ラック専務理事 西本逸郎(にしもといつろう)
ラック CTO 専務理事。北九州市出身。1986年ラック入社。2000年よりサイバーセキュリティー分野にて、新たな脅威に取り組んでいる。日本スマートフォンセキュリティ協会 事務局長、セキュリティ・キャンプ実施協議会 事務局長などを兼務。著書は「国・企業・メディアが決して語らないサイバー戦争の真実」(中経出版)
今年になって頻発しているインターネットサービスのID不正流出で、国内最大級の事件が発生した。ヤフーは17日夜、「ヤフー!ジャパン」が不正アクセスを受け、最大で2200万件のIDが流出した可能性があることを明らかにした。同社が管理する約2億件のIDの10分の1強にあたる規模で、ヤフーIDをもっている人の中には該当者も多いだろう。では、被害に遭った可能性のある人はいま何を心配して、今後何に気をつければいいのか。また、ITを利用しているすべての企業でリスク管理徹底するために講じるべき対策とは何なのか。サイバー時代の「護身術」についてセキュリティー専門家の立場から解説する。
■データが巨大化する中で把握が難しくなるID
ヤフーでは4月にも管理サーバーへの不正アクセスを検知したと発表している。そのときは約127万件のユーザー名、暗号化したパスワード、登録メールアドレスなどの情報が抽出の被害を受けたものの、外部へ流出する前に阻止したということだった。今回は被害を受けたのがIDのみでパスワードなどの重要な情報は含んでいない。だが、2200万件にも及ぶ膨大な情報が被害に遭っており、さらに外部に持ち出した可能性についても否定できない点が前回とは異なる。
仮にIDが平均10文字だったとすると、2200万件で220メガバイト程度のデータ量となる。これは、最近のデジタル写真に換算してみると50枚程度にすぎない。もし圧縮していたら、さらにコンパクトになって恐らく10メガバイト程度だろう。こうなると、写真データ、わずか2枚程度になってしまう。この点がデジタルデータの管理が難しくなっている理由の一つである。
写真や映像といった大きなデータを扱うことが増える中で、テキスト形式のIDやパスワード、個人情報や文章などは、データ量ではごく小さな存在になりつつある。様々な大量のデータがインターネットとの間でやり取りする中に、IDのデータが含まれているかを特定することが難しい。もし暗号化をしていると、もはやどんなデータが転送されたのかを解析することも不可能だ。
犯人が実行した内容を知りたければ、パソコンやネットワーク上の様々な痕跡を特別な技術で詳細に調査し洗い出していかなければならない。「フォレンジック」と呼ぶこの作業は、非常に大きな労力を要する。しかも、一般的には犯人が巧妙に痕跡を消していたり、犯行から時間が経過し犯行現場が日常業務により荒らされて痕跡を見つけられないことも多々ある。
恐らく、ヤフーも短時間の間に相当な調査を行ったはずだ。だが、被害の確定を優先しているはずであり、原因分析、他の関連被害、犯行手口の解析はまだ時間がかかるものと推測する。
■利用者はフィッシングなどによる二次被害に注意
今回の事件でまず気をつけるべき具体的な脅威は、流出したIDをもとに、事件そのものの対策を装った標的型メールやメッセージを送ってくるというものだ。例えば、「あなたのIDが被害に遭った可能性があるので、こちらにアクセスして情報を確認してください」というメールを送って不正サイトに誘導し、つられてアクセスした人が入力したパスワードなどの重要情報を盗むフィッシングである。
今回のように有名になった事件や身近な事件に関連する詐欺まがいのメールは、引っかかりやすいので、普段から気をつけておこう。自分のIDが流出した可能性があるかは、ヤフーが用意したサイトで確認できる。
ただ、そこで、自分が流出対象だった場合も、特に何かをする必要性があるとは考えにくい。流出したIDで実際にメールを盗み読みをされたり、オークションを勝手に使用されるなどの成り済ましの被害に遭ったりことは、まずはないからだ。犯人に渡った可能性がある情報はIDのみで、こうした悪用に必要なパスワードなどは含まれていない。
とはいえ、流出した可能性があるとすれば、そのままにしておくのも気持ちが悪い。そのときに実行する内容としては、以下のようなものが考えられる。
●IDを削除して別のIDを取り直す。ただし、ポイントや過去の評価を含め、古いIDから新しいIDには情報を引き継げないため、まったく新しいIDとなってしまう。
●特に使用してないいならば、この機会に削除する。
●簡単なパスワードを設定しているならば複雑な推測しづらいものに変更する。
ヤフーでは自分自身のログイン履歴の閲覧ができる。このため、今回に限らず不審ななりすましの痕跡がないかなどを適時チェックする習慣を身に付けていきたい。
■サイト側は事故が起こることを前提に対応力を強化
今回のような攻撃は、ヤフーだけが意識すべき問題ではない。多くの企業で被害を受けているとされるスパイ的な活動さえ、いまだに気づいていないところがまだまだ多いと推測する。そうした企業が、こういった事件で何を学ばなくてはならないのかを考えてみたい。
ヤフーが発表した内容では「IDを管理しているサーバーに外部からの不正アクセスがあったことが判明」とあるので、外部から何らかの方法で侵入を許したと考えられる。また、「4月2日に発生した不正アクセスを受けて監視体制を強化していたところ、不審なログインを検知」あるいは「実施した対策の中で、関連するアカウントの認証の再設定を社内で徹底させることができていなかったことに起因している」ともある。このことから恐らく、犯人はヤフー内で使っている何らかの管理者アカウントでログインし、今回の不正行為を実行したのではないかと推測される。
管理者が想定外の行動を取った場合、皆さんの会社ではそれに気づくことができるだろうかを、想像してみてほしい。うまく気付いたとして、そこから何が起きたのかなど調査するとして、どの程度を把握できるだろうか。
犯人は外部なのか内部なのかもわかっていない段階で、誰がそのことを調査するのだろう。ヤフーの場合、不審なログインを16日夜に発見したとしている。それからほぼ24時間で事実確認や被害範囲を調査して、17日夜には今回の発表をしている。一般向けのサービス提供者としては、非常に迅速である。
最近のサイバーセキュリティーで重要なことは、このような「事故前提社会の対応力強化」である。これは、内閣官房情報セキュリティセンターが09年2月に発表した第二次情報セキュリティ基本計画での重要メッセージだ。今回の事件も原因は不明だが、不審なログインを見つけるとすぐに調査に入って対応を実施している。
「そうならない」ための予防策はもちろん重要だが100%の策は存在しない。最悪なのは、完全に予防していると勘違いしたせいで不正アクセスに気づかずに対応が後手に回ることだ。被害を拡大させるだけではなく、組織としての対応を誤り、例えば利用者などからの信頼をなくして会社の事業に多大な損害を与えてしまう恐れがある。
■セキュリティーの観点からは「閲覧」の管理こそが重要
情報セキュリティー対策の重要事項に「職責の分離」と「最少権限の付与」がある。これは例えば、経理担当と購買担当で人を分けたうえで、お互いの役割で必要なことだけをそれぞれができるように権限を設定する、ということである。逆に言うと、必要のない人に必要のない権限は与えないようにするのが基本だ。だが、最少権限の付与は、いうは易くだが実際に実行するのはなかなか難しい。特に様々な管理者に付与する権限で重要なものから制限をしていくことが一歩となるだろう。
今回のヤフーのケースでは、誰が利用者IDの管理責任者だったのだろう。情報システム部門ではないはずだ。そして、今回の不正アクセスで、2200万件のIDを抽出(つまりは閲覧)するという行為は、悪用されたアカウントでの役割に応じた権限であったのかどうかが問題である。
情報セキュリティーで考慮する「機密性」で重要なことは「閲覧」権限の管理である。「閲覧」と「書き込み」では、「書き込み」の方が大事で、より慎重な管理が必要と勘違いしている人が多い。業務目線とセキュリティー目線では優先度が変わるのが大原則で、「閲覧」権限にこそ気をつけなければいけない。
「大量閲覧」が可能なアカウントは特に厳重に記録を取り監視する。恐らくヤフーはそうした監視をしていたと推測する。職責分離の関係で、閲覧できる人とデータの持ち出しが可能な人を分離することも考慮していいだろう。具体的な方法は、企業ごとに業務のやり方や文化が異なるため、それぞれに合った適切なやり方を見つけていただきたい。
整理すると、大半の組織で考慮すべき点は以下のようになる。恐らくこれまでも取り組んでいるだろうが、この機会に再度確認したい。
●情報システムやデータへの特別な権限の行使状況は把握できるか。
●特別な権限行使状況から不審な行動を見つけることができるか。
●特別な権限を行使するにあたっての認可やアクセス制御は適切か。
●特別な権限の行使ルールは守れているか。また、そのルールは実態に合っているか。
●セキュリティー責任者は情報システム部門と兼務になっていないか。
今回の事件は、単なるIDという一般的に外部にも知られている情報の流出の可能性ということで大事に至ったわけではない。だが、ヤフーという日本を代表する情報技術を駆使している会社で短期間に再度発生してしまったことは大変残念である。他のサイトだけでなく、一般の企業も人ごととは思わずに、我が社は大丈夫かということを、事故前提の観点で見直したい。