Internet Week 2015 セキュリティセッション紹介第1回「標的型攻撃の現状と対策 2015」についてJPCERT/CCの久保正樹氏が語る

11月17日から11月20日にかけて、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）主催の「Internet Week 2015 ～手を取り合って、垣根を越えて。～」が、秋葉原の富士ソフトアキバプラザで開催される。

「Internet Week」は、毎年11月に、計40近くものセッションが会期中に行われる、年に一度の非商用イベントだ。インターネットやその基盤技術に関するエンジニアを主な対象に、最新動向やチュートリアルがある。

- Internet Week 2015
https://internetweek.jp/
今回のテーマは「手を取り合って、垣根を越えて。」。昨今は、DDoSやサイバー攻撃、脆弱性の発覚といったセキュリティ問題が数多く起こり、それらが複雑、巧妙化・広範囲化している。この背景には、デバイス、ユーザーの利用方法やライフスタイル、価値観も多様化していることが上げられる。

こうした状況では、インターネット上のレイヤーを超え、そして業界やコミュニティをまたがり、あるいは世代もまたがって、認識や目的を共通化する必要があるというメッセージを込めたとのことだ。

これから連載にて、この Internet Week 2015 のセッションのうち、情報セキュリティに関する10セッション余りを選んで、そのセッションの見どころ・意義・背景などを、各セッションのコーディネーターに聞く。

第1回目となる今回は、11月17日午後に行われるプログラム「標的型攻撃の現状と対策 2015 ～知らなかったでは済まされない。～」について、一般社団法人JPCERTコーディネーションセンターの久保正樹氏に話を聞いた。

--

――「標的型攻撃」という言葉を聞かない日がありません。実際、どういった被害があるものなのでしょうか？

昨年2014年の年末から今年2015年にかけて、「クラウディオメガ」「ブルーターマイト」と呼ばれる日本を標的とした大規模な攻撃活動が確認され、話題になっています。特に今年の6月、７月ごろに被害組織が多く判明し、その標的の1つには、皆さんも御存じの年金機構がありました。

この標的型は主に「Emdivi(エムディビ)」と呼ばれるマルウェアによって引き起こされています。それをシマンテック社は「クラウディオメガ」、カスペルスキー社は「ブルーターマイト」と呼んでいます。

一般的に標的型攻撃と聞くと、官公庁や政府機関などが狙い撃ちされるイメージがあると思いますが、今話題になっているこのマルウェアは、「医療費通知のお知らせ」というような、誰もがともすれば開いてしまいそうなお知らせとして送られてきて、結果として日本の多くの組織が感染してしまったことが問題視されています。その手法の高度さというよりも、「幅広く行われた」という点が注目されているのです。

――広範に行われたということですが、被害の範囲はどの程度ですか？

もちろん、被害の全容がわかっているわけではありません。JPCERTでは「インシデント報告対応レポート」に、2015年4～6月の数字として標的型攻撃の対応を当センターで行った数を掲載しています。それによると、JPCERTがこの期間にコンタクトをしたのが66組織で、うちの44件がこのEmdiviへの感染でした。幾つかの企業には、後日、JPCERTと共同で対応した旨のプレスリリースを出していただいています。現在も被害を収束させるための対応が各所で行われています。

――Internet Week 2015 のプログラムの内容はどんなものになりますか？

攻撃活動の発見・調査を行う立場、提供された情報を元に被害組織と調整を行う立場、実際に対応を行う立場など、それぞれの立場で一連の攻撃活動への対応について講演いただきます。

まず初めに「日本を襲った大規模な攻撃活動の実態」と題し、マクニカネットワークス株式会社の政本さんに話をしてもらいます。政本さんの立場は、監視の機器を導入し、調査をする情報を持つベンダーとしての立場です。

その後「昨今のインシデント対応支援あれこれ」と題して、JPCERTの久保が様々なインシデントレスポンスのチームと一緒に対応してきた経験談を話します。

そして実際に被害にあった方や、もしくは実際に被害の実態を知っている立場である対応事業をやっている方に生の体験の話をしてもらいたいと思っています。

締めくくりのパネルディスカッションでは、実際の対応の流れはどうなるか等、皆が疑問に思うことを中心に、質疑を受けながら進めていきたいと考えています。

先にも述べましたが、こんなにもカジュアルな攻撃手法で、つまりそれほど高度でない手法で攻撃され、大きな被害がもたらされてしまっています。誰でも攻撃される可能性があり、身近にやられているところに注目しながら進めていきます。

――標的型攻撃対応に関わる様々な側面の方々からのお話が聞けるということですね。

標的型攻撃対応の大まかな流れは次のようになります。

（1）監視事業者、ウィルス対策ソフトベンダーなど、第三者が攻撃を認知・被害組織へ報告

（2）被害組織が被害について認識

（3）JPCERTなどの組織も絡んで、緊急対応と踏み台となっている事業者等との調整を実施

この一連の過程だけでも、いろんな関係者が絡んできます。踏み台は中小企業の小さなサーバーだったとしても、様々な人が手を取り合わないと収束できません。そういう意味では、今回の Internet Week 2015 のテーマである「手を取り合って、垣根を越えて。」をもっとも体現するセッションを言えるかもしれません。

今までは我々の作業はどちらかと言うと、「攻撃を見つけて、被害の組織とコンタクトして対応し、収束させる」というものでした。しかし今後は、もう一歩踏みこんで、今までの情報を活用してそれを広めることで、まだ起こっていない被害についても未然に食い止めていきたい、そんな風に考えています。

――このプログラムの対象者はどのような方でしょうか?

プログラムの概要には「企業のシステム管理者の方」「公開サーバを運用している方」「インシデント対応を行う立場にある方」と書きましたが、もっと言うと、まだ攻撃されていない人、もしくは攻撃されていると自覚していない全員に聞いてもらいたいです。

実は標的型攻撃というのは、それにあっていたとしても、気がついていない場合も多く、平均するとシステム管理者が気づくのに1年半程度かかっているという数字もあるくらいです。そのくらいの潜伏期間もあるものなので、今一度、自分の組織は本当に大丈夫かを振り返ってみる必要があります。

――最後に、読者にメッセージをお願いします。

このセッションを、今一度、自分の組織の内部を見直す機会にしてほしいと考えています。攻撃活動に対応するためには関係者全体の認識と協力があることが重要です。被害者にならないための、また被害者になった場合の対応の心得をぜひ知っていただければと思います。

当日は、Emdivi以外の攻撃にも気づけるように示唆も与えるものにしたいと考えています。皆さまにお聞きいただければ幸いです。

●プログラム詳細

「S4：標的型攻撃の現状と対策 2015 ～知らなかったでは済まされない。～」

- 開催日時:2015年11月17日(火)13:15～15:45
- 会場:富士ソフトアキバプラザ
- 料金:事前料金 5,500円／当日料金 8,000円
- https://internetweek.jp/program/s4/

13:15～13:50
1) 日本を襲った大規模な攻撃活動の実態
政本憲蔵（マクニカネットワークス株式会社セキュリティ研究センターセンター長）

13:50～14:25
2) 昨今のインシデント対応支援あれこれ（仮）
久保啓司（一般社団法人JPCERTコーディネーションセンターインシデントレスポンスグループマネージャ）

14:25～15:00
3) 調整中

15:05～15:45
4) パネルディスカッション
モデレーター
久保正樹（一般社団法人JPCERTコーディネーションセンター/Internet Week 2015プログラム委員）

講演者
政本憲蔵（マクニカネットワークス株式会社セキュリティ研究センターセンター長）
久保啓司（一般社団法人JPCERTコーディネーションセンターインシデントレスポンスグループマネージャ）

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。