ホワイトハッカーに容易に突破される現実

以前から情報セキュリティの重要性が言われ、多くの企業が対策に力を入れていますが、それでも情報漏えい事案はなくなりません。我々の取り組みは、何が欠けているのでしょう。

稲村 悠氏（以下、稲村氏）：前提として知っておきたいのは、攻撃者はそれを生業とした組織である点です。彼らは24時間365日、相手をどう騙すか、真剣に考えているのです。そんな連中を相手に付け焼刃で対応できるわけがありません。

一例を挙げましょう。ダークウェブを見れば分かる通り、組織は常に有能なハッカーを高給でリクルーティングしています。その一方で、高度なスキルを防御に活かす、いわゆるホワイトハッカーも存在します。私が主宰する日本カウンターインテリジェンス協会のメンバーの一人です。ある企業のペネトレーションテスト（侵入テスト）を請け負ったことがあります。疑似的なサイバー攻撃を実施し、セキュリティの弱点を発見するテストを請け負って3カ月ほど過ぎた頃、担当の方にこう聞かれました。

「それでいつ侵入するのですか？」
彼の答えはこうです。
「3カ月前から侵入していますよ」

リスク感度が高い大企業とはいえ、実情はこの程度なのです。またセキュリティリスクと聞くとサイバー空間を連想しがちですが、企業はフィジカル空間のリスクにも目を向ける必要があると考えています。

事件は現実世界で起きるフィジカルでの対策が重要

それはどういう意味ですか？

稲村氏：イメージしやすいのは、社屋に侵入し、エンドポイントにUSBメモリを差したり、偽のアクセスポイントを配置する攻撃です。IC社員証による入退室管理で物理的侵入は防げると考える方も多いですが、そうではありません。手口の一例を紹介しましょう。

昼休みに社員証を下げて外出することは、カードで入退室管理を行っていることを示すサインです。退社時に社員証は首に下げられていませんが、それは鞄にしまったからと容易に想像できます。次に攻撃者は、混雑する電車の中でターゲットに近づき、手のひらに収まるサイズのICカード複製機を近づけ軽く触れます。実はそれだけで一定のICカードについては、簡単に複製できてしまうのです。あとは翌朝、先回りして会社に侵入するだけです。複製機は通販サイトで5,000円程度で売られているもので十分です。

ちなみにUSBメモリによる手法はかなり一般的で、数年前にも米国の車メーカーの従業員に「PCにメモリを差してくれれば100万ドル支払う」と持ち掛けられるという事案が発生しています。従業員の通報によりことなきを得たのですが、リテラシーが高かったおかげで防げたものの当事者のリテラシーに依存したセキュリティは危険です。報酬を引き上げたり、ターゲットを清掃員などのリテラシーが低いスタッフに切り替えていれば工作が成功していた可能性は十分にあります。

知っておきたいのは、攻撃者はサイバーかフィジカルかを問わず、もっとも効果的な方法を選択している点です。実は私も当初、サイバー空間に関してはその専門家に任せればいいと考えていました。しかし調査を進める中で見えてきたのは、双方の攻撃を前捌きする存在でした。ソーシャルエンジニアリングの被害が絶えないこともそれを裏付けています。

お疲れさまの一言のセキュリティリスクとは

ソーシャルエンジニアリングとはどのような攻撃ですか？

稲村氏：これは技術的弱点を突くのではなく、人間の心理の隙や行動の過ちに付け入る攻撃の総称です。社会的な関係を悪用することからこう呼ばれています。古くからの詐欺師の手口と大きな違いはないのですが、いまだに有効です。一例を挙げましょう。

在宅勤務や外回り中の営業担当が、こんな電話を受けた状況を想像してください。「お疲れさまです。システム部の稲村です。〇〇さんの端末にパッチを当てたいのですが、上手くいきません。状況を確認したいのでID・パスワードを教えてくれませんか？」。電話の受け手からすればシステム部の稲村って誰だ、という話なのですが、わざわざ会社に確認する人はそう多くはないはずです。つまり電話一本で簡単にID・パスワードが窃取できてしまうのです。

組織の場合、ダークウェブ等で入手した名簿でターゲットのあたりを付けるわけですが、外回りや在宅勤務中の社員の連絡先を知ることもそう難しくありません。ターゲット企業に「営業部の・・何さんでしたっけ。山内さんじゃなくて・・・」などととぼけてみると案外相手から「山下ですか？」などと教えてくれる場合がありますので、そこで電話を取り次いでもらえばいいだけです。そもそも、前段階でターゲット企業の在籍者の名前を調べることは極めて容易です。

言われてみれば確かにその通りです。では企業はこうした情報漏えいリスクにどう対応すればいいのでしょう？

稲村氏：ソーシャルエンジニアリングという古典的な手法がいまだに有効である理由は、極めて甘く見られている上に手口があまり知られていないからです。サイバー・フィジカル問わず、手口を確実にトラッキングしていくことが重要と考えています。それさえできていれば、陳腐化した攻撃には対応できるからです。
多くの大企業は一定の教育ができていますが、問題は中小企業です。課題は二つあります。一つはそもそも経営層のリスク感度が低いというケース。もう一つはリソース不足で対応が困難というケースです。情報を人質に身代金を得るランサムウェア攻撃はもちろん、サプライチェーンに侵入する踏み台として狙われる可能性もあることを考えると、今まで被害がなかったことは幸運と言わざるを得ないと私は考えています。

ITビジネスに携わる立場としてぜひお聞きしたいのは、リスク感度が低かったり、リソースが不足しているエンドユーザー様へのアプローチ方法です。

漏えいの対価を具体的にイメージしてもらうことが最も効果的でしょうね。発覚後の漏えいプロセス調査では、各種ログを調査し電子的記録を抽出、分析して流出経路を調べるデジタル・フォレンジックなどを専門業者に委託することが一般的ですが、そのコストは中小企業でも100万円以上掛かります。さらにサプライチェーン攻撃の場合、業務をいったんストップし、調査・説明にあたる必要もあります。システム見直しまで含めると、膨大な費用が必要になるのです。

また国際情勢が百年に一度の激動期にあるといわれる中、地政学リスクにも注目が必要です。サイバー領域においてはウクライナやパレスチナは対岸の火事で済みません。ましてや台湾有事となると影響は甚大です。

ウクライナ戦争では、侵攻前には大規模なサイバー攻撃が仕掛けられました。それは情報の窃取や身代金ではなく、インフラ等のシステムを徹底的に潰すことだけを目的にした攻撃です。さらに、国家アクターだけではなくハクティビストによる攻撃も想定されますし、インフラに対するサイバー攻撃により実生活に多大な影響が出てきます。

地政学の動向に関心がないと、サイバー攻撃で何が起きうるか企業として示唆が出てきません。

また、セキュリティ対策の遅れは、攻撃の踏み台として利用されることにもつながります。被害者だけでなく、加害者の役割を果たしかねない点もぜひ知っておいていただきたいと私は考えています。

裏切りの端緒はマネーとエゴ

一方で従業員や元従業員による情報漏えいも後を絶ちません。組織内の敵への対策はどう考えるべきなのでしょう。

稲村氏：その答えとしてまず挙げられるのは、情報へのアクセス権の厳密なコントロールです。彼らが組織を裏切るという決断を下す瞬間を知ることは困難ですが、その端緒を検知することは可能です。インテリジェンスの世界では、裏切りの動機を、金（Money）、イデオロギー（Ideology）、妥協（Compromise）、エゴ（Ego）の頭文字を取ったMICEという言葉で説明されます。

もちろん思想・良心の自由がある日本で、民間企業がイデオロギーの領域に踏み込むことは現実的ではありません。またこの場合の妥協は、脅迫への屈服というニュアンスが強いため、やはり民間企業の手におえる領域ではないでしょう。しかし、金とエゴという二つのキーワードを押さえるだけでも端緒を検知することができます。

語弊を恐れず具体的に説明しましょう。300万円の年収で5人家族を扶養しているなら、経済的に苦しい状況にあることは明らかです。また50代になっても下から数えた方が早い職階であれば、組織に不満を持つ可能性が出てきます。
もちろん、それだけでアクセス権を制限することは性急に過ぎます。

意外に漏えい事案の端緒となるのが風評です。ご存じの通り、悪いことをする人間の周りには必ず風評が立つものです。しかし、その判断にはセンシティブな感度が必要です。
数年前、ある企業の機密情報が上場直前に漏えいするという事案がありました。一見、非の打ちようがない人物に思えた犯人ですが、その端緒はありました。ネットオークションにハマっていたのです。もちろんネットオークションが悪いわけではありません。しかし感度さえあれば、無関係に思える情報もMICEの端緒（この場合Money）になり得るわけです。

逆に言えば、感度がなければ端緒情報が結びつかず防ぐことはできません。またこういった情報を単発の情報で処理することなく、ある程度人事情報等と紐づけて管理されなければ、情報から示唆を得ることができません。企業における問題点は、端緒を知る感度をいかに上げていくかという点にあるのではないでしょうか。「あいつは金に困っている」という分かりやすい風評が広がることは稀です。本当に経済的に困っていれば、なんとかそれを隠そうと考えるはずだからです。特に内部の敵に対しては、システム設計よりもむしろ、些細な端緒を見逃さない感度を育むことが求められていると私は考えています。