GRIPS発の「インシデント報告書」は赤裸々に語られた“生きた事例”の宝庫だった：半径300メートルのIT

政策研究大学院大学（GRIPS）が不正アクセス被害に関する調査報告書を公開しました。侵害の経緯から原因、対策までを生々しくかつ非常に詳細にまとめています。セキュリティ担当者“必読の書”のポイントをまとめました。

[宮田健，ITmedia]

　政策研究大学院大学（以下、GRIPS）は2023年8月22日、「情報セキュリティインシデント報告書」を公開しました。2022年9月〜2023年5月まで長期にわたり発生していた公開Webサーバに対する不正アクセス被害の経緯と原因、対策をまとめています。

　筆者は早速このレポートを読んでみたのですが、非常に興味深く、また多くの組織が同様の事態に悩んでいるのではないかという点で、全ての業種や業態、特に「セキュリティ専任者はいないが、CSIRT（Computer Security Incident Response Team）は構築している」といった日本企業にはぜひ目を通してほしい資料です。今回はこのレポートの中でも、筆者が強く共感を覚えて印象に残った箇所をピックアップしたいと思います。

10年近く前から「長期潜伏」している攻撃者に気が付けますか？

　まず驚いたのは、同インシデントの初期感染が「2015年4月13日」から始まっていることです。情報システムにサイバー攻撃が実行され、Webシェルと呼ばれるマルウェアが埋め込まれたとレポートでは報告されています。

　このように公開Webサーバを運用する上では、脆弱（ぜいじゃく）性を悪用されて不正なプログラムを埋め込まれるリスクがあります。これを長期にわたり発見できなかった原因がGRIPSのセキュリティ体制に起因するかどうかは分かりませんが、多くの企業で無視できない実態なのは間違いありません。

　幸い、レポートでは「公開Webサーバへのアクセスログが別サーバに長期保管されており、設置されたWebシェルのアクセスを追跡できた」（P4）と記載されています。1世代昔のシステムにアクセスログが残っていたことが、10年近く前であるにもかかわらず感染日まで特定できた理由でした。いかにログの長期保存が重要かが分かります。

　報告書によると、のちにこのシステムは刷新されるわけですが、移行時にいわゆるウイルス対策ソフトによるチェックをしたもののWebシェルをすり抜けてしまい、不正プログラムの機能によって学内ネットワークにスキャンが実行されて、2022年の被害につながったようです。

　Webシェルについては、Webアプリの脆弱性対策だけでなく不正なファイルの有無や不正な書き換えチェックなど見るべきところが多くあり、対策が難しいのが実情です。原因となる脆弱性をアップデートでふさいでも、書き換えたファイルが残ったままなら、引き続き脅威も残ってしまいます。古いプログラムでも動いているからといってそのまま放っておくのは危険であることが、この事例から分かるでしょう。

　報告書では、インシデント検知後、GRIPS側で公開サーバを停止（Webシェルも停止）したにもかかわらず、サイバー攻撃者が即座にあらかじめ埋め込んだと思われるバックドアから内部に侵入していたという驚くべき事実も明らかになっています。

GRIPSにおける不正アクセスの概要（出典：「情報セキュリティインシデント報告書」P5から抜粋）

インシデントを引き起こした“根本的”な原因とは？

　同レポートでは、不正アクセス発覚後のGRIPSの対応についても時系列でまとめられています。多数の端末がウイルスに感染し、外部に公開していたWebサーバから内部に入り込まれ、ADサーバやLDAPサーバ、ファイルサーバなどが次々と攻撃を受けていった経緯が分かりやすく説明されています。ここを読むと、不正アクセスを受けたとき、まずどこに報告すべきかといった初動対応の参考になるかもしれません。

　もちろんこうした経緯も重要ですが、調査報告書で皆さんが気になるのは「何が根本原因だったのか」という点でしょう。もちろんWebシェルが設置されたこと、脆弱性が残っていたことが原因ではあります。しかしそれは“根本的”な原因ではありません。同レポートでは、その先の“根本”にも迫っており、それこそが皆さんにこの報告書を読んでほしい理由です。

　同報告書は「9. 被害を発生・拡大させた要因」でさまざまな要因を挙げています。その中でも同書は「組織的な要因」に多くのページを割いています。ここを少し読めば、こうした被害はGRIPSだから起きたわけではなく、多くの企業で十分に起きる可能性があることが分かるでしょう。

　少し抜粋すると「大学全体において、情報システムの企画・運営が軽視されてきたことが不正アクセスの被害を発生、拡大させた大きな要因である」（P16）、「情報システム担当者は総務部門との兼任となっており、実質的に0.5人の人員で情報システムの運営を行っていた」（P16）、「GRIPSの情報システムは運用委託先ITベンダーに、ほとんどを任せる形で運営されていた。また、運用委託先ITベンダーの管理・監督という重要な業務も十分に実施することができていなかった」（P16）など耳が痛い記述が出てきます。

　他にも多くの企業が設置を急いでいるCSIRTについても重要な指摘があります。ここでは被害を発生・拡大させた要因として「実効性のないインシデントレスポンス体制」がズバリ挙げられており、設置はしているがメンバーを任命しただけだったと記載されています。ここだけ読むとお粗末な印象を与えるかもしれませんが、多くのCSIRTが似たような状況にあると考えると、つまびらかに実態を公表したことは称賛に値するでしょう。

“名ばかりCSIRT”のような「実効性のないインシデントレスポンス体制」が被害を生んだ組織的要因の一つに挙げられている（出典：「情報セキュリティインシデント報告書」P17から抜粋）

　技術的には「アカウントの棚卸が不十分」や「脆弱性管理の仕組みの不在」なども指摘されていますが、全体を見た印象では、やはり「人」「組織」そのものの脆弱性が大きな課題であることが分かります。同レポートは非常に参考になる部分が多く、セミナーなどで語られる「成功した事例」ではない、“生きた事例”として活用できるのではないでしょうか。

失敗を失敗で終わらせないために

　私たちができることは、他の組織の失敗を参考に同じ失敗を繰り返さないことだと思います。それこそが、GRIPSがここまで詳細なレポートを公開した意義でもあるはずです。

　同報告書はサイバー攻撃に関連したマルウェアの名前とハッシュ値、攻撃に関連したIPアドレスもしっかり公開しており、全てのページが教科書として使える大変有用な資料になっています。

　もし皆さんのなかで、1人または1人以下で情シスやセキュリティを担当しており苦労されている方がいれば、ぜひこれを読んで上司や経営層にも紹介してください。サイバー攻撃の現状だけでなく、攻撃を受けた際にどれだけ苦労するのか、自社も同じレポートを作れるだけの情報があるかという点なども、経営層と共有しなくてはならないでしょう。

　全ての企業がサイバー攻撃を受ける可能性がある今、もしかしたらあなたの企業も10年近く前から“潜伏”されているかもしれないのです。今回紹介したのはレポートのごく一部でしかありません。レポート自体も非常にコンパクトにまとまっているので、ぜひ皆さんもチェックしてみてください。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。