すご腕バグハンターが報奨金制度運営者と本音トーク

橋本マナミ「愛、紡ぐ人。」【電子書籍】[ セルフラッシュ ]
橋本マナミ「愛、紡ぐ人。」【電子書籍】[ セルフラッシュ ]

愛人倶楽部 橋本マナミ11 [sabra net e-Book]【電子書籍】[ 橋本マナミ ]
愛人倶楽部 橋本マナミ11 [sabra net e-Book]【電子書籍】[ 橋本マナミ ]

禁じられたアソビ 橋本マナミ7 [sabra net e-Book]【電子書籍】[ 橋本マナミ ]
禁じられたアソビ 橋本マナミ7 [sabra net e-Book]【電子書籍】[ 橋本マナミ ]

<デジタル週プレ写真集> 橋本マナミ「イメチェン」【電子書籍】[ 橋本マナミ ]
<デジタル週プレ写真集> 橋本マナミ「イメチェン」【電子書籍】[ 橋本マナミ ]

禁じられたアソビ 橋本マナミ5 [sabra net e-Book]【電子書籍】[ 橋本マナミ ]
禁じられたアソビ 橋本マナミ5 [sabra net e-Book]【電子書籍】[ 橋本マナミ ]

 2016年2月26日、@IT編集部は東京都港区 青山ダイヤモンドホールにて、「@ITセキュリティセミナー」を開催した。各ベンダーの代表者から“バグハンター”まで、セキュリティ業界の識者が勢ぞろいした本イベントのハイライトを、前編に引き続き紹介しよう。

【その他の画像】 管理者や一般社員、システム、そして経営層ができるセキュリティ対策

●攻撃者視点でビジネスリスクを知り、ビジネスを見直す

 「攻撃者が常に防御者の先手を行く、攻撃側有利のゲーム進行。そんな現状を覆すには、経営層がハッカーの見る景色を知り、リスクに基づきビジネスを再考するしかない」。サイバーディフェンス研究所のCTO ラウリ・コルツバルン氏は基調講演「ハッカーが見ている景色を垣間見る ― いま、企業セキュリティのここが危ない」の中で、こう会場に訴えた。

 どうすれば攻撃者に打ち勝てるのか。コルツバルン氏はまず、システム管理者、一般社員、システムそれぞれが打つべき対策を概説した。

 管理者の場合、そもそもの業務は「システムの安定稼働」だ。サービスの裏で動いているライブラリやローレベルのプロトコル情報などを熟知し、攻撃を想定して対処することまでを仕事だと考えている人は少ない。

 一方の攻撃者は、システム侵入後の管理者権限の取得や機密情報の奪取、隠密行動などを目的に、パスワードリストを含むネット上のあらゆる公開情報や脆弱(ぜいじゃく)性情報、スキャンツール、Torなどの匿名化技術、攻撃コードなど、あらゆる手法を駆使して攻め入ってくる。

 「管理者の対策は、ハッカーの視点を知り、ハッカーが使う技術やツールを学び、迅速に対応できるよう準備を整えることだ。また、管理者権限という強力な権限を与えられていることを再認識し、一般社員よりも強いセキュリティ対策をしなければならない」(コルツバルン氏)

 では、一般社員はどうか。コルツバルン氏は「人間はマシンのようなデータも処理できないし、数百ページのポリシーを徹底することも、3カ月ごとに変わる数十文字のパスワードを記憶することもできない。不安定で、リスクがあっても安直な方向へ流されやすい生き物だ」と説明した上で、「ポリシーがあっても、“人は好き勝手に行動する”のを前提に対策を考えるべきだ」と述べた。

 従って、一般社員に対しては「機械的な対策を求めないこと。また、ポリシーはあくまでも“推奨案”と心得て、自分の業務に関連するリスクを認識するように働き掛け、分からなければ人に聞くことを教えてあげてほしい」(コルツバルン氏)。

 そしてシステム(機械)における対策のキーワードは、「自動化」だ。攻撃者は脆弱性の調査や攻撃しやすいターゲットの抽出、漏えい済みのパスワードリストやターゲットリストの収集を、ほとんど自動で実行している。これらにマニュアル対応するのはほぼ不可能だ。従って、攻撃に自動対応できるようなシステムを導入することが必要となる。また、コルツバルン氏はそれに加えて、「システムで検知した攻撃情報を人間が理解しやすい形に変えて通知、最終判断は人間ができるようにすることや、得られた脅威の知見を企業内外で共有することも重要だ」と述べた。

 以上の3つの観点を取り入れて、最終的に業務の在り方や役割を再構成するのが経営層だ。経営層の役割についてコルツバルン氏は、「CISOやヘルプデスク、CERTを設置する他、侵入されても致命的なダメージを回避し、侵入成功した攻撃者の情報をしっかり取得して次回の対策に役立てられるような弾力性のあるインフラを構築できれば理想。そうすれば、攻撃コストに見合わないとしてハッカーが回避するようになるかもしれない。そうなればこっちのものだ」と述べた。

 そして最後にコルツバルン氏は、「管理者は敵から学び対策に役立てること。一般社員は何か行動するときは一呼吸置いてリスクがないかを考え、分からなければ頼りになる人に聞くこと。システムは攻撃に自動対応させながら、それに依存せず最終判断は人間がしっかり行えるようにすること。そして経営層はこれらを念頭に、攻撃に耐えるビジネス作りを実施することが必要だ」とまとめた。

●押さえておくべきセキュリティ対策の基本

 講演「実践的サイバーセキュリティ 知っておくべき基本の『キ』」では、カスペルスキー代表取締役社長 川合林太郎氏が昨今の脅威の動向を解説し、セキュリティ対策の基本を振り返るとともにその実践の大切さを説いた。

 川合氏は、2014年と比べて2015年はオンライン感染のリスクや新規マルウェア数などが減少しており、その背景に「ブラウザ側の対策やアンチマルウェア対策が進んだことがある」と述べた。その一方で、「MaaS(マルウェアアズアサービス)」の台頭やランサムウェアのまん延、国内サーバがC&C(C2)サーバに用いられる事例の増加、日本のみを狙った標的型攻撃の登場など、サイバー攻撃の勢いは依然衰えていないという。

 「より良いサイバー対策を実現するには、監査などで現状を正確に把握し、『うちは大丈夫』という根拠のない自信を捨て、実効性のあるルール作りを目指す。そして、最低限かつ最重要な保護対策を導入し、侵入を前提にエンドポイントセキュリティを含めた基礎体力を強化すること」。川合氏は、セキュリティ対策の基本をこうまとめた。

●ファイル暗号化による漏えいを前提とした対策

 続く講演「漏えい防止だけじゃもう足りない! 流出した情報も安全に守る、最新情報漏えい対策」では、アルプスシステムインテグレーションの濱田龍哉氏が、データ流出・漏えいを前提とした対策を紹介した。

 濱田氏は日本年金機構での情報漏えい事件を例に挙げ、「重要なネットワークを分断しても、社員は業務を楽にこなす方法を探して対策をかいくぐる。標的型攻撃を完全に防ぐことは不可能」と指摘。「自動車では事故を前提に“自賠責保険”などに入るが、ITも流出・漏えいを前提にした対策を考えるべきだ」と強調した。

 その対策として濱田氏は同社の「InterSafe IRM」を紹介した。InterSafe IRMはデータの自動暗号化ソフト。「ファイル保存時に自動的に暗号化し、拡張子も変更しないため、ユーザーの使い勝手は変わらない。しかも、復号は権限が与えられたユーザーのみが実行できるので、煩雑なパスワード管理もいらない。情報を守りながら、業務効率に影響なくデータ活用する環境を提供することを目指している」(濱田氏)。

●バングハンターと「バグ報奨金制度」常設企業が本音トーク

 近年、自社サービスの脆弱性を発見した人に報奨金を支払うバウンティ制度が複数企業で実施されている。セッション「凄腕のバグハンター、そろいました~脆弱性、見つける人と見つけられる人の間」では、@IT編集部の高橋睦美をモデレーターに、2014年から脆弱性報奨金制度を常設しているサイボウズ 伊藤彰嗣氏と、バグハンターを代表して東内裕二氏、西村宗晃氏、平澤蓮氏の3人が登壇し、脆弱性を“報告される側”と“報告する側”の立場で熱いトークを繰り広げた。

・報告する側/される側、双方の率直な意見

 そもそも、こうした制度において双方間でトラブルは起こらないのだろうか。西村氏は「指摘する側はどうしても“上から目線”になってしまいがち。一方で指摘される側も、報告を無視したり自動応答メールでそっけない返事をしたり、企業ポリシーもあるとは思うが、修正するまで脆弱性と認めない態度を貫いたりと、バグハンター側を“イラつかせる”ことがある」とストレートに述べた。

 これに対して伊藤氏は、「進捗の問い合わせは確かによくある。脆弱性の中にはすぐに認定できないものもあるのだが、報告者からすると『無視されている』『コミュニケーションがうまく取れない』と感じているのかもしれない」と説明した上で、「報告を受ける企業が進捗や認定可否についてきちんと返事するのは義務だと思う。報告してもらった方に納得してもらうための情報を提供する。そんな丁寧なコミュニケーションが大切だと感じている」と述べた。

 もう1つ、バグハンターの悩みに「脆弱性探しでどこまで踏み込んで報告すべきか判断できず、不安になることがある」と平澤氏は言う。西村氏もこれに同意し「例えばディレクトリトラバーサルの実証手段としてetc/passwdを取ろうとするとき、脆弱性報告として受け入れてくれる企業もあれば、不正アクセスとして法的措置に出る企業もある」と述べ、東内氏も同様に「どこまでやったらいいのか判断が難しく、寸止めすることが多い。だが、海外の企業では『データを抜き出せるところまでやって証明してから報告しろ』と相手から言われることもある」と笑った。

 これについて伊藤氏は「サイボウズではガイドラインを設置し、ここまでやってもいいという基準を出しているが、読まない人も多くて、攻撃リクエストをせっせと送ってくる人もいる。そこは互いに協力して解決していくべき部分かもしれない」と返した。

・双方にとっての報奨金制度のメリット

 報奨金制度を設けることで、企業側にメリットはあるのだろうか。伊藤氏は、「報奨金制度にはメリットがある」と即答する。「弊社ではこの制度を常設してから3年目を迎えるが、社内の診断では発見できなかった脆弱性が、2014年は158件、2015年には約150件、本制度を通じて報告されている。また、報告をベースに開発段階からバグをなくすための参照資料を作成し、月1の製品開発リーダーとのミーティングで共有している。その結果、簡単に見つかるような脆弱性の数は明らかに減った。サービスの品質向上だけでなく、攻撃コストが高くなって攻撃者のやる気を削ぐ効果もある。メリットは大きい」(伊藤氏)。

 では、報奨金制度についてバグハンターはどう感じているのだろうか。東内氏は「報奨金が出るようになったのはここ数年なので、その前から報告している側としては、あってもなくてもいいと思っている」と述べ、平澤氏も「セキュリティに貢献することがうれしい、脆弱性を発見することが純粋に楽しいという人も多い」と付け加えた。

 一方で、報奨金がもらえることが当たり前にはなりつつも、その価格に不満を感じて、脆弱性の情報を闇市場に売る人もいる。特に発展途上国などでは、闇市場に売れば“一生楽に暮らせるだけの”金額を得られるため、バグハンターが“ダークサイド”に落ちてしまう動機がある。

 この問題は企業側も深刻に捉えている。「例えばGoogleでは、闇市場以上の金額で買い取ることで情報が闇に流れるのを食い止めている」と、東内氏は紹介する。また、西村氏も「報奨金制度にすることで先進国の人たちの興味と参加が促され、善意のハッカーの数が増える。脆弱性情報が闇に流れるのを防ぐ対策として、Webアプリケーション周辺では報奨金制度を推進しているという話も聞く」と述べた。

・バグハントを長く続けるためには

 課題も多い報奨金制度だが、最近では「バグハンターになりたい」と思う人も増えている。バグハンターに求められる要素とは何なのだろうか?

 東内氏は「面白がること。新しい見つけ方を発見したら身近なところで試し、それが成功したときに『楽しい!』と思えれば長続きする」と述べる。西村氏も「稼ぐことを中心に据えるのではなく、技術の向上や知的好奇心を満たすことを目的にすれば、継続して取り組めるのではないか」と同意する。肩ひじを張らないメンタルがバグハンターを続けるコツなのだろう。「疲れたら他のことをやればいい。その経験が最終的にバグハントなどに役立つこともある。自分自身、バグハントに飽きてゲームで遊んでいたところ、数年後にゲームのチートを解析することになった。リフレッシュは大切だ」(平澤氏)。

 一方、報告制度を設置する企業側も、報告を受け続けるには根気と体力が必要だと伊藤氏は言う。「こうした制度を常設することは長距離走に似ている。根を詰めすぎると倒れてしまう。一人で抱え込まずにチームとして回していく体制作りを考えるのが、長く運営するコツだ」(伊藤氏)。

●ソフトウェア開発に「サインオフ」概念を取り入れよ

 講演「ソフトウェア開発のサプライチェーンにおける脆弱性と品質の管理」では、日本シノプシスの林慶一郎氏が、ソフトウェアの品質とセキュリティを管理する「ソフトウェアサインオフ」の概念を提案、実現するためのポイントを解説した。

 サインオフとは、ASICなどの受発注契約で、発注側の電子機器メーカーと受注側の半導体メーカーがそれぞれの設計の正しさを相互に確認するプロセスを指す。この概念をソフトウェア開発でも導入することで、セキュアかつ品質の高いソフトウェアを実現できると林氏は述べる。

 シノプシスでは、ソフトウェアサインオフに対応する製品を2つ用意している。1つは、静的コード解析ツール「Coverity」、もう1つは未知の脆弱性をプロアクティブに検出、修正するテストプラットフォーム「Defensics」だ。

 「報告されるセキュリティインシデントの約90%は、ソフトウェアの不具合に対するエクスプロイトが要因で、大本をたどれば開発段階で見過ごされたミスに行き着く。サインオフを導入すれば、コードチェックインやビルドなどのフェーズごとにソフトウェアの品質を確認し、セキュアで品質の高いソフトウェアをアジャイルに開発し、ミスを最小限に抑えることが可能になる」(林氏)

●急増するWebサイト改ざんへの2つの対策

 シマンテック・ウェブサイトセキュリティの佐藤智典氏による講演「相次ぐサイト改ざん攻撃にどう見えるか?~オンラインサービスを狙う攻撃手法とWAFによる最新のリスク対策~」では、同社が提供するWebサイト攻撃対策が紹介された。

 佐藤氏は、76%のWebサイトは何らかの脆弱性を抱えている上、同社が2011年1月から2014年8月まで国内657サイトを対象に調査を行ったところ、2013年後半から攻撃が一気に増えており、対策が急務であると述べた。

 その対策のキーワードが「CAPD」だ。これはいわゆる「PDCA」(計画・実行・評価・改善)を「C」の「評価」から回していく考え方だ。「現行のシステムを評価し、現状を可視化、把握することで何を守るべきか、次にどのような改善を行うべきかが見えてくる」(佐藤氏)。

 現状の把握を支援するソリューションとして、シマンテックでは詳細な脆弱性診断を実施する「シマンテック セキュリティ診断サービス」や、改修中の無防備なWebサイトを攻撃から守る「シマンテック クラウド型WAF」を提供している。特にクラウド型WAFは短期間で導入でき、佐藤氏によれば「SQLインジェクション攻撃で改ざん被害にあった大規模サイトを、全面閉鎖から17日後には再開にこぎつけた」こともあるという。

●ログ管理ツールとSIEMの違い、その連携の可能性

 続いて講演「外部脅威に備え、内部漏えいを防ぐ、ログ・モニタリングの最適解」では、インフォサイエンス 稲村大介氏が「ログ管理ツールは、個人情報保護法やマイナンバー、不正アクセス禁止法など、法令やガイドラインの対応策として、受け身で導入しているケースが多い」と指摘。実際は、セキュリティ対策の制御が本当に効いているのかをしっかりモニタリングしなければ意味がないと強調する。そこを担うのが、ログのリアルタイム監視を実現するSIEMツールだ。

 「監査目的のログの保管や検索、定期チェックには統合ログ管理ツールが最適で、よりアクティブな常時監視にはSIEMツールが最適だ」(稲村氏)

 例えばインフォサイエンスでは、統合ログ管理システム「Logstorage」を提供している。企業内やクラウド上のログデータを一元管理、監視する同システムは、個人情報を含むファイルへのアクセス件数やUSB接続ログなどを相関チェックし、申請外のアクセスを試みたユーザーに対しては確認をとって抑止し、情報システムが適切に運用されていることを証明する。

 また、SIEM製品「Logstorage-X/SIEM」とLogstorageを連携させれば、リアルタイム分析やダッシュボードによる状況把握、相関ルールに基づくアラート通知などで積極的な外部脅威対策も実現できるという。「内部対策にSIEMは必須ではないが、より進んだ外部脅威対策として、目的に応じて連携させるのであれば検討の価値がある」(稲村氏)。

●「スマホゲーム」のチート事情と対策

 ゲームの“チート行為”とは、通常起こり得ないような不正な操作によって、ゲーム内で何らかの“利益”を得るといった行為を指す。その動機は「楽にキャラクターを強くして他人に自慢したい」といった個人的なものから、「チートの結果をお金に換えたい」といった犯罪に近いものまでさまざまだ。特に金銭絡みでは、「チートを代行して金銭を要求する」などのケースもある。

 特別講演「『モンスターストライク』の事例に見るスマートフォンゲームのチート事情」では、ミクシィのセキュリティ室 亀山直生氏が、スマホゲームでのチート行為の状況について語った。同氏は、「チート行為はプレイヤーのゲーム体験を損なうだけでなく、ゲームを提供する企業にとっては課金機会の損失や売り上げの低下、ブランドイメージの低下、ユーザー対応コストの増加など、相当大きなビジネスリスクをもたらす」と述べる。

 一口にチートと言っても、その手法は多種多様だ。亀山氏によれば一番流行しているのは「メモリ改変」だという。これは「プロセスメモリエディタを使い、キャラクターの“HP(ヒットポイント)”や“敵に与えるダメージ”、“所持金”など、メモリに格納される値を改変する」というもの。「ターゲットとなるプロセスを選択し、書き換えたい値をメモリ内で検索、目当ての値のメモリ番地が特定できたら好きな値に書き変える。この手法を用いれば、いろいろな値を思いのままに変更できてしまう」(亀山氏)。

 他にも、ローカルプロキシツールなどを使ってクライアントとサーバ間の通信を改変し、ゲームプレイ結果をサーバに送信する際にスコアを書き換えたり、キャラクターのステータスをサーバから受信する際に攻撃力を書き換えたりする手口や、ローカルデータの改変行為、チーターの都合の良いようにクライアント処理を改造するクライアントアプリ解析・改造行為などの手法もあるという。

 「高度なチーターに至っては、例えば通信改変とメモリエディタ改変を組み合わせて、いずれかがブロックされていても確実にデータを改変できるようにする回避策まで用意している。しかも、そうした手法をYouTubeなどで公開することもあり、ゲーム業界やセキュリティ業界を困らせている」(亀山氏)。

 こうしたチート行為について亀山氏は、「値や処理の改変行為を完全になくすことは、ほぼ不可能だ」と明かす。特にプレイヤーのスマホ端末にインストールされたクライアント側でバトルの「ダメージ計算」や「当たり判定」などの処理を任せている場合、ここでの不正を防止することは難しく、どうしてもいたちごっこの対策になりやすいという。

 「現状は、どこまでプログラミングで対策するかを明確化し、同時にバランスよくチェックや検知を強化しつつ、アカウントをBANする対策しかない」(亀山氏)。将来、処理した映像のみをスマホに届ける「クラウドゲーミング」が普及すればチート対策も必要なくなるかもしれないが、それまではガイドライン作成やゲームセキュリティ講習会によるノウハウの蓄積・展開により、社内の開発エンジニアの対策スキル向上を図っていくという。

 ガイドラインを作成したのは、開発者にはチートに詳しくない人の方が圧倒的に多いことや、開発ではどうしてもゲームの面白さや快適さが優先され、セキュリティに意識が向かないことがしばしばあることから、開発の初期段階から実施しておくべき対策をきちんと明記、横展開できるようにするためだという。

 また最近は、各県警のサイバー犯罪対策課などと連携して犯罪的なチート行為の取り締まりにも協力していると亀山氏は述べる。例えば2015年11月、同社のゲーム「モンスターストライク」のチートツールを譲渡した疑いで17歳の高校生が逮捕された事件があったが、こうしたケースにおいて「捜査機関の依頼を受け、技術調査や調書の作成などを行うこともある」という。

 「サーバはチーターがほぼ手出しできない領域だが、ゲームデータやロジックなど端末側にあるものは依然書き変えられることを前提に対策を考える必要がある。今後もチート対策には積極的に取り組んでいく」と、亀山氏は力を込めた。

●CSIRT構築や運用の課題解決のポイント

 最後の講演「CSIRT構築・運用のコツ、伝授します!」では、インフォメーション・ディベロプメントの櫻木康喜氏がCSIRT構築・運用に関する3つの課題に答える形で、そのポイントを解説した。

 1つ目の課題は「周囲の理解が得られない」だ。「『わが社には狙われる資産はない』と言う経営者がいるが、攻撃者は本丸へと乗り込むための踏み台を探しており、資産ではなく脆弱性の有無に注目している」と指摘する櫻木氏は、その解決策として「サイバー攻撃演習を実施すること」「監視サービスやサンドボックス、クラウド型WAFなどの最新ソリューションを試験導入すること」を提案した。自社の弱点を経営層に示すことで、対策の意義を理解してもらえるのだという。

 2つ目の課題は、「どんなCSIRTを構築すべきか、正解が分からない」だ。これについて櫻木氏は日本シーサート協議会(NCA)のサイトなどが参考になると言う。「CSIRTの形態や機能はさまざまあるが、例えばJPCERT/CCのCSIRTガイドラインでは連絡窓口とインシデントハンドリングの2つを必須としている。こうしたガイドラインを基に、理想形をコンサルタントなどと相談し、それを目指すのがいいだろう」(櫻木氏)。

 そして3つ目の課題が、「立ち上げたが機能しない」だ。これは特に人材不足が原因で陥りやすい課題と述べた櫻木氏は、場合によってはアウトソーシングを活用するのも1つの手だと提案した。

[谷崎朋子,@IT]

コメントは受け付けていません。

サブコンテンツ

このページの先頭へ