[インタビュー]シマンテック七戸駿氏に聞く、「クラウディオメガ」と年金機構のインシデントから得られるリスクコントロールの考え方

日本年金機構の情報漏えいインシデントは、約125万件の基礎年金番号等が漏えいしたという点や、政府組織が標的となったという点で大きなインパクトを残した。シマンテック社は、今回の一連の攻撃活動を指している「クラウディオメガ」の名づけ親であり、同攻撃活動を継続的に観測してきたことでも知られる。

そこで、同社エンタープライズセキュリティ事業統括本部ソリューション開発マネージャの七戸駿氏に、今回の事案から得られる教訓や対策方法などについて話を聞いた。

──まず、「クラウディオメガ」について、改めて教えてください。攻撃手法なのか、犯罪グループ名なのか、情報が錯綜している印象があります

「クラウディオメガ」は、日本の官公庁組織に比較的特化した一連の作戦計画に沿って行われている攻撃活動のことを指し、グループや団体名を指す識別子ではありません。その特徴は3点あり、1点目は、「Emdivi（エンディビ）」と呼ばれるマルウェアを2011年から継続的にアップデートして用いる点。2点目は、攻撃活動に使用する攻撃元および遠隔操作拠点などを2014年時点では日本国内のクラウドサービス内部に築いていた点。3点目は高い頻度でゼロデイ脆弱性を悪用する点です。

──年金機構のインシデントと「クラウディオメガ」との関連性についてはどうお考えですか

あくまで報道ベースではありますが、Emdiviが使われていると報道されている点と、5月20日の最後のフィッシングメールの文面に、2014年に使われた文面がありました。これは、「健康保険組合」を名乗る送信者から「医療費通知のお知らせ」という件名でメールが届くものですが、こうした点を総合して、おそらく、今回の事案も「クラウディオメガ」の一環ではないかと考えています。

今回の攻撃で使用された脆弱性については報道されていませんが、悪用するソフトウェアの脆弱性が、一太郎など官公庁での使用頻度が高いものであれば、「クラウディオメガ」に含まれる官公庁を狙った攻撃だといえる可能性は高くなります。

──ちなみに、「クラウディオメガ」の命名の由来は？

「クラウディ」は、2014年時点ではマルウェアに感染した端末をコントロールするC&Cサーバーを日本国内にあるクラウドサービス上のサーバーを改ざんして利用している点、「オメガ」はギリシャ文字の24番目ということで、シマンテックが観測した24番目の攻撃活動という意味から命名されています。

──最終的な攻撃の目的についてはどうお考えですか

漏えいが明らかになったと公開されている情報は基礎年金番号を含む個人情報ですが、すぐに換金性のある情報ではありません。また、政府系の組織に侵入している点からも、金銭目的の犯罪というより、何らかの諜報活動の一環と考えるのが自然です。最終的な目的は攻撃者にしかわかりませんが、何らかの政府内部の情報を知るために仕掛けられ続けている攻撃と推測できます。

──こうしたサイバー攻撃の脅威に対して、企業側は「ネットワークに侵入される前提での対策」が重要といわれますが、これについてはどうお考えですか

「侵入前提」の対策をするためには、「自分たちの防御が失敗した」という判断が明確にできることが求められます。それ以前に、自分たちの守りたい「絶対に外に出してはいけない」重要な情報が何でどこに存在し移動しているのかを、きちんと把握し制御下においていることが求められます。

例えば、製造業であれば、設計図面や特許情報が重要情報になりますし、流通業であれば、クレジットカード情報や購買履歴などの顧客情報が最も重要ということになるでしょう。その次に、警戒態勢に移行するためのオペレーションを決めることが重要です。特に重要なのが「自分たちの防衛ラインを突破された、失敗している」ということを判定して、リスクに応じた警戒態勢へ移行するという考え方です。

──なるほど。リスクをコントロールするという考え方をすれば、対策の優先順位も決まるし、予算やリソースの配分もできると。では、年金機構の事例で、一般企業が教訓として得られるものは何でしょうか

大ざっぱにいうと、今回の事案では、社会保険オンラインシステムは、物理的にインターネットにつながらない「エアギャップネットワーク」で運用されていたにもかかわらず、エアギャップ内のデータを、業務上の利便性からCDにコピーして、オンライン上の共有サーバーに置いていたことが問題視されました。

ここから得られる一般企業の教訓は、「実態に即していないセキュリティ対策は、リスクを見えなくする」という点です。せっかくデータを物理的に隔離していたのに、誰でもアクセスできる共有サーバーにデータが移されており、本来、あるはずのないデータが、あるはずのない場所にありました。こうした「シャドーデータ」を確実に可視化するためにも、自分たちの組織にとっての重要な情報が何で、どこにどの程度存在し、どう移動しているのかを正しく認識することが大事です。その上で、利便性を重視するなら、守るべきデータが外に出ないように制御する考え方が求められてきます。

──サイバー攻撃に対する、御社の提供するソリューションを教えてください

先ほど、企業にとっての重要情報を見極め、その上で、緊急事態のオペレーションを決めることが大事だといいましたが、弊社にはインシデントレスポンス（Incident Response）というチームがあり、マルウェア感染や情報漏えいが確認された後に、防御態勢を強化し、ダメージコントロールをしていくための計画的な意思決定プロセスを提供することが可能です。

──入口対策、出口対策、内部対策などの多層的な対策が提唱されていますが、万一の際に正しく組織が機能するか、事前に訓練をすることも重要なポイントですね

ビルなどでの「避難訓練」と同じような考え方で、何か攻撃を受けたときにどういう計画的な意思決定をし、行動したらいいのか、自分たちのビジネスに起きるインパクトのリスクを考えて、「防衛が失敗した」際にどういう態勢に移行するかを、レスポンスとして組織的に訓練することは、これから重要性を増していくでしょう。

このほかにも、弊社では、マネージドアドバーサリースレットインテリジェンス（Managed Advisory Threat Intelligence）という攻撃活動を観測、分析、管理するサービスや、セキュリティシミュレーション（Security Simulation）という、仮想環境上でサイバー攻撃を実際に仕掛ける訓練があります。偵察、侵入、目標の捕獲など一連の活動を成立させる必要があり、セキュリティのスキルフォリオが試されます。これらのサービスは、日本においても年内に順次提供が開始される予定です。

──自社でセキュリティオペレーションチーム（SOC）を持たないような企業に対して、マネージドサービスのようなものは提供されていますか？

はい。サイバーセキュリティに関する運用をアウトソーシングするサービスとして、弊社のセキュリティオペレーションセンター（SOC）が、弊社技術とグローバルなネットワークを活用したリアルタイム分析により、企業向けに24時間365日のセキュリティ監視管理を行う「マネージドセキュリティサービス」（MSS）を提供しています。弊社のMSSは、グローバルSOCと連携して運用することで、全世界で同じレベルのセキュリティサービスを提供できる点が強みで、特に製造関係のお客様などから高い評価をいただいています。

──ありがとうございました