日本年金機構の情報漏えい事例から、我々が学ぶべきこと

先日のブログ記事でもお伝えしたように、6月1日に公表された日本年金機構からの情報漏えいは、125万件の年金に関連する個人情報が漏えいしたという被害の大きさと同時に、典型的な標的型サイバー攻撃の事例として大きな注目を集めています。すでに公表から 10日が経過しようとしていますが、この間さまざまな発表や報道がなされています。これまでの発表や報道の中から、セキュリティ対策の観点で我々が学べることは何でしょうか。同様の標的型サイバー攻撃に対し、我々が対策を考える上での、4つのポイントをまとめてみました。

  1. 防げない標的型メール、侵入を前提とした対策が必要:
    この事例では、標的型メールが攻撃の侵入口であったことが確認されています。報道によれば、業務に関連する件名を含む複数種類の標的型メールが届いており、最終的に複数の職員が開封、感染したとのことです。
  2. 標的型メールは、繰り返し似たようなレベルの内容が届くスパムメールとは異なり、一様にフィルタリングできるものではありません。2013年度中に内閣サイバーセキュリティセンター(NISC)が行った標的型メール攻撃訓練では 18府省庁の対象者約18万人のうち、1割がメールを開いたことが報告されています。つまり組織の中で 10人のうち 1人は必ず開くという計算になります。組織の業務に直接関連した件名の使用や取引のある組織からのメール送信と思い込ませる偽装など、攻撃者は失敗した攻撃から学び、また新たに得た情報を利用して標的型メールを巧妙化させます。

    巧妙化が進むことにより、受信者がだまされる可能性も高まります。そもそも利用者に攻撃メールが届かないようシステム的な不審メールのフィルタリングによる対策を行うことは当然不可欠です。ここでは、標的型メールに添付されているファイル、あるいはリンクからダウンロードされるファイルが行う通信や挙動をシミュレーションすることで不正なメールであることを検知できる対策が必要です。さらに加えて、侵入の発生を前提とした対策の考えも必要となります。入口ですべての侵入を防ぐことは理想ですが、すべてにおいて万全の対策は無い以上、出口と内部での多層防御が重要です。

  3. 「気付けない攻撃」発覚のきっかけは外部からの指摘、通信の監視が有用:
    この事例では、インシデント発覚のきっかけは NISC からの不審な通信発生の指摘であったことが確認されています。これは、標的型メールによる不正プログラム(遠隔操作ツール)の侵入を自主的に気付くことはできなかったことを意味します。
  4. 標的型サイバー攻撃において、侵入時に使用される不正プログラムは、その時点で標的組織が使用する対策製品に検出されないことを確認して送り込まれます。このため、従来のウイルス検出の手法だけで侵入を防いだり早期に発見することはあまり期待できず、結果として「外部からの指摘」で侵入に気付くケースが多い傾向にあります。侵入した遠隔操作ツールは、内部活動としてネットワーク内の探索を行いますが、その前段階として遠隔操作の確立または侵入段階で自動的に収集した情報を送信するために外部との通信を行います。この事例で発覚のきっかけとなった NISC の指摘は、侵入した遠隔操作ツールが行う外部の遠隔操作用サーバ(C&Cサーバ)への通信に着眼しているものと思われます。

    侵入した遠隔操作ツールの存在を可視化するためには、組織のネットワーク内から外部への通信を捉えることが重要なポイントとなります。また、ネットワーク内の監視も侵入した脅威の早期の可視化と存在の特定のためには不可欠です。ゲートウェイもしくは内部のルータのポイントでネットワーク内から外への通信とネットワーク内部での通信の双方を監視する対策により、侵入した標的型サイバー攻撃に早い段階で気づき、迅速な対処につなげることができます。このような「内部対策」が昨今の標的型サイバー攻撃においては重要になっています。

  5. 「業務の都合」が被害につながる、事前の準備がリスクを低減:
    この事例では、本来は直接アクセスできないデータベース内の個人情報が、業務の都合によりファイルサーバ内に保存されていたことで情報漏えいにつながったことが確認されています。個人情報を保持する基幹システムは物理的に異なるネットワークに存在しており、重要情報には直接アクセスできないはずでしたが、業務の都合による運用で、侵入した攻撃者にもアクセスできる場所に重要情報が置かれていたことで大きな被害が発生しました。
  6. 標的型サイバー攻撃は時間をかけて情報を盗んでいく攻撃、というイメージがありますが、それは攻撃者が狙う情報が適切に守られていてアクセスしづらい場合です。取りやすい場所に重要情報が置かれていれば攻撃者は容易に情報を窃取でき、時間をかける必要性はありません。報道によれば、ファイルサーバには原則個人情報を置いてはいけないなどのポリシーが存在していたものの、業務の都合上からポリシーに反した運用が行われていたようです。

    このように実際の業務遂行上の都合とセキュリティポリシーの乖離から、ポリシーが守られず形骸化してしまうことはどの組織においても起こりがちなことです。ここで重要なことは守るべき情報とともに、業務の実態を把握し、運用可能なポリシーと継続的な監査体制を構築することです。また、インシデント発生時の対応も文書化するなど明確化し、徹底させることが必要です。

  7. 最終的な被害は個人情報、企業規模や業種を問わず広がる標的型サイバー攻撃手法:
    この事例では、漏えいした情報は、基礎年金番号、住所、氏名、生年月日といった個人情報だったことが確認されています。これまで、標的型サイバー攻撃は国や政府関連機関の持つ機密情報、大企業がもつ最先端技術情報などを狙うものとして認識されていました。しかし、攻撃者の真の狙いはわかっていないものの、今回の事例での被害は年金関連の個人情報に留まっています。
  8. 昨年の段階から、業種や規模を問わず民間企業を含めた法人が持つ個人情報や決済情報を狙う攻撃で、標的型サイバー攻撃の手法の使用が拡大しています。2014年2月に確認された航空会社のマイレージ会員情報が窃取された事例でも、標的型メールによる組織内ネットワークへの侵入に加え、マイレージ会員データベースにアクセスする業務を行っていた端末経由でデータベース内の情報が抽出されるなど、今回の事例を上回る攻撃内容が判明しています。

    以前の記事でも指摘していますが、企業のIT担当者が持ちやすい誤解として、自社のシステム内には狙われるほど重要な情報がないため高度な標的型サイバー攻撃の標的にはならない、という考えがあります。しかし、企業の持つ従業員や顧客などの個人情報やクレジットカードなどの決済情報を狙う攻撃の事例では、標的となった企業は規模や業種に関わらず狙われていることがわかっています。そして、実際に標的となった場合の損害は小さいものではなく、事業継続に大きな影響を与えるものになりがちです。これらの事実を認識し、今回日本年金機構の受けた攻撃を自分事としてとらえ、自社の持つ情報資産とその重要性を把握した上で必要な対策を考えるべきです。

今回の事例から気付かされたことは、特別新しい内容ではなく、「国内標的型サイバー攻撃分析レポート2015年版」にまとめている内容から大きな変化はないと考えられます。標的型サイバー攻撃対策の中でトレンドマイクロを含め、多くのセキュリティ関連団体がすでに言及している内容と言えます。標的型サイバー攻撃の対策のためには、

  • 侵入発生を前提とした「入口対策」、「出口対策」、「内部対策」の導入
  • 「守るべきもの」の把握と優先付けに基づいたポリシーの策定や監査体制などの組織強化
  • インシデント発生時の対応方針・プロセスの明文化と徹底、迅速に対応できる体制の構築
    (Computer Security Incident Response Team (CSIRT)など)

といったことを考える必要があります。標的型サイバー攻撃の脅威は、既にすべての組織にとって他人事ではなく、事業継続性を維持する上での最重要対策事項となっています。