どうもkobayayoです。いつもご迷惑をおかけしてすみません。🙇
この記事はCyber-sec+ Advent Calendar 2024のアドベントカレンダー16日目です。
企業で情報システムとか開発とかやっていると、付き物なのがセキュリティインシデントですよね😅
私が経験した様々なセキュリティインシデントを振り返りながら、必要な対策というものを考察いたしますよ(´・ω・`)
「知ってた」という話ばかりかもしれませんが、聞いてもらえると嬉しいです😅
1990年代後半
インターネットの商用化が始まったのがこの時期からですが、このころは固定電話回線からインターネットにつなぐのが定番でした。若い人は「電話回線?スマホ?」てな感じでしょうが 固定電話回線(アナログ回線やデジタル回線) でつないで電話料金気にしながら都度ネットにつないでいた時代です。インターネット老人会の皆様は懐かしく思い出されることでしょう。
この時期は、埼玉のSI企業で、企業のホームページ作成や、インターネットインフラ構築のお手伝いや、Webサイト構築の業務を行っていました。駆け出しの若造にいろいろチャレンジさせてくれたこの会社には今でもとても感謝しています。ホームページ作成の仕事をいただいたのも結構大きな企業が多く、色々勉強させていただきながら業務に邁進しました。
このころの技術の進歩は目覚ましく、ブラウザも機能改良を重ねている時代でした。その中に皆さんおなじみのJavaScriptが95年に登場していろいろなことがブラウザ側でできるようになりました。当時はNetNewsやホームページで上田学さんの「独学JavaScript」を読みながらいろいろ学んだことが懐かしく思い出されます。😇
便利な機能が出てくると悪用されるのが世の常でして、このころ猛威を振るったのがブラウザクラッシャー、通称ブラクラというやつです。中でも大変迷惑だったのがウィンドウが無限に開き続ける、通称ゾンビウィンドウというブラクラですね。ちょっと怪しげなサイト、アングラっぽいサイトを好奇心でうっかり除きに行くとこれにやられることが多かったように思い出されます。中ではウィンドウを無限に開き続ける裏で「ezdialer.exe」なる 謎の実行ファイル(マルウェア)をダウンロードさせようという攻撃 が裏で進行することがありまして、私の場合はノートンさんが検知して隔離してくれたから良かったものの、「知らないうちに国際電話かけていて多額の電話料金を請求された」という事案がいくつも報告されていました。😨
当時のマネタイズの手法が「電話料金から情報料を課金する」というもので、規制が緩いのか情報料課金がしやすい海外の電話番号が良く使われていたようです。
2000年代前半
この時期はWebの技術をもっと極めたいという思いから東京のWeb作成ベンチャー企業に転職しました。ちょうどiモードをはじめとする携帯サイトのビジネスが花開いたころで、転職先でもスポーツの情報配信する携帯サイトを立ち上げて、そのインフラ構築を担当しながら、WebデザインやWebサイトの構築の仕事も請け負っていました。ベンチャーなので本来の開発・インフラ業務以外もやらなくてはならなくて、経理と労務以外のほぼすべてはやったことがあるというツライエキサイティングな環境でした。
インターネットのインフラも、ダイアルアップからADSLでの常時接続に移行しはじめた時期でしたね。
さて、この時期に流行ったサイバー攻撃はMelissa、
LOVELETTER、klez、SirCamといった電子メール型ワームや、W32/CodeRed、W32/Nimda、W32/SQLSlammer、Sasserといったネットワーク型ワームで、強烈な拡散力と様々な破壊活動、サーバ停止を伴う攻撃が主でありましたな(´・ω・`)
社内ではウィルス対策ソフトの最新化に常に気を配りながら、毎月のように啓蒙を行っていたことが思い出されます😅
幸い社内では被害はなかったのですが、取引先の担当者が毎週のようにウイルスに感染してそのたびにノートPC取り替えていたり、取引先の大企業のオフィスにお邪魔した時、その方の端末の画面を見ながら仕様の打ち合わせをしたのですが、通知らしきものがピコピコ出ているのを見て「何ですかこれは?」って聞いたら「いや、社内ネットワークにウイルスが入り込んでいるんだよね(´・ω・`)、自衛のために私費でパーソナルファイアウォール入れているんですよ」と言われておおぅ/(^o^)\ってなったりしたのは良い思い出です(ヲイ
悔やまれるのは、知人に「IISサーバの構築やってくれない?」と頼まれて、bekkoameのデータセンタにIISサーバの構築、設置のアルバイトに行ったのですが、構築後に「ちゃんと毎月パッチ当ててくださいね(´・ω・`)」とは言ったものの、運用までは頼まれていないのでそのまま納品して終わったのですが、1年後くらいに「サーバ調子悪いので見てくれない?」って言われて見に行ったら、案の定Nimdaに感染していて手が付けられない状態になっていたことでしょうか😇パッチ当てを怠ると大変なことになると再認識したのでした😅
Nimdaといえば、ブッシュ大統領(当時)が「アルカイダが Nimda を開発したのではないか?Nimdaを逆から読むとAdmin(行政府の意味もある)になるからだ」といったことを言ってて、米メディアもそれに乗っかってアルカイダ作成説唱えていたことを見て笑ってしまった🤣ことが思い出されます。いやあ、時系列が逆ですよね、それ。非常時は行政のトップでさえ易々と陰謀論信じちゃうのだなあと思ったのでした。
2000年代後半
この時期に、私の人生で最もツライセキュリティインシデントに見舞われました😨
ある会社の仲介で、ブロードバンド向け音楽コンテンツ配信サービスのWebサイト構築の仕事をいただいて、企画段階から関わったのですが、発注元が企画、コンテンツ作成、仲介した会社がサーバインフラ提供、私たちがミドルウェア構築とサイト開発という座組で2年くらい運用して順調に推移していました。
ただ、サーバの運用に際してSSHでインターネットを介してログインする必要がありまして、これが後々問題を引き起こすことになります😅
サーバのログ等はスクリプトで拾って委託元と私たちに送信する仕組みにしたのと、rootあてのメールも同様に委託元と私たちに転送するようにしていました。
最初に異変に気が付いたのは委託元の方でした。「メールの内容が普段と違うようなので見てくれない?」と。それで改めて通知内容を見てみると確かに普段と違うログが記録されています😨「これはもしや?」と思ってサーバにログインすると、別にログインしているアカウントがあります。おおぅ\(^o^)/と思って調べ始めると、なんと謎の相手から「Hello!」とメッセージが…😱
そうこうしているうちにそのアカウントはログアウトしてしまったのですが、そこから苦難の始まりですorz
早速委託元とインフラ提供している会社の担当者に連絡をして、サイトはサービス休止の通知出して一時停止してフォレンジックに回すことに。早速犯人探しが始まります。インフラ提供している会社は私がセキュリティ対策を怠ったのが悪いとか言い始めます。しかし委託元は私がミドルウェアのバージョンアップを都度やっていたことを知ってくれていたので私の見方になってくれました。今思い出しても涙が止まりませんね😭とはいえ、ミドルウェアより上を対策していても不十分だったということは身につまされましたorz
委託元の配慮で私はサービス復旧に専念してくれということになり、責任の所在の交渉は社長とその当時助っ人に入っていたMさんに任せることになったのですが、最終的にインフラ提供していた会社が何もしていなかったのが原因ということで着地しました。私は責任なしとされたのでした。確かにOS含めたサーバの保守は頼まれていなかったしなとは思うものの、実質保守していたのは私だったのでだいぶ苦い思い出になりました。
そこから、別サーバ立てて復旧を目指すことになるのですが、委託元からは「サーバも含めて面倒見てくれ」と言われて、(当時はAWSが公開され始めたころで、オンプレ全盛期)サーバの調達からセットアップ、自社サーバへのラッキング、バックアップしていたプログラムとデータのリストアと、自社の業務も並行しながら復旧作業をやったので、ほぼ1日18時間勤務みたいな状態が1か月続きました(´・ω・`)
この経験があるから、ランサムウェア被害にあった病院の状況とか自分事のようにわかるんですよね。
ひとたび事が起こっちゃうと、周辺の人を巻き込んで多大な労力とお金を使うことになるので、それに比べれば予防に使うお金と労力なんてだいぶ安いものだとインシデント経験者としては思うのです。
雨降って地固まると申しますか、開発だけでなくサーバ提供と保守まで仕事をいただくことになったので、売り上げとしては大きくなり良いお客さんにはなったのですが、セキュリティ対策としてのパッチあてと監視は気が抜けなくなりました。それから、委託元においてもグループ全体でセキュリティチェックサービスの運用が始まったとのことで、定期的に外部からサイトを巡回され、httpサーバのバージョンが古いとか、バージョン番号表示させるなとか通知がされ、今でいうASMサービスのようなものが導入されたのでした。
ありがたい反面、対策を遅滞なく行わなければならず、仕事のプレッシャーはますます高まったのでした😇
転んでもただでは起きないとばかりに、そこでいただいた情報をもとに自社サービスのセキュリティ対策にも活用したのは内緒です😇
2010年代前半
この時期に入るちょっと前に、勤めていた会社の資本関係が変わりまして、新たに就任した専務取締役との折り合いが悪くなったことから、取引先だった会社のお誘いを受けたことをきっかけに転職することになりました。次はデジタルコンテンツ配信事業が主力の会社です。ここではインフラエンジニアとして雇われたはずなのですが、気が付いたら情シス業務も引き受けることになり、インフラエンジニア兼1人情シスとなったのでした。前職と大して変わらないという😅
さて、この時期に流行ったサイバー攻撃はなんといってもGumblarでしょう。正確には2009年ごろから広まり始めたのですが、Webサイトの改ざんやFTP経由での侵入などで広まるのですが、自社内にも侵入して駆除が非常に大変でした。なんといってもその当時使用していたウ〇〇ス〇〇ターが全く検知してくれずスルーしちゃったので、別のツール使って個別に駆除しなければならなかったので非常につらかったですね(´・ω・`)
事業の急拡大に伴い、人もどんどん入ってくるので、チームのメンバーも増えたのですが、教育とか注意喚起とかがもろもろ追い付いていなかったことが、ウィルスまん延に拍車をかけたように思いますorz
なんだかんだで、奮戦しながらインフラ・情シスチームの形ができてきたころに、子会社立ち上げの話が出て、気が付いたらチームメンバーを丸ごと後任に引き継いで1人子会社に飛ばされ、0→1のインフラ・情シス業務の構築任務をすることになったのでした。マジですか(´・ω・`)
2010年代後半
2005年ごろから分身を増やすワームの技術を使って増やした分身を制御するボット型のマルウェアが増え始めてきましたが、これらを発展させた標的型攻撃が2010年代に普及し始めます。自社では幸い被害にあった事例は出ませんでしたが、関連会社でちょくちょく話を聞くようになりました。標的型攻撃メール訓練も2010年代後半に入ってからグループ全体で実施されるようになっていきます。2017年ごろからはWannaCryの流布も相まってランサムウェアが話題に上るようになってきましたね。グループ内でも被害事例が出たのを覚えています。
さて、この時期弊社内では流行りのマルウェアによる攻撃とは別に、情報漏洩事案が続きました(´・ω・`)ショボーン
一つはメールの誤送信による情報漏洩です。システム化が追い付いていなくて手動運用があったのが原因でしたorz プライバシーマーク審査機関に報告を行って、件数が少なかったことから注意処分ですみました。
もう一つはもっと重大な事案でした。アプリで自分のものでない他人の情報(写真)が表示されちゃうという事案でした。最近LINEで起きた事案と同じような事案です。原因はお察しの通り認証情報の不備でした。結局サービスの終了につながる事案となってしまいまして、各方面への事案報告と再発防止措置の連絡等を私がやることになって結構大変でした。
直接の原因は認証情報の不備ですが、根本原因としてはセキュリティ・バイ・デザインの原則をチェックするプロセスがなかったことにあって、サービスをリリースする前にチェックするプロセスを構築することで再発防止策としました。
いろいろ痛い目にあいながら、セキュリティの向上に邁進しています(´・ω・`)
2020年代前半はコロナ対策をしつつ、ランサムウェア対策強化を行っています。他者の様々な事案を見ながら、自社のセキュリティ対策に足りないところを取り入れてくべく奮闘しています。
今後ともどうぞよろしくお願いいたします。🙇
こうして振り返ってみると、セキュリティ対策で言われていることって、昔から大して変わってはいないのです。言葉は変わって、新しい何かが出てきているように見えますが、本質は変わらないものだと、セキュリティに関するあれやこれやを学ぶと感じますね。
Discussion