徳丸 浩氏が“独断と偏見”で選ぶ 2023年気になった事件と2024年脅威予測

2023年は多くのサイバー攻撃が発生したが、この中で徳丸 浩氏が注目したものは何だったのだろうか。2023年のセキュリティトレンドを振り返りつつ、2024年の脅威予測をお伝えしよう。

[田渕聖人，ITmedia]

　2023年も数え切れないほどのサイバー攻撃が発生した。あと2週間で2023年も終わりを迎えようとしているが、読者の皆さんが特に印象的だったセキュリティインシデントは何だろうか。毎日何かしらの情報漏えいやランサムウェア攻撃の報道を見ていると、いつ自社が被害に遭ってもおかしくないように思える。

　イー・ガーディアンは2023年12月14日、メディア勉強会を開催した。勉強会では、“セキュリティ業界のご意見番”こと徳丸 浩氏（イー・ガーディアングループのCISO兼EGセキュアソリューションズ取締役CTO）が“独断と偏見で選んだ”2023年のセキュリティトレンドを振り返るとともに、2024年の脅威予測を発表した。

徳丸氏が2023年に印象的だった情報漏えいインシデントを分析

　徳丸氏ははじめに情報処理推進機構（IPA）が公表した「情報セキュリティ10大脅威 2023」について「『個人編』と『組織編』のどちらも、前年と比較して特段大きな変動は見られなかったというのが私の認識です。今回は私の“独断と偏見”に基づいて『サプライチェーンの弱点を悪用した攻撃』と『内部不正による情報漏えい』の中でも特に印象的だった事例を解説します」と話した。

　同氏は1つ目の事例として、アフラック生命保険とチューリッヒ保険で発生した大規模な個人情報漏えい事件を取り上げた。報道によると、アフラック生命保険では、がん保険に加入している132万3468人分の名字や年齢、性別それに証券番号などの個人情報が流出し、チューリッヒ保険では、現在と過去の自動車保険の加入者のうち最大で69万8767人分の名字や性別、生年月日の他、電子メールアドレスや証券番号などの個人情報が流出した可能性があるという。

　徳丸氏は「両社はいずれも業務を委託している米国の会社が外部の不正アクセスを受けた可能性があると説明していました。つまりこれはサプライチェーン攻撃の典型例だと言えます」と述べた。

　個人情報流出後の対策については、アフラック生命保険では委託先における取り扱い方法の見直しや管理強化および、委託開始前の情報セキュリティ管理体制の強化などを挙げている。

　2つ目の事例は、NTT西日本の関連会社からの情報漏えいだ。NTT西日本の子会社であるNTTビジネスソリューションズの元派遣社員が、勤務先のコールセンターであるNTTマーケティングアクトProCXで約900万件の顧客情報を不正に流出させた。派遣社員が働くコールセンターに業務を委託していた山田養蜂場をはじめ森永乳業やWOWOWなど複数の企業が被害に遭っている。

徳丸 浩氏（イー・ガーディアングループのCISO兼EGセキュアソリューションズ取締役CTO）

　「この問題のポイントは幾つかありますが、NTTマーケティングアクトProCXが山田養蜂場などから顧客情報が漏えいした可能性を指摘されて調査を依頼されたものの、約3カ月後、社内調査に基づき『漏えいはない』と回答したことです。その後、警察の捜査で情報漏えいが発覚しましたが、犯行の特定に非常に時間がかかってしまったというのは反省点でしょう」（徳丸氏）

　会見資料によるとこの他、インシデントが発生した4つの原因として「保守作業端末にダウンロードが可能になっていた」「保守作業端末に外部記録媒体を接続し、データを持ち出すことが可能になっていた」「セキュリティリスクが大きいと想定される振る舞いをタイムリーには検出できなかった」「各種ログなどの定期的なチェックが十分ではなかった」があったという。

　徳丸氏はこれを踏まえて、内部からの情報漏えいを防ぐための基本的な対策として以下を挙げた。

内部からの情報漏えい対策（出典：イー・ガーディアン提供資料）

　「いずれも教科書を見れば載っている内容ですが、大企業でも非常に徹底が難しいのが実態です。情報の出口をふさぐとかセキュリティ教育というのは“地味だが”大事だと覚えておいてほしい」（徳丸氏）

徳丸氏が気になった情報漏えいを巡る裁判とは？

　これ以外に徳丸氏が興味を持ったのが、ECサイトからの情報漏えいを巡る裁判だ。事件の概要は以下の通りだ（PCFはフォレンジック調査を実施するセキュリティ企業）。なお、この資料は弁護士の伊藤雅浩氏のWebブログ記事を参考にしている。

ECサイトからの情報漏えいを巡る事件の概要（出典：イー・ガーディアン提供資料）

　この裁判には幾つかの争点があるが、1つ目は「事件の手口」だ。X社はPCF社のフォレンジック調査に基づき、サーバへのブルートフォース（総当たり）攻撃が原因と主張したが、裁判所は原因を「判然としない」と回答した。その理由としては下図に詳細に記載している。

事件の手口と裁判所の判断（出典：イー・ガーディアン提供資料）

　次の争点は、クレジットカード情報を保持しない仕様で開発する義務に反したかどうかだ。詳細については同じく下図を確認してほしいが、重要なポイントは「決済モジュールは第三者が開発し、決済代行会社が提供したもので、Y社が開発したものではない」という点だ。

（左）クレジットカード情報を保持しない仕様で開発する義務に違反したかどうか（右）Yが決済モジュールの脆弱性を修正する義務があったかどうか（出典：イー・ガーディアン提供資料）

　徳丸氏は「Y社は決済モジュールをあるがままに使わないといけない、勝手に直してはいけないという契約を結んでいました。つまり決済モジュールのソースコードやログを調査し、脆弱（ぜいじゃく）性がないかどうかを確認する義務を負っていたとは認められないと結論付けられたわけです」と説明した。

　最後の争点は「Y社が保守管理契約に違反したかどうか」だ。これについても「1カ月5万円という低額でそこまで高度なことを要求されるのはおかしいということで原告の請求は全て棄却されました」（徳丸氏）

事件の手口と裁判所の判断（出典：イー・ガーディアン提供資料）

　徳丸氏は「この判例は読む人の立場で意見が変わりますが、私としては妥当な判決でした。あくまでセキュリティの主体は発注側にあります。金銭やリソースを言い訳にいろんな理由を付けてベンダーに全体的に責任を押し付けてはいけないという教訓を得ました」と語る。

目立った社会インフラでのシステム障害はなぜ起きた？　仕組みを解説

　徳丸氏はこれらの他に、目立った社会インフラでのシステム障害として、全国銀行資金決済ネットワーク（全銀ネット）の「全国銀行データ通信システム」（全銀システム）の事例と、コンビニ交付システムからの情報漏えいの事例を挙げた。

　特にコンビニ交付システムからの情報漏えいがなぜ発生したかについて、同氏はデモを交えて簡潔に説明した。

　このインシデントの概要は下図の通りだ。神奈川県川崎市の別々のコンビニで証明書交付サービスを利用して戸籍謄本を発行しようとした2人の住民が、同一タイミング（1秒以内）で申請した結果、後続の処理が前の処理を上書きしてしまい、情報漏えいが発生した。

左図は正常系の処理。別時刻に申請すればファイル名は別になるが（左）、同時刻に交付申請すると後続処理が前の処理を上書きしてしまう（右）（出典：イー・ガーディアン提供資料）

　「これはレースコンディションと呼ばれる脆弱性で昔からよくある問題です。解消するには排他制御をしっかりとかければいいのですが、意外とこれができていないシステムが多く存在します。例えば類似例として新型コロナウイルス感染症の水際対策システムで同様のトラブルが発生していました。2人の人物が同時に何らかの操作をすると情報が漏えいするケースは多いので注意しましょう」（徳丸氏）

意外と普通？　徳丸氏が考える2024年の脅威予測

　最後に徳丸氏が考える2024年の脅威予測を解説しよう。2024年の脅威予測は以下の通りだ。

2024年の脅威予測（出典：イー・ガーディアン提供資料）

　徳丸氏は「2024年は2023年と比較して基本的に大きな差異はないと思います。ランサムウェアは依然として脅威であり続けますが、その手法に劇的な変化はないでしょう。主なアタックサーフェス（攻撃対象領域）としてはVPN装置の脆弱性とマルウェア感染でこれも変化はありません」と語る。

　意外と保守的に思えるが、これは裏を返せばこれまでの手法が依然として有効であることを意味する。徳丸氏によると、攻撃者の立場で考えると、変に新しい攻撃手口を見せてすぐに対策されるよりも、完成された古い手口を使い続けた方が結果的には成果につながることが多いという。

　これ以外には生成AI（人工知能）を使ったサイバー攻撃のリスクも近年叫ばれているが、徳丸氏はあくまで急激な変化は2024年には起きないと予想する。「フィッシングの文面作成に生成AIを使用するケースもありますが、作られた文面にはどこかしら『AI臭さ』のようなものが残ります。また、文面が劇的に進化したからといって、被害者が激増するかといわれるとそういうものでもないでしょう」（徳丸氏）

　この逆に防御側の生成AI活用についてもユースケースは増加するが、劇的な成果を生み出すには至らないだろうというのが徳丸氏の見立てだ。

　徳丸氏は最後に「最近はよく『生成AIによってプログラマーは不要になる』といった極端な意見を言う人も現れています。特に発言力や発信力のある方ほどそういうことを言うことが多い気がします。確かに、生成AIによって基礎的な要素や技術を知らなくてもある程度はアプリケーションが作れるようになりましたが、レースコンディションの例のように排他制御を実行できるシステムを自動で作ってくれるところまでは進化していません。やはりセキュリティを配慮したプログラミングをする上で、生成AIが作ったものをしっかりとチェックできる基礎的な知識や技術、つまり開発者の専門性はまだまだ必要だといえるでしょう」と締めくくった。