Internet Week 2025のセッション「被害企業リアル~サイバーインシデント対応の『現実』~」では、2020年に発生したNTTコミュニケーションズ(現NTTドコモビジネス)の不正アクセス事案について、当時対応の最前線に立った小山 覚 氏(写真)が登壇した。小山氏は自らを「謝り侍」と振り返りながら、被害企業が直面した現実と、そこから得た教訓を語った。
● 金曜夜の一本の電話
最初の連絡は、2020年5月8日金曜日の夕方だった。担当者から「社内に侵入した可能性がある」と報告を受けたものの、その時点では確証がなかった。何も起きていない可能性もある。小山氏は問い詰めたい気持ちを抑え、「何かあったら連絡してくれ」と伝えたという。しかし、その日の深夜1時過ぎ、再び電話が鳴った。報告は「侵入されました」だった。
当時は新型コロナウイルスの感染拡大が始まった時期である。同社では、東京オリンピックも見据え、CSIRTを完全リモートで運用できる体制を整えたばかりだった。本来は大規模イベントを支えるための備えだったが、結果として自社の大規模インシデント対応のために体制を投入することになった。
攻撃者は海外拠点の管理ネットワークを経由し、社内システムへ侵入していた。調査を進める中で明らかになったのは、すでに不要になっていたサーバー群が攻撃の足掛かりとして利用されていた事実だった。本来であれば撤去されるべき設備が残されていた。運用上の都合やコストの問題から延命されていた環境が、侵入経路になったのである。
小山氏は当時を振り返り、「社内は安全だと思っていた」と語った。その思い込みこそが最初の反省だった。
●「情報セキュリティ部だけでは手に負えません」
侵入の事実が確認された後、小山氏は社長に「情報セキュリティ部だけでは手に負えません」と連絡した。攻撃の分析はできる。しかし、それだけでは事態は収束しない。どの範囲まで侵害されたのか。顧客へどのように説明するのか。報道発表は行うのか。行政機関への報告は必要か。被害対応は技術問題であると同時に、経営課題でもあった。
小山氏は社長への報告を「謝りから始まった」と振り返る。その後も各部署に謝りながら指示していったことから、社内では「謝り侍」と呼ばれるようになったという。
同社は危機管理体制を発動し、セキュリティ部門だけでなく、広報、営業、顧客対応、サービス部門、社内システム部門などを含む全社体制へ移行した。初期段階で約60人、ピーク時には200人近い関係者が会議に参加した。
小山氏は「大きな会議は厄介だ」と率直に語る。参加者が増えれば質問も増える。だが、海外拠点やグループ会社を巻き込んだ調査を進めるには、全社的な号令が不可欠だった。インシデント対応は、セキュリティ担当者だけの戦いではない。その実感が、対応の出発点になった。
● 攻撃者が利用したのは「忘れられたシステム」だった
危機管理体制の下で調査を進める中、小山氏たちは思いもよらない事実に直面する。攻撃者が利用していたのは、現役のシステムだけではなかった。むしろ、すでに役目を終えたはずのシステムやアカウントが侵入の足掛かりになっていたことが判明した。
最初に判明した侵入経路は、海外拠点の管理セグメントを経由するものだった。攻撃者は複数のサーバーを踏み台にしながら社内システムへアクセスし、最終的にActive Directoryへ到達していた。しかし詳細な調査を進めると、その経路上に存在していたサーバーの一部は、すでに本来の役割を終えていたことが分かった。
なかには2019年にActive Directoryの更改によって不要になっていたサーバーも含まれていたという。そうしたサーバーが撤去されていなかった理由は、決して特別なものではなかった。「まとめて撤去した方がコストを抑えられる」、「誰かが一時的に利用している」、「将来的に使うかもしれない」など、企業のIT環境では珍しくない事情が積み重なった結果だった。
