2024.12.19
システムの穴を運用でカバーしようとしてミス多発… バグが大量発生、決算が合わない状態から業務効率化を実現するまで
提供:株式会社網屋
リンクをコピー
記事をブックマーク
寺岡篤志氏(以下、寺岡):では、「スペシャル対談 元海外特殊部隊員に記者が直撃 狙いは? 国家間サイバー攻撃に企業も巻き込まれる将来」ということで始めさせていただきます。
まず、話者の2人について紹介いたします。ハンドルネーム「大佐」ということで、元海外で特殊部隊の大佐を務められ、狙撃手でもあり、レッドチームとしてもご活躍されて。現在は企業経営のほか、個人でもホワイトハッカーとして活躍されている大佐さんにお越しいただいています。
今お話ししている私は、日本経済新聞の記者の寺岡と申します。過去7年ぐらいセキュリティ関係に携わっておりまして、特にここ2年ぐらいはほぼセキュリティ専業の記者をしております。話者はこの2人なんですけども、私がファシリテーターを務めさせていただきます。
先ほど簡単に大佐さんをご紹介させていただいたんですが、これだけだと「なんだ、この経歴は?」という視聴者の方が多いと思うので、お話しできる範囲でちょっと深くおうかがいしていきたいなと思います。あらためてよろしくお願いします。
大佐氏(以下、大佐):お願いします。
寺岡:まず、海外の特殊部隊におられたということですけれども、日本の方という前提で、外国人部隊にいたわけではないんですよね。
大佐:はい、ではないです。
寺岡:どういったきっかけでこういうご経歴になられたのかを、可能な範囲で教えていただけますか?
大佐:そうですね、スカウトされて行くことになりました。特殊部隊に行く前に何をしていたかは、ちょっと今は言えないんですけれども。
寺岡:サイバーセキュリティのお仕事もされたと思うんですけど、狙撃手もやられていたと。
大佐:そうです。もともと幼少期にはセキュリティではなく、(狙撃という)攻撃側をやっていたわけですけれども。まあそこから筋肉を使うようなことをずっとしていたので。
寺岡:(笑)。物理的なほうもですね、なるほど。
大佐:(キャリアの)スタート地点はもちろんサイバーだったんですけど。仕事の種類の延長線というか、実際に近接でもやらないといけないことが多かったので、途中で狙撃手になりました。狙撃手を一定期間やった後に、またサイバーのほうに戻ってレッドチームを指揮していたという状態ですね。
寺岡:おそらく多くの方はなんとなく聞いたことはあるかなと思いますが、念のため、レッドチームではどんなことをされるのか、多少解説いただいてもよろしいですか?
大佐:わかりました。大きく分けると、「レッドチーム」と「ブルーチーム」の2つがありまして。ブルーチームは今だと民間企業のほうにも適用し始めているんですが、もともとは両方とも軍事用語でした。
わかりやすくテロを例として挙げると、基本的には、どういうテロを行うかの内容を考えて、そして行い得るかを立案・計画して、シミュレーションで実行するのがレッドチーム。
それに対して対策を立てたり、もしくは図上戦術のかたちで実際にデモンストレーション・仮想シミュレーションを行う時に、どこまで対策ができているかというのを、守る側のオペレーションとして回すのがブルーチームという話ですね。
だから、テロ対策の警備をするのがブルーチーム、テロ側がレッドチームというイメージで見てくれるとわかりやすいと思います。
寺岡:いわゆるオフェンシブセキュリティの専門家でいらっしゃったのかなと思うんですけれども、やはり実際に外部への攻撃を担当されていることはあったんでしょうか?
大佐:はい、あります。
寺岡:なるほど。やはりそういったミッションもご経験されているというわけですね。やはりオフェンシブという意味では、現場でものすごい修羅場をかなりくぐってこられたのかなと拝察いたします。現在はご自身で起業されて、セキュリティなどで携わっていらっしゃるということでよろしいですか?
大佐:両方ですね。もちろん軍事の部分に触れることも。
寺岡:それも請け負いをされるというか。
大佐:はい。やってますし、民間企業向けのこともやってますね。
寺岡:やはりオフェンシブセキュリティの観点からアドバイスをされたり。
大佐:そうですね。濃度を薄めて、「オフェンシブ『セキュリティ』」という言葉を付けたほうが、たぶんみなさんは安心すると思って。
寺岡:(笑)。なるほど。実際にはオフェンシブの色合いがより強いのかもしれませんが。
大佐:セキュリティという括りの中で、オフェンス・ディフェンスというふうにしたほうが、「こいつ、やべえやつだな」という濃度は多少薄まるんじゃないかと期待はしたいところですけれども。
寺岡:(笑)。そういう意味では、レッドチーミングみたいなご活動を、企業からの委託でやられたりとかも。
大佐:そうですね。もちろん企業だけではなく、ここのタイトルにもあるように、やはり国家間の情勢が今、西側と東側というふうに二元論的に分けるだけじゃなくなっています。もっとグラデーションで細かく分かれて、かなり情勢としては不安定になってきているので。
レッド・ブルー両方ができるので、その部分で意見提供をしたり、実際に作戦立案したり。もちろん実行も、内容によりますけれども多少は(行っています)。
寺岡:ありがとうございます。お聞きしたいことはいくらでもあるんですけども、せっかくですので具体的なお話にも進んでいきたいかなと思います。
まず最初のテーマは、「国家背景の攻撃 VS 企業」ということで、ちょっと設定させていただきました。ディープな「国対国」の話も非常に興味深いんですけれども、今回聞いてくださっているのは企業の方が多いのかなと思いますので、あえて企業を交えた話ということで、ぜひおうかがいしてみたいです。
どんなものがあったかを一応ちょっとおさらいします。いろんな事例も思い浮かぶので、とりあえず生成AIに聞いてみたら、この3つが挙がってきました。国家背景の攻撃で、民間企業に攻撃が仕掛けられたという意味ですと、やはり走りは2009年、Googleが仕掛けられた「オーロラ作戦」というものが非常に有名かなと思います。
これも中国から仕掛けられた攻撃であると米国政府に指摘されておりまして、いわゆる中国の人権活動家の方々などの情報を得ようとしたのではないかと指摘されていますね。
それから、2014年のソニー・ピクチャーズエンタテインメント。これは北朝鮮に関する映画が、非常に当該の国を侮辱するものではないかということでお怒りになられてですね。サイバー攻撃を仕掛けたのではないかという分析がされています。これは日本の方にも非常に馴染み深いものかなと思います。
そして2017年、ウクライナへの攻撃で使われた「NotPetya(ノットペトヤ」という有名なマルウェア。これは世界にも拡散してしまいましたけれども、これによって電力会社が攻撃を受けて、停電などにつながったことがありました。
直近ではご存じの通り、ロシアによるウクライナ侵攻でまた電力会社が攻撃を受けたり、特に大きな影響があったのが衛星通信ですね。(米衛星通信大手の)Viasatというところに攻撃が仕掛けられて一時通信が止まったとか。
あるいは米国でも、先日Microsoftのサービスに対して中国から攻撃が仕掛けられたのではないかといった指摘がありました。
寺岡:ここでちょっと、ぜひ大佐さんにおうかがいしたいことがあります。実際に外部へのハッキングにも関わられたということを踏まえて、こういった民間企業を狙う時は、どのようなモチベーションがあるのか。
大佐:(笑)。
寺岡:どういう思考過程でターゲットを選ぶのか、あくまで一般論という前提でおうかがいができればなと思うんですけれども、いかがでしょうか?
大佐:基本的には戦略が最初にあるので。外交、それから外務について、今どういうかたちでその国とコミュニケーションを取っているかという情報を基に、軍事戦略を立てます。
だいたいの国は、基本的に軍事的な(部門)、日本だと防衛省だと思うんですけれども。それから国防省だったり、それに類する捜査当局、それからロシアだとFSB(ロシア連邦保安庁)やGRU(ロシア連邦軍参謀本部情報総局)といったところが情報作戦を組むわけですね。
その情報戦略を組んだ上で大きくラダーを分けていくと、「戦略」「戦術」「作戦」「実行」という、大きく4段階のフェーズに分かれるわけなんですけれども。戦略レイヤーの目的が何なのかというと、もちろん国ごとに秘匿されている機密情報ですし、外部のところは推察しますけれども、それが合っているかどうかは正直わからないです。
ただ、戦術目標、戦術レイヤーでの目的を設定した上でハッキング。それからワームをまいた後、ランサムウェアで身代金攻撃をするというのは、金融的な側面、それから軍事的な側面、情報の側面が複数にまたがって実行するので。
実は一つひとつはぜんぜん違うバックグラウンドが存在するので、今まとめてお話しするのは難しいんですけれども。
例えば「オーロラ作戦」にしても、ソニーにしても、「NotPetya」もその前の「Petya」もそうですし。「NotPetya」は最近「GoldenEye」と呼ぶことが多いので、「NotPetya(GoldenEye)」みたいに書いておくとわかりやすいかもしれないんですが。すべからくだいたいMicrosoft製の製品の脆弱性を突くことが多いんですね。
「オーロラ作戦」は……すみません、これは作戦レイヤーの話ですけれども、Internet Explorerを突きましたし、「NotPetya」や「WannaCry」もそうなんですけれども。
SMB(Windowsのネットワークでファイル共有やプリンター共有などを行うためのマイクロソフト独自の通信プロトコル)のエクスプロイト(不正アクセスなどに悪用される攻撃用プログラム)があって。少し前に、NSA(米国家安全保障局)が開発したエクスプロイトコードが流出して、それを利用しているのがほとんどだったりします。
大佐:目的があって、目標があって、作戦がある中で、説明が難しいところなんですけれども、国家間目的の中に民間企業が巻き添えになる。次の順序としては、まずは絶対にインフラレイヤーと金融レイヤーを狙って、その後軍事レイヤーは並列で走るので。
コアとして重要なのは、ロシアはクリミアの問題とかも並列して続いていましたから、その周辺でウクライナに対して電力問題を起こすのに加え、「NotPetya」のばらまきの75パーセントぐらいは。
その時に、会計ソフトや金融系のExcelソフトの暗号化もセットで狙っているので、わかりやすい表面上の「被害が一番出ましたよ」じゃないところで戦術目的が介在していることが多いです。
なので、民間企業は巻き添えにはなるものの、国家戦略の中で自分たちがどう被害を食らうかを推察するのは、なかなか難しい問題ではあったりします。
寺岡:なるほど。なかなか推測が難しいですね。そういう意味で、やはり表には出てこないといいますか、ケーススタディも難しいでしょう。
大佐:技術的なケーススタディでいけば、もちろん可能です。ただ戦略目的からの推察というふうにすると、なかなか難しかったりはしますね。ああ思い出した、「EternalBlue」だ。
寺岡:「EternalBlue」ですね。懐かしい言葉ですね。
大佐:懐かしいわ。
寺岡:なかなか私もちょっと忘れていました(笑)。
大佐:SMBの脆弱性ですね。
寺岡:はい、(米国家安全保障局から脆弱性攻撃プログラムが)盗まれた件ですね。やはりインフラや金融関係をご指摘されてましたけども、第一目標ではないこともあるということですか? ここは注目されることがあるわけですか?
大佐:いや、第一目標じゃない場合もあります。重点拠点を意図的に狙い続けるというのは、国自体にもよるんですけれども、もちろん重要防護拠点でもあるので(攻撃するのが難しい場合があります)。
やはり防護体制がしっかりしていたり、ネットワークにつながらないようなかたちで、オフラインで隔絶している環境を何層にも分けて準備していたり。
守る側も重要拠点ということは認識していますから、かなり重点的に防護するわけなので、狙う順序としては確かに正しいんですけれども、難度が高い場合は後回しにすることもあります。
寺岡:なるほど。それは「将を射んと欲すればまず馬を射よ」みたいな考え方なんですかね?
大佐:そうですね。あとはその国のビジネスの仕方とか、どれだけサプライチェーンが脆弱かにも影響は受けるので。
寺岡:そういったサプライチェーンなどの事前の情報と言いますか。インフラのどの部分を担っているのかとか、やはり偵察なども事前の作戦立案では非常に重要ではないかなと思うんですけれども。
これもある程度、いわゆるサイバーセキュリティ部隊が、ハッキングなどを経て情報を得るものなのか、あるいはいわゆるヒューミント(人的諜報)なのか。
大佐:両方ですね。ただ、やはり情報収集はだいたい1年から3年かけます。
寺岡:やはりそれぐらいのロングスパンなわけですね。
大佐:少なくとも1年ぐらいは準備しますね。
寺岡:なるほど。直近の傾向として、やはり犯罪者を介した攻撃が指摘されることが多いのかなと思います。直接的に国家が支援していたり、国の軍隊とか情報部隊が養っているハッカーによる攻撃ももちろん脅威なんですけれども。表に出てきやすいものとして、サイバー犯罪者が攻撃をしてくる。
国家的意図の薄さにも、いろんなものがあると思うんですけれども。例えばコロニアル・パイプラインも日本でも大きく報道されたので、みなさまご記憶にあるかと思いますが、2021年にパイプラインが止まって、ガソリンスタンドが動かなくなるなど非常に大きな問題となりました。
この時バイデン大統領は、「ロシアが犯罪者を放置しているから起こるんだ」というような理論で批判をされていました。その後、「そんなことはないんだ」というつもりなのか、ロシア側が実際そのグループを逮捕するというような案件もありましたけれども。
そのように一部の方たちは、「これは『State Backed』ではない。背景にあるわけではないけれども、国家が放置している『State Ignored』なんじゃないか」という言い方をされていたり。
あるいは、最近よく言われている「ハクティビスト」という集団ですね。日本にも「Killnet」という集団が、DDoSの攻撃を昨年の秋に仕掛けてきましたけれども。
こういったいくつかの集団に関しては、やはりロシア政府とのつながりが指摘されていて、金銭的支援を得ているのではないかと。本当に指示を受けているのか、あるいはお金が単純に背景にあるのかとか、いろんな考え方があるかなと思います。
まだ国家的背景は指摘されてませんけれども、やはりインフラで日本が狙われた事例として、名古屋港がランサムウェアにより停止するという案件も起きました。このように犯罪者を使う攻撃もいわゆるカモフラージュで、実際には国家の戦略とかが裏に隠れているケースもあるものなのでしょうか?
大佐:ぜんぜんありますよ、むしろめちゃくちゃあります(笑)。
寺岡:実際に国家がダイレクトに攻撃する時と、「いや、これはちょっと飼っている犯罪者にやらせよう」という時は、仕掛ける側としてはどういうふうに考えたり、判断しているんでしょう。
大佐:これは話しすぎると僕、犯罪者みたいにならないですか?
寺岡:いや、どうですかね(笑)。
大佐:(笑)。
寺岡:「こういう考え方をするものですよ」という一般論を、おうかがいできればと思うんですけど、いかがでしょう?
大佐:やはりIPアドレスを逆探知しまくると、ある国のIPアドレスでしたというのはザラにありますし。それこそイランの時のやつでアメリカ政府が、というのは有名な話じゃないですか。
寺岡:「Stuxnet(スタクスネット:米国とイスラエルが共同で、イランの核施設にある遠心分離器を制御するシステムを攻撃する目的で作ったとされるマルウェア)」ですね。
大佐:はい。「Stuxnet」もアメリカだし、それこそ「EternalBlue」だってNSAが開発元じゃないですか。だから製造が直接的に軍事機関がどうこうというのは、やはり実際あるんですよ。ウクライナ侵攻前に衛星をというのも当然国策ですし、イチ犯罪集団が勝手にやるほうがむしろ少ないので(笑)。
寺岡:そういう意味では多かれ少なかれ、つながりはあるだろうと。
大佐:うん。少なかれじゃないですね。国によります。
寺岡:国によりますか(笑)。なるほど。
大佐:本当に国によります。だから「国によっては」というカッコ書きつきですけれど、「多かれ」ですね。
寺岡:なるほど。やはり多く指摘されるのはロシアかなという感覚ではありますが、それに限らず。
大佐:国名を出すと非常に微妙なんですけれども、ロシア、バングラデシュ、中国、北朝鮮、ベラルーシ……いっぱいあるな。でも、政府自体が支援するというのはぜんぜんあります。
攻撃に使う部分がどうしても取り沙汰されるんですけれども、防御に使う動きももちろん並列してあるわけなので。いわゆるクレンジングというやつですが、悪いことをした人間も司法取引をしたりとか。
不逮捕特権ではないんですけれども、基本的には司法取引ですよね。そういう捜査当局に対して協力することによって、過去の罪を消しましょうと。
寺岡:なるほど。飼いならすと言いますか。
大佐:そうです、そうです。なんだったら黒いまま、いわゆる政府とのつながりがない状態で、「政府の意図を汲んでやりなさい」のほうが都合がいい場合もあるので。
寺岡:企業としては、こういった攻撃者からどうやって身を守るか。純粋な犯罪行為が仮にあったとして、その場合は当然“投資性”と言いますか、どれだけコストをかけるかが犯罪者側からすると問題になってくる。やはり攻撃手法にある程度限定的なものも出てくる可能性があると思います。
仮に国家の背景が色濃い場合は、目的達成というのが非常に色濃くあって。予算や人材、あるいは使える脆弱性も、ふんだんではないでしょうけど、相手によっては、ゼロデイ(発見された脆弱性を解消するための対策が提供される前に行われるサイバー攻撃)を使っても惜しくないということで徹底してきたり。
そういう意味では、非常に難しい相手かと思います。技術的な違い、高機能・高度さ、それに対してどのように企業が守りを固めるべきかもおうかがいしたいんですが、いかがでしょうか。
大佐:守りで言うと、本当にテンプレートみたいな話にはなるんですけれども、持っている資産の優劣をつける。これは情報資産も含めてですけれども、どれが重要でどれが重要でないのかは、国の範囲でいけば、例えば特定防衛秘密とか。いわゆる秘密にもランクがあるわけですね。
そういうものを、企業としてはまず整理しましょうと。自分たちが持っている資産の整理ですね。セキュリティ・クリアランスとも言うんですが、自分たちの資産を整理する前にそもそも可視化が進んでない企業さんもいらっしゃるとは思うので。
寺岡:「ちゃんと持っているかどうかわからない」という企業さんもいらっしゃると。
大佐:そうです。一番最初でいくとですね、まず可視化しましょう。そして整理して、「優先順位をどういうふうにつけていいかもわからない」という企業は、それがわかっている人のサポートを得て、優先順位づけをしましょうと。
その後は、「今やっている対策は何ですか?」というのを整理しましょう。その対策が十分であるか・不十分であるかを見極めましょう。その対策が十分であると自分たちが理解した上で、本当に十分かどうか。
それこそレッドチーミングができる企業とか、一部分で言えばペネトレーションテストとかフィッシングメールに、ちゃんと従業員のリテラシーが足りているのかどうかは、一番最後にちゃんとチェックしましょう。そして、今言った一連の流れを継続的に確認しましょう。
大佐:テンプレではあるんですけれども、これがやらないといけないことではあります。なぜなら作る側もアップデートするからですね。時代や顧客のニーズ、市場環境全般の変化が正直20年前、30年前に比べると圧倒的に早くなっているので。
企業側も即時対応ができるようにというかたちで、例えばアジャイル開発とか、さまざまなものづくりにしろサービス提供にしろ、「PDCAを早く回すんだ」って、いろいろな思考フレームワークみたいなものが乱立していると思います。
すべからく言っていることとしては、時代の変化も顧客のニーズの変化も早くなっているので、企業はそれにチューニングを合わせるために逐次回転させていきましょう、対応していきましょうという話です。そういうふうに世の中全体がぐっと傾いていると思うので。
正の側面で言うと確かに良いことなんですけれども、負の側面としては、その対策も同じだけの速度でやっていかないと、ひずみがより大きくなるということですから。そういった部分での対策もやっていかないといけないですよというのが、一般的な対応の考え方にはなりますね。
寺岡:up-to-dateが非常に重要ということですね。私もいろんな海外のベンダーさんとお話をしていて、日本企業も非常にセキュリティ意識は高くなってきているけれども、やはり一部の企業でそういう部分が問題となっているとよく耳にするので、非常に重要なお話かなと感じました。
大佐:1つだけ補足すると、めちゃくちゃわかりやすいのは、家で考えると雨漏りが最も起きやすい場所は常に接合部です。
みなさんが自分の会社や個人の家でもいいですけれども、増設もしくは改築を繰り返している家だと考えてみると、改築部分や増設部分が最も雨漏りをしやすい部分です。雨漏りを起こしたい人たちは、そういう部分を常に探しているので、そこに意識を向けることが特に大切かなと思います。
寺岡:そうすると、ベンダーさんが違うと、よりそういった危険性が高くなりそうですね。
大佐:キメラみたいなシステムがめちゃくちゃあるんでね。
寺岡:(笑)。非常に重要なお話をいただいたかなと思います。
顔出し/プロフィール公開NGの元海外特殊部隊員。ひろゆき氏とのYouTube共演などで話題に。
Xアカウント:@pureblackwhite
2008年、日本経済新聞社入社、社会部に所属。2014年にマウントゴックス社のビットコイン消失事件の取材にあたったことをきっかけにセキュリティ関連の取材に携わるように。2022年からセキュリティの専任記者。
2023年11月15日~16日の2日間に亘って、日本を代表するサイバーセキュリティの専門家や企業が集う、国内最大級のオンラインセキュリティカンファレンスが開催されました。サイバーセキュリティの最新動向や脅威への対策などを中心に計28セッションが開催され、そのうち19セッションを11月20日より順次ログミーでもお届けいたします。
株式会社網屋
関連タグ:
2024.12.20
日本の約10倍がん患者が殺到し、病院はキャパオーバー ジャパンハートが描く医療の未来と、カンボジアに新病院を作る理由
2024.12.19
12万通りの「資格の組み合わせ」の中で厳選された60の項目 532の資格を持つ林雄次氏の新刊『資格のかけ算』の見所
2024.12.16
32歳で成績最下位から1年でトップ営業になれた理由 売るテクニックよりも大事な「あり方」
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
PR | 2024.12.20
モンスター化したExcelが、ある日突然崩壊 昭和のガス工事会社を生まれ変わらせた、起死回生のノーコード活用術
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.18
「社長以外みんな儲かる給与設計」にした理由 経営者たちが語る、優秀な人材集め・会社を発展させるためのヒント
2024.12.17
面接で「後輩を指導できなさそう」と思われる人の伝え方 歳を重ねるほど重視される経験の「ノウハウ化」
2024.12.13
ファシリテーターは「しゃべらないほうがいい」理由 入山章栄氏が語る、心理的安全性の高い場を作るポイント
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
Climbers Startup JAPAN EXPO 2024 - 秋 -
2024.11.20 - 2024.11.21
『主体的なキャリア形成』を考える~資格のかけ算について〜
2024.12.07 - 2024.12.07
Startup CTO of the year 2024
2024.11.19 - 2024.11.19
社員の力を引き出す経営戦略〜ひとり一人が自ら成長する組織づくり〜
2024.11.20 - 2024.11.20
「確率思考」で未来を見通す 事業を成功に導く意思決定 ~エビデンス・ベースド・マーケティング思考の調査分析で事業に有効な予測手法とは~
2024.11.05 - 2024.11.05