NASAですら見落とした「野良IoT」による情報漏えい　多様化するサイバー攻撃対策に求められる、ゼロトラスト・アーキテクチャとは

情報通信専門の公的研究機関「NICT」

井上大介氏：情報通信研究機構の井上と申します。本日は「サイバーセキュリティの最前線～変わる世界、繋がる世界〜」ということで、お話をさせていただきます。

私は情報通信研究機構で、サイバーセキュリティネクサスという新しい組織のネクサス長をやっております。まずは情報通信研究機構、通称「NICT」のご紹介から入りたいと思います。NICTは情報通信分野を専門とする日本で唯一の公的研究機関ということで、さまざまな業務や研究開発を行っております。

その中で一番重要な業務の1つが、日本標準時の生成・配信ですね。東京都の小金井市に我々の本部がございまして、そこで18基の原子時計を使いまして、日本標準時を作って日本中に配るという仕事をしています。

その他にも光通信・宇宙通信のシステム、バイオ・ナノICTや脳情報通信融合といったアドバンストな研究を行っています。さらに、AIを使った多言語音声翻訳にサイバーセキュリティと、多岐にわたる研究開発を行っております。今日はこのサイバーセキュリティのお話となり、NICTの中でも特に今、力を入れて研究開発を行っている分野でございます。

サイバー攻撃の主流は、愉快犯から経済犯へ

前半では近年のセキュリティ事案ということで、どんどん変遷していくセキュリティの事例について、いくつか例を挙げていきたいと思います。

まず、サイバー攻撃は大きく変遷しています。こちらは非常にざっくりとした分け方なんですけども、20世紀のサイバー攻撃は目的が愉快犯であることが多かったんですね。救急車を意味する「Ambulance」というウイルスは1990年に作られたもので、感染するとDOS窓の上を救急車が走り去っていくという、ただそれだけの愉快犯的なものでした。

こういった攻撃はもうほとんど消えて、21世紀になるとお金を稼ぐ目的の経済犯や、いわゆるハクティビズムとも呼ばれる示威活動、自分たちの主義主張を通したいがために行うサイバー攻撃が増えました。

さらに、一番厄介なものとして諜報活動があります。サイバーエスピオナージとも呼ばれていますけども、いわゆるサイバー空間でのスパイ活動のためにサイバー攻撃を行うことが常態化しています。

これは2019年と少し古いですけれども、身代金要求型のランサムウェアというウイルスの被害が、米国で75億ドル以上になっているというニュースです。こういった被害総額もどんどん上がっているという状況に今あるかと思います。サイバー攻撃は、このような経済犯がメインの戦場に変わってきているという状況にあります。

日本年金機構の情報漏えい事例

こちらはもう少し細かく、2008年から2022年までの過去15年間の主なセキュリティ事案をまとめた表です。あくまで代表的な例だけを取ってきております。

まず2008年には「Downadup」という、Windows XPに感染する大規模感染型のマルウェアがありました。2022年になるとロシアとウクライナのDDoS攻撃の応酬があり、その間にもさまざまな事案がありました。これをすべてご紹介していると時間が足りませんので、今日は4つほど簡単にお話ししたいと思います。

まずは2015年に起こった、日本年金機構の年金情報の漏えいからご紹介します。こちらは標的型攻撃が原因だと言われていますけども、日本年金機構が2015年6月1日に、125万件の年金情報が漏えいしたと発表しました。

この原因となったのが「Emdivi」と呼ばれているマルウェアです。電子メールに添付されているマルウェアだったんですけども、そのマルウェアが添付されていたメールの件名がスライドにずらっと書いてあります。

出典情報としてNISC（内閣サイバーセキュリティセンター）と書いておりますけども、こちらは日本年金機構のインシデントが起こった直後にNISCが立ち入って詳細な調査を行い、まとめられたレポートです。これは標的型攻撃に関する国内で一番詳しいレポートじゃないでしょうか。今も公開されていますのでぜひご覧いただきたいと思います。

このように4つぐらいに分かれた件名のメールが日本年金機構に届きまして、最終的に5月20日の「【医療費通知】」という件名のものが一番ヒットしたと言われております。

マルウェア添付型メールの感染プロセス

こちらはPiyologという、セキュリティに関する超高速・超高精細なまとめサイトです。日本でセキュリティ問題に対応している人であればみなさん見ているサイトですので、ぜひご覧いただければと思います。

これはそのPiyologから借りてきた絵ですけども、まず5月8日から、マルウェア添付型のメールが送られてきました。そして年金機構の中の職員2名が、この添付ファイルを開封してしまい感染しました。

ここから先が特によろしくなかったことです。日本年金機構が扱う年金加入者情報はもちろん個人情報ですので、基幹システムの中に完全に隔離されている状況で運用してくださいというセキュリティポリシーでした。それが実は、ある業務で一部そのデータが抽出されており、年金機構の中のファイル共有サーバに置かれていました。

これがEmdiviに見つかってしまいまして、踏み台サーバを経由して攻撃者の元に届けられたと考えられております。こういったセキュリティポリシーのバイオレーション、出してはいけないものが出してはいけないところにある、という状況があったということですね。

これはおそらく業務と年金機構の中のセキュリティポリシーがうまく合致していなくて、正しく業務をするためにはどうしてもこのセキュリティポリシーをバイオレーション、つまり侵害しないといけない状況にあったと考えられています。

あまりに業務とかけ離れたセキュリティポリシーで運用しているとこういった歪みが生まれて、大きなセキュリティインシデントにつながるという、非常に参考になる例だと思います。

パニックを加速させたウィルス感染のフェイク画像

2017年になりますと、リモート感染型のランサムウェア「WannaCry」が流行りました。ランサムウェアの「ランサム」は身代金という意味ですけども、このウィルスをばらまいて一般ユーザーの方々からお金を取ろうという、お金を稼ぐタイプのマルウェアです。

2017年3月14日に、Microsoftのセキュリティ情報「MS17-010」というものが公開されました。Microsoftが2017年に出した10番目のパッチということですけども、パッチを出すということは何らかの脆弱性があったということを意味しています。

この時はSMBのバージョン1ということで、Windowsのファイル共有等でよく使われるプロトコルに大きな脆弱性がありました。対象範囲がWindowsのVista、XP、Server系と非常に広かったということが特徴です。

約2ヶ月後に、この脆弱性を利用したWannaCryの感染キャンペーンが始まりました。こちらの出典はSymantecですけれども、実際にWannaCryに感染したWindows端末にはこういった赤い画面が出てきます。言語選択が19ヶ国語ぐらいあり、「日本語」を選ぶとほぼ完璧な日本語で何が起こったかを示してくれます。簡単に言うと、ここには脅迫文が書かれているということです。

こちらもPiyologから借りてきた情報で、実際に感染したら何が起こるかという挙動についてです。166種類の拡張子のファイルをどんどん暗号化していって、元に戻せないようにボリュームシャドーコピーを削除します。

そしてデスクトップに先ほどの赤い画面が出て、最初に身代金300ドルを要求されます。3日以内に支払いがないと金額が倍になり、7日以内に支払いがなければデータを削除すると脅迫をしてくるということで、世界中で大規模感染が起こりました。

こちらは当時SNS等でばらまかれていた画像なんですけども、例えばスマートウォッチや洗濯機、NOKIAの端末やゲームボーイ、カーナビにも感染するということで、世界中が大混乱に陥りました。

セキュリティの技術者であったりアナリストの方々もこういう画像を拡散されていたんですけども、実はこちらの画面は全部フェイクなんですね。すべてPhotoshopではめ込まれた画像です。実際Windowsファミリーには大規模感染していたんですけども、よく考えるとスマートウォッチや洗濯機に感染するのはおかしいということに気づくかと思います。

世界中が大混乱に陥っている状況で、こういったフェイクの情報も出てきます。フェイクの情報をかき分けながら、本当の情報を見つけて対応しないといけないという、なかなか難しい状況に世界は変わってきていると思います。

NASAですら見落とした「野良IoT」の罠

それでは3つ目の事例です。こちらは2019年に起こったNASAへのサイバー攻撃です。NASAの有名な研究所「ジェット推進研究所（JPL）」から機密データが大規模に漏えいしました。研究には機密情報が含まれていました。

攻撃の糸口となったのが、NASAのJPLに無許可で接続されたRaspberry Piです。いわゆる野良IoT、またはシャドーITとも言いますが、こういった組織の中で管理できてないIoT機器が踏み台になって侵入されたという事案でした。NASAが非常に詳細なセキュリティレポートを書いているんですけども、これも非常に重要な内容となっています。

実はNASA本体とJPLのセキュリティマネジメントの仕組みは完全に分離されており、NASA本体はかなり強固なセキュリティとなっていました。しかしNASAがJPLのセキュリティ監査に入ってみると、非常にずさんな状況でした。

NASAの視点から、JPLのどこがダメだったかがつぶさに書かれているレポートです。NASAがどういうところをセキュリティで重要視してるのかが透けて見える、おもしろいレポートになっていますので、ぜひご覧いただきたいと思います。

こういったRaspberry Piのようなワンボードコンピュータは、特に研究分野では非常に使いやすいものですので、大量に買って大量に接続することがよくあります。

しかし、そもそもその接続されていることが組織のSOC（Security Operation Center）やNOC（Network Operation Center）、情シスなどが把握しておらず、例えばそれが外から見えてしまっていた場合、そこが踏み台となってしまうということが、実際にNASAのブランチでも起こりうる事例です。こういう野良IoTが世界中の大きな問題になっています。

サイバー攻撃が人の命を奪う日

最後の事例は、医療機関を狙った標的型のランサムウェアですね。これは2020年の事例ですけれども、特に医療機関をターゲットにしたランサムウェアが出てきたという特徴があります。

こういう標的型ランサムウェアは2020年以前にも出てきていました。例えば2016年には、米国のあるメディカルセンターがランサムウェアに感染して1万7,000ドルを払ったという事例がありますし、2018年には日本でも、奈良県の宇陀市立病院がランサムウェアにやられて電子カルテシステムが利用不可になったことがありました。

2020年には欧州最大の民間病院運営会社「Fresenius」がランサムウェアに感染しました。Krebs on Securityというメディアの記事によると、実はFreseniusは過去にもマルウェアに感染して150万ドルも支払ったということです。ランサムウェアによる被害金額が億を超えるというのも、だんだん珍しくなくなってきているという状況ですね。

ちょうどコロナ禍と時期が重なっており、医療機関が非常に大変な時期に標的型ランサムが出てきたということで、INTERPOLとDHSから医療機関を狙った標的型ランサムウェアへの注意喚起が出されたりしていました。

ドイツの大学でランサムウェアによる初の死亡例が出たということで、2020年9月に大きく報道されました。実際には捜査の過程で、直接の死因とランサムウェアは関係なかったという結論が出たんですけども、いずれにしても、ランサムウェアに感染した病院に緊急搬送が受け入れられず、その病院に搬送している間に残念ながら死亡してしまったという痛ましい事件がありました。

こういったかたちで、いわゆるサイバー攻撃が命に直結する時代になってきていると考えられます。

根絶する前に現れる新たな脅威

このように、サイバーセキュリティの世界はどんどん変わっています。攻撃手法も無差別型攻撃、標的型攻撃、そしてランサムウェアへと多様化し、どんどん広がってきております。攻撃対象も多様化というか、もうほとんどのエンティティが対象になっています。一般ユーザーから政府官公庁はもちろん、企業は攻撃対象の大きなターゲットになっている状況です。

さらにインターネットの根幹技術や、プラットフォームを攻撃に転用しているのが特徴です。リフレクション攻撃に利用されるDNSやNTPは、反射型の攻撃ですね。最近ですとJAVAのロギングのライブラリーであるLog4jです。もうほぼプラットフォームとなっているような技術に脆弱性が出てしまうと、世界的な影響が非常に大きくなります。

一番のポイントは、どの攻撃も根絶に至っていないという、依然オンゴーイングな脅威ということです。

まずセキュリティのマーケティングの分野では、「標的型攻撃が問題です」というように特定の攻撃に非常にフォーカスされがちなんですけども、実はその間にも無差別型攻撃、ランサムウェア、あるいはサプライチェーン攻撃などが並行して起こっていますので、こういったいろんな攻撃に対する対策も並行して考えないといけないという、非常に難しい時代に変わってきていると考えられます。

多様化する攻撃手段に対抗するには？

一方で、その対策側としては何があるでしょうか。セキュリティ対策の典型例として、ここにずらっと書かれています。

例えばファイアウォールやWAF（Webアプリケーションファイアウォール）で組織の入口を守ったり、IDSやIPSで侵入検知・防止したりします。IPSはインラインで防止をするもの、IDSは検知をするものという、ミラーで横につながっているものですね。

セキュリティ対策を今がんばっている組織ですと、いわゆるSandbox型の箱庭環境を使って、例えば流れてくる添付ファイルを実際に実行してマルウェアか判定したりしています。さらにエンドポイントでは、アンチウイルスベンダーなどのAVソフトや、あるいはEDR（Endpoint Detection and Response）などでしっかりロギングをする仕組みの導入が進んでいます。

こういった機器やいろいろなソフトウェアを入れますと、当然ここからログやアラートが出てきます。こういったものを実時間でいかに対処できるかが、セキュリティ対策の肝になってきます。そういった情報を集めるSIEMという機能がありまして、この中に情報を集約し、イベントやログ、アラートを管理してセキュリティ対策するのが、現在の対策の典型例になっているかと思います。

ネットワークの境界を守るだけでは、もう攻撃を防げない

守るポイントというのはインターネットと組織の境界だというのが今までのやり方だったんですけども、それもだんだん変わってきています。

これまではネットワークを内と外で分けて、組織の中のネットワークという場所を守りましょう、会社内のネットワークにつないでいれば入口を守っているので大丈夫です、というのが境界防御の考え方でした。しかし問題点として、攻撃者の侵入をネットワーク境界で完全に防ぐことは難しいんですね。

先ほどの標的型攻撃の例ですと、そのファイルを開けてしまうかどうかがインシデント発生の分岐点になっていますので、ネットワーク境界だけではなかなか守れません。あるいは、組織の中でUSBメモリを使われてしまうことによって、その境界を簡単に越えられてしまうといった問題もあります。

さらには、このコロナ禍においてクラウドや仮想環境、在宅勤務など、仕事をする環境が会社からはみ出していってる状況ですので、どこがネットワークの境界になるのかを規定するのもなかなか難しいという状況にあるかと思います。

セキュリティに関するこういった流れがあり、今では「ゼロトラスト・アーキテクチャ」という考え方が大きな新潮流として、世界中で出てきております。

セキュリティの新潮流、ゼロトラスト・アーキテクチャー

ゼロトラスト・アーキテクチャとは、もともと2010年頃に提唱されていました。2020年にNISTがドキュメントで、これからはゼロトラスト・アーキテクチャに変わっていかないといけないと示しました。スライドには7つほど、何をやらないといけないかが書いてあります。

まずデータのソースや計算サービス、そういったリソース自体を保護対象とします。つまり、場所を守るのではなくて、個々のファイルであったり、あるいはその計算機リソースだったりと、そういったものを守りましょう。守るべき保護対象をもっともっと細分化していきましょうということです。

そして、その保護対象に対する通信の安全性を確保しましょう。あるいはセッション単位でリソースへのアクセスを許可します。さらにアクセスを許可する時には、動的なポリシーによってアクセスを判断しましょう。

他にもすべての機器の監視と計測をしっかりロギングしましょうということや、アクセスする前の認証・認可の動的・厳格な実施ですね。機器の状態やインフラ・通信状態の情報収集ということで、リソースを細かく分けて、アクセスコントロールを細かくして、さらにその状況把握をリアルタイムで全部しましょうと。このように、かなり難しいことが書かれているんですね。

では、このゼロトラスト・アーキテクチャにどうやって移っていくのか。それが世界中で大きな問題になっております。

自組織のゼロトラスト化ってどうやったらいいのか。実はゼロトラスト箱……箱というのはアプライアンス（専用機器）ですけども、そういった便利な箱は存在しません。

ですので「このゼロトラストの箱を導入してもらえればすべて解決します」というものを持ってこられたら、ちょっと猜疑の目を持って「本当ですか？　それは」と考えた方がいいと思います。1つのアプライアンスで解決できる問題ではない、というのが一番大きなポイントですね。

キーになるのはトップマネジメント層の意識改革

ゼロトラストというのは新しく持ち出された概念なんですけども、一つひとつの要素技術は10年以上前から存在していたものなんですね。ですのでスライドには「古くて新しいパラダイム」と書いています。

こういった一つひとつの要素技術を、どうやって自組織に適用していくのか。どこから始めて、どこからだったらやりやすいとか、「ここはちょっとうちの組織にはトゥーマッチなのでいったん置いといて、例えばID管理を組織で一体化しましょう」といった選択を行って、自組織の中にどうやって適用していくのかを考えていくものになっていると思います。

こういった組織にどう適用していくのかという問題を考える上で、重要な変わるべきポイントは、トップマネジメント層の意識改革だと思います。このセッションをご覧いただいてる方々は、もうすでにセキュリティの意識がかなり高いとは思うんですけども。みなさんがトップマネジメント層にこれを説明するといった時には、やはりさまざまな困難なポイントがあるかと思います。

トップマネジメント層自身が意識を変えていかないといけないということで、ヒントになればいいかなと思いましてご説明させていただきます。

まず、サイバー攻撃は今や経営リスクの一丁目一番地ということです。例えば今、為替が大きく変わってきていますけども、為替の差損で100億円の損失があっても、それに対して社長が出てきて謝罪会見することはまずないですよね。一方で、サイバー攻撃で個人情報が数十件漏えいするだけで社長が出てきて、謝罪会見をして、株価が暴落するといったような事例はたくさんあります。

ですので、サイバー攻撃の対策というのは、もうトップマネジメントの責任です。トップマネジメント層が自ら自分ごととして捉えないといけない大きな事象なんだという、意識改革がまず必要だと思います。

セキュリティへの投資が企業価値を高める時代

あと「サイバー攻撃対策はコストだ」とよく言われています。実は重大インシデントが発生したほうが、はるかにコストが高いんですね。

ちょうどこの2月にも、某自動車メーカーさんの国内仕入れ先の生産管理システムがランサムウェアにやられてしまいました。その長い長いサプライチェーンの中で、国内の仕入れ先の1ヶ所のシステムがダウンするだけで、自動車メーカーさんの国内の全工場が1日止まりました。これは非常にコストが高いんですよね。

そこで考えないといけないのは、「サイバー攻撃対策はコストではなくて投資だ」という意識改革がトップマネジメント層には必要だということです。これからはセキュリティレベルの高さが企業価値を高める時代にどんどん入っていきます。

「あの会社は過去に何回かセキュリティインシデントを起こしているので、サプライチェーンのこの部分を受け持ってもらうのはちょっと難しいよね」という判断が経営判断の中で出てくると思うんですね。

そういう意味で逆の見方をすると、セキュリティに投資をしていると、それ自身が企業価値を高めるという時代になってきているのではないでしょうか。

コストダウンの要は社内に専門家を置くこと

とはいえ、トップマネジメント層としては組織のサイバー攻撃対策を安く済ませたいと考えるかと思います。しかしセキュリティ対策って、かなりの部分が言い値の世界になっていまして、特に外注に頼っているとほぼ青天井という状態になってしまいます。

これを安く済ませるためには、組織の中に専門家を置くこと。これがコストを大きく下げる一番の近道だと思います。例えば、セキュリティの何らかの対策をいろんな企業が提案してきた時に、それの目利きができるエンジニアがいると大きく変わります。

最初は、保険でいうところのフルマックスのオプションが付いたセキュリティ製品やサービスを、「これ、どうぞ」と持ってこられることが多いんですけども。「ここの部分は、うちの組織はいりません」「ここはトゥーマッチなので、この機能だけでいいです」と言えるセキュリティの目利きや専門家が中にいると、セキュリティのコストは大きく下がります。

セキュリティインシデントは必ず起こりますので、そういったインシデント対応の陣頭指揮を取れる人が中にいるだけでコストが大きく下がります。こういったセキュリティのエンジニアやアナリストを組織の中でいかに育成して、いざという時に動いてくれるか、あるいは定常的に動いてくれるかというところが、コストを下げる大きなポイントかなと思います。