がこうした特徴を認識した上で(1)侵入防止、(2)攻撃検知、(3)事故対応――を実践できるようにしていくという。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ