私が初めて起こした情報セキュリティインシデントの話(そしていかにして情報セキュリティを意識するようになったか)
これはSupershipグループ Advent Calendar 2020の23日目の記事です。
2020年、新型コロナウィルス感染症(COVID-19)が流行し、ニューノーマルとともにリモートワークが爆発的に普及しました。
そんな中、情報セキュリティ関連のニュースは一般のニュース番組で見るほど当たり前の存在になりました。
情報セキュリティめっちゃ重要です。でもなぜ重要か?はあまり説明されませんよね。重要って言う側は分かっていても、言われる側は何のことか分かりません。
私も他人事だと思っていた時期があります。「自分には関係ない」と思っていました。 自分が情報セキュリティ事故を引き起こすまでは。
情報セキュリティインシデントの当事者となってしまったり、事故を引き起こしてしまうと、精神的にかなり大きなダメージを受けると思います。しかもものすごく大変です。
その前に、これは実際に起こることだから気をつけよう、と考えて、ちょっと気をつけてくれたらうれしいです。そして、気づいたら組織の情報セキュリティ担当者に相談してください。
私が起こした一番最初の情報セキュリティインシデント
私がまだ大学生だった2002年、自宅で契約していたケーブルテレビのインターネットが突然使えなくなりました。その直後、ケーブルテレビ局からこう電話がありました。
『あなたの回線からスパムメールが大量に発信されているようなので、回線を止めました。スパムメールの配信をやっていたりしませんよね?』
もちろん、やってません。
『サーバーが不正に利用されているようなので切り離してください。確認できたら回線を元に戻します。』
一瞬固まり、夏なのに体が涼しくなるのを感じました。周りから見たら私の顔は青くなっていたでしょう。
そのあとすぐにサーバーを切り離し、ケーブルテレビ局に連絡をしたところ、回線はすぐに復旧されました。
調べてみたところ、自宅サーバーにインストールされていた FTP サーバーに脆弱性があり、そこから侵入されてスパムメール配信が配信されていることが分かりました。
「ふつうサーバーに侵入されないでしょ」から「サーバーに侵入するってふつうにあるでしょ」へ
ケーブルテレビ局の人にはものすごい迷惑をかけたと思いますが、私自身に大きな被害はありませんでした。
しかし、自分で構築したサーバーで、実際に侵入され、被害を出し、迷惑をかけている。大学生のころでも血の気が引き顔が青ざめるほどの経験でした。
この時に思いました。情報セキュリティ事故は実際に自分の周りで起きると。
これを境にインターネットで何かを見るとき、「情報セキュリティ」というキーワードがあればリンクを開いてみる、調べてみるようになりました。
セキュリティがジブンゴトになった瞬間でしたが、もうあんな体験はしたくない。
この経験から、セキュリティを仕事にすることは大変なことが分かっていました。なので、積極的には関わってきませんでした。
しかし、今の組織に移ったときに、「何をやりたいか?」と聞かれ、もしかしたらやってもいいかも?と思ってしまいました。
このことが私の情報セキュリティに関する考えをさらに大きく変えることになりました。
組織の中で情報システム・情報セキュリティに接していると見えること
実際に組織の中で情報セキュリティの課題を探してみると、実際のインシデントがいくつも見つかることがあります。皆さんもよく体験するのは、
- PCがマルウェアに感染している
- メールに添付された xlsx ファイルを開いたらマルウェア(不正ソフトウェア)だった
- サーバーが攻撃されている
- 外から持ち込まれたPCが脆弱性スキャンをしている
- USBメモリにマルウェアが入っている
などだと思います。
そして、情報収集を継続的にしてみると、上記のようなインシデントは大きな攻撃の一部でしかないことが分かってきます。
自分たちの組織にとってもそれは他人ごとではないことを再び思い知らされました。
もし、あなたの会社がある程度の規模で、情報セキュリティインシデントが全く起こっていないと考えているとしたら、あなたが知らないだけか、組織が知らないだけかのどちらかと断言できます。
ジブンゴト化?実際に自分の身に降りかからなければ意識は変わらないよ?
しかし、上記は情報セキュリティ担当者の場合です。それ以外のセキュリティ好きの変わり者以外は「なんでそんなめんどくさいことやらないといけないの?」というのが正直な感想でしょう。
分かります。情報セキュリティはめんどくさい。 私も言っていてめんどくさいなあ、と思うことがあります。
でも、できれば身近で起こっていることを意識してほしい。実際に身近で起こっているので。
なかなか難しいですよね。実際に起きてないし。そんな時に起きていることを実際に身をもって知る方法が3つあります。
- 情報セキュリティインシデントが起きていることを自分の目で確かめる
- 実際に情報セキュリティインシデントの当事者になる
- 実際に情報セキュリティ事故を起こす
どれも大変効果があるのですが、できれば1がおすすめです。2と3は心が痛みますし、ものすごく大変です。
1ならば心も痛まず、ちょっと調べてみると、あれ?もしかしてインシデントって普通にあるんじゃない?と感じることができると思います。
Webサーバーを管理していたら、ログを確認してみましょう。wp-admin という見慣れた文字列がほぼ 100% 見つかります。 WP…?このサイトには WordPress はインストールしていないぞ?
ネットワークにデバイスをつなぐことができるなら、許可を得てハニーポットを試験的に運用してみましょう。しばらく運用するといくつかの検知のうち、実際にスキャンと思われるものがやってきます。 HNAP1 ?うちはローカルストレージはおいてないんだけど?
また、メールアドレスからパスワード漏洩などをチェックできるサービスがあります。情報セキュリティ担当者に信頼できるサービスを聞き、チェックしてみましょう。信頼できる情報セキュリティ担当者なら組織のメールアドレスが漏洩データに含まれているかはチェックしています。
もし、どれかが起こっていたら、あなたの身の回りで情報セキュリティインシデントは起こっています。そして、これを読んでいる人は身の回りでどれかが起こっていると断言できます。
身の回りで情報セキュリティインシデントが起こっていることが分かると、これはおかしいのかな?まずいのかな?というのに気づくようになります。そうしたら、信頼できる情報セキュリティ担当者に相談してみてください。
おまけ: 今同じインシデントが発生したらどうなるか?
さて、では、一番初めに私が起こしたインシデントを今会社で起こしたらどうなるでしょうか?
IT関連の職、リモートワーク、自宅にサーバーがあり、そこに侵入されたらどうなるか?
- サーバーに感染した状態で可能であれば全てのデータファイルとパスワード関連ファイルを侵入者のホストに送信する
→ この状態でデータ漏洩が起きる - サーバーから通信可能なネットワークにどのようなデバイスがあるか定期的にチェックして脆弱性があるバージョンが使用されている場合には感染する。VPNでどこかに到達できる兆候があればそちらにも感染を試みる
→ この状態で水平感染が起き事態が大きくなる - モバイルPCに感染できた場合、モバイルPCが持ち運ばれ、ネットワークに接続された際にネットワークの情報やつながっている機器の情報を送信し、感染できる機器がないかを探す。感染したら1から繰り返す。
- ここまでで感染できたデバイスに悪用の価値がない場合、他のインターネット上のデバイスを攻撃するボットネットの一部として利用する
- 悪用の価値がある場合、データ取得と確実なアクセス方法の確立を行ってから、侵入者が仕上げに入る。
- 同じ組織のできるだけ多くの PC のデータをユーザーがアクセスできないように暗号化する(ランサムウェア)
- 組織にコンタクトし「データの身代金を払わない場合には暗号化は解除しない。」あるいは「対策ができる前に侵入の事実を公開する」と脅す。
(場合によっては「データを漏洩させる。」という場合もあるようですが、いずれにせよこの段階でデータは既に侵入者の手にあります。)
自分が情報セキュリティ事故を起こしたのが2002年で本当に良かったと思います。ケーブルテレビ局の人、本当にごめんなさい。
こうなる前に、みなさんも気づいたら情報セキュリティ担当者に教えてあげてくださいね。
【Supership】ではプロダクト開発やサービス開発に関わる人を絶賛募集しております。
ご興味がある方は以下リンクよりご確認ください。(Supershipホールディングスもあるよ。)
【Supership株式会社 採用サイト】
Discussion