脅威ハンティングのプロが語る、6つの“残念な”セキュリティ事例：CODE BLUE 2022レポート（1/2 ページ）

2022年10月27〜28日にCODE BLUE 2022が開催された。本稿は、IBM X-Forceのニール・ワイラー氏による基調講演の様子をレポートする。同氏の講演からは6つの残念なセキュリティ事例と推奨される7つの対策が明らかになった。

[高橋睦美，ITmedia]

　日本発のサイバーセキュリティ専門家による国際会議「CODE BLUE 2022」が2022年10月27〜28日に開催された。CODE BLUE実行委員会委員長の菊池浩明氏（明治大学　先端数理科学研究科先端メディアサイエンス教授）は「CODE BLUEは、2013年の初開催時から、日本から世界に向けて発信する専門家会議として育ってきました」と述べる。

　サイバーセキュリティを巡る状況は2013年当時も厳しかったが、現在は社会や経済により大きなインパクトを与える問題となり、世の中から寄せられる関心も桁違いに高まっている。

CODE BLUEの発起人で実行委員を務める篠田佳奈氏

　しばしば「十年一昔」といわれるが、CODE BLUEの発起人で実行委員を務める篠田佳奈氏によると、今回のイベントは、第1回の開催時に小学五年生だった子どもが「ようやく憧れのイベントに参加できた」と学生スタッフとして運営を支えている。

　そして第1号の学生スタッフは後にCODE BLUEでスピーカーを務め、今やセキュリティ企業の最高技術責任者（CTO）として活躍している。蒔かれた種が芽を出し、大きく花を咲かせるように、そんな風に確実に人材やコミュニティーが育っていることを感じさせられる。

会場ネットワークの設営、運用や場内案内など、多くのボランティアや学生スタッフが運営を支える（出典：会場で筆者が撮影）

華やかなキーワードに踊らされない

　同イベントの初日には、IBMのグローバルなセキュリティ研究開発機関「IBM X-Force」のActive Threat Assessments部門でグローバルリードを務めるニール・ワイラー氏が基調講演「サイバーセキュリティの圧倒的な課題を理解するために」を開催した。

基調講演に登場したIBM X-Forceのニール・ワイラー氏

　ワイラー氏はセキュリティ専門家として20年以上の経験を持ち、脅威ハンティングなどのセキュリティ業務に携わりながら、Black HatやRSA Conference、DEFCONといった世界的なセキュリティカンファレンスにおけるセキュリティオペレーションセンター（SOC）やネットワークオペレーションセンター（NOC）のメンバーを務めてきた。

　ワイラー氏は講演の冒頭で「カンファンレンスの会場に行くと『これこそが次世代のソリューションです。皆さんのセキュリティに関する課題を全て解決します』と書かれたバナーやポスターが貼られています。しかしそれは正しくありません。ベンダーは救世主ではありませんし、箱を導入したからといってセキュリティの問題が解決するわけではありません」と語る。

　同氏はその一例として、最近あちこちで飛び交う「AI（人工知能）／ML（機械学習）」といったキーワードを挙げる。「しばしば『AIを含めたMLが問題を解決してくれる』といった言葉を耳にします。しかし、それで全てが自動化されるわけではなく、誰かがきちんと使いこなさなければいけません。ビルにスプリンクラーを設置し、熱を検知したら自動的に発動してくれるからといって、消防システムが不要になるわけではありません。『人』こそがセキュリティの重要なファクターです」（ワイラー氏）

　ITやセキュリティ業界では「あれも必要だ」「これも重要だ」と言う具合に次々に新たな技術やキーワードが登場して耳目をひく。しかし「本当に重要なのは基本です」とワイラー氏は述べて、ペネトレーションテスターとして世界各国のさまざまな企業を訪れてセキュリティ対策を支援する中で印象的だったエピソードを幾つか紹介した。

6つの残念な事例から明らかになる「見ること」の大切さ

　ある世界的に知られた大手金融機関は、38人の担当者を抱えるSOCを運用できるほどセキュリティ体制が成熟していた。ワイラー氏がまず「FTP（File Transfer Protocol）の有無も含めて、外部に対して異常な通信をしていないかどうかを見てみましょう」と提案したところ、セキュリティ責任者は「いえ、FTPは許可されておらず使っていないので大丈夫です」と答えたという。

　だが実際はどうだったかといえば正反対で、トラフィックを確認するとFTPが見つかった。さらに悪いことに「.ru」で終わるドメイン名のサーバに対して毎晩、過去の取引情報がクリアテキストで送信されていたことが判明した。「これはテクノロジーの失敗ではありません。テクノロジーをツールとして使うのではなく、代替物として全面的に依存していたことが過ちでした」（ワイラー氏）

　2つ目の例は米国の政府機関だ。同機関はベストプラクティスを基にドキュメントを整備しており、セキュリティスタッフも成熟していた。しかし調査の結果、クレデンシャル情報を含んだ通信が、外部に向けて継続的に実行されていたことが判明した。このケースの問題点は、たった一台セキュリティテストを忘れて公開されたWebサーバが存在していたことだ。その一台が侵入を受けたことで情報が盗み出されてしまったという。

　3つ目の例はある海外の政府機関だ。ネットワークを調査してみると「Microsoft Exchange Server」から多くのノイジーなトラフィックが送信されていることが判明した。ワイラー氏はこの組織の問題点について「セキュリティバイアスが外部からの侵害対策に偏っていたこと」だと話す。つまりサイバー攻撃者の侵入対策ばかりに注力し、内部ネットワークに対する監視が不十分だったことが発見を遅らせた。

　4つ目の例は大手ゲーム開発会社だ。同社は多くのセキュリティ製品を導入し、成熟したセキュリティスタッフがそろえており、この体制をより強化するためにワイラー氏に声をかけたそうだ。だがネットワークをチェックしたところ、全くセグメンテーション分けがされていないことが判明した。さらにネットワークのあちらこちらで、クレデンシャル情報がクリアテキストで見つかる状態だったという。

　同社には侵害を受けた痕跡はなかったが、もし悪意ある攻撃者が「GitHub」や「Docker Management」「Confluence」などのセキュリティレイヤーをどれか一つでも突破できれば、すぐさま重要な情報に到達できる恐れがあった。

　「もしサイバー攻撃者がいたなら、コードを勝手に改ざんして誰かがゲームをアップデートした瞬間に攻撃者の思い通りになってしまうところでした」（ワイラー氏）

　同氏は、内部関係者をファミリーとして信頼するのはいいことだが、この状態は攻撃者が思うままに振る舞うことを許しかねないことをこのゲーム開発会社に指摘して修正を促したそうだ。

　5つ目の例はセキュリティカンファレンスのBlack Hatだ。Black Hatのネットワークには、通常のカンファレンスネットワーク以上に「敵対的」なトラフィックが多くみられる。ただし、トラフィックの中にはブースでの攻撃デモンストレーションや、セキュリティトレーニングで学んだことを試す受講者によるものなど、必ずしも有害とはいえないものが含まれている。

　そこで、Black HatのNOCは多くの脅威ハンターが協力して「わらの山の中から針を見つける」作業に取り組んでいる。大量のアラートを精査し、その中から会場インフラや参加者に害を及ぼす可能性があるものを見つけ出す作業だ。実際に脆弱（ぜいじゃく）性に関する発表を受けてその場でエクスプロイトコードを書いていた参加者が見つかったこともある。

　その他、ワイラー氏は、トレーニング参加者の個人PCから金融取引に関する機密情報がネットワークに送信されていることを発見したこともある。「これはまずい」と感じた同氏は会場に足を運び、直接本人に話を聞いてみたという。その結果、VPNを使っていたがスプリットトンネリングが適切に設定されておらず、子どもの学資支援申請に関して暗号化せずにクリアテキストで大学にファイルを送っていたことが判明した。

　6つ目の例はセキュリティカンファレンスのRSA Conferenceだ。Black Hatが一からネットワークを構築してコントロールしているのに対し、RSA Conferenceは、ホテルなど会場が用意したネットワークを利用し、トラフィックをミラーリングして監視しているのみだ。あるとき、ワームと思われるトラフィックが見つかったので詳細に確認したところ、一台のMacBookが、会場内のオープンな共有ネットワークに手当たり次第リクエストを出して接続していたことが判明した。この会場ネットワークは隔離がなされていない、フラットなネットワークだったことも問題だった。

　ワイラー氏はこれらの事例を踏まえて、ネットワークをしっかり見ることこそが重要だと述べる。「見てみなければ何が起きているが分かりません。ネットワークがフラットであることも、VPNが適切に使われていないことも分かりませんし、どんなデータが送られているかも分かりません」（同氏）

　まずはネットワークの資産を洗い出して現状を把握する。次に外部からのサイバー攻撃に加えてネットワーク内部での横の通信も監視する。クレデンシャルの管理やVPNクライアントの設定、ホストの隔離などのやるべきことが適切に設定されているかどうかの確認も重要だ。どれも基本的な事柄ばかりだが、ワイラー氏が紹介した残念な事例が示した通り、その基本を徹底できていない企業や組織が多いのが実情だ。

　「これらは決して難しい事柄ではありません。しかしわれわれは1990年代からずっとこういった問題に直面し続けています」（ワイラー氏）