CTOのひとりごと「想定外が招く想定外の侵害を想定して備える」

転んでもタダでは起きない

今に始まったことではありませんが、国の内外を問わず、日々サイバー攻撃被害が発生しています。しかし、転んでもタダでは起きない。自分の組織に発生した侵害はもちろん、他の組織に発生した侵害からも、攻撃者視点、被害者視点など、さまざまな視点で、学び、改善に活かすことができる点がたくさんあるはずです。

昨今の侵害事例

今回は、2023年夏に発生した、某港湾施設へのサイバー攻撃から、学んでみたいと思います。今回の被害組織は港湾施設でしたが、正直、港湾施設が重要インフラに指定されていない点には、驚きを感じました。海外でも港湾施設を標的としたサイバー攻撃は多数発生しています。例えば、オランダで、ランサムウェア攻撃を受けた港湾施設が閉鎖された事例。世界最大のコンテナ船会社であるAPモラー・マークスも同様にランサムウェア攻撃を受け、最終的な損失額が3億ドルに上るという報道もあります。

なぜサイバー攻撃が成功するのか

そもそもサイバー攻撃が発生する原因には「想定違い」があります（ブログ「攻撃者にスキを与えない！全方位の対策をシンプルに実現していくためには？」参照）。攻撃の現実と、対策の想定の間にギャップがなければ、攻撃は発生しないのです。しかし、どうしてもギャップが発生してしまう理由があります。

事前の想定が間違っているケース

先に述べた通り、日本国内で港湾施設は重要インフラに指定されていません。しかし、海外では大きな被害事例がいくつも発生しています。これらを教訓に、同様の攻撃が発生することを「想定」し、重要インフラもしくはそれに準じる対策をとることで、今後の被害を防止することができます。逆に言えば、今回はその「想定」が間違っていたことによる被害であったということもできるかもしれません。

これは、防止できる「想定外」です。

対策そのものに想定外が発生するケース

一方で、防止できない想定外もあります。今回の侵害に関する報道によると、足掛かりとして利用されたのはVPN危機の脆弱性と聞きます。この手法は故l宮内でも侵害の手口としてよく知られるもので、数年前から、各種機関およびベンダー各社から注意喚起がなされていたものです。そういう意味では「想定外」ではなかったのかもしれませんが、機器が想定していた機能をきちんと果たしていなかったり、想定外の脆弱性をはらんでいたと考えると、予防することができない想定外が発生した、とも言えます。

見えないものは守れない

ゼロデイ脆弱性の例に見られるように、昨日まで問題なく動作していたモノに、ある日新たな脆弱性が見つかることで、一瞬のうちに危険なモノに変貌してしまうという恐怖は、セキュリティ担当者なら、どなたでも経験、あるいは実感したことがあることでしょう。この問題を最小化していくためには、新たな脆弱性が発見された際、自身の環境にその脆弱性があるかどうかを把握し、対応することが必要です。これを実現するためには、インベントリ管理をはじめとする、日常におけるアセット管理、把握、可視化が重要です。なぜなら、これも普段繰り返し言っていますが、「見えないものは守れないから」です。

今回の侵害から学ぶもの：想定外が招く想定外の侵害を想定して備える

今回の侵害を受けて、中間報告（10月18日時点）では、有識者の意見を踏まえ、以下の改善策を取るとされています：

• 脆弱性への徹底したパッチ適応
• より強力な保護機能の実装
• バックアップの期間拡大
• 全体的な体制の見直し

いずれも重要であるものの、おそらく今までも実施されてきた項目であろうことを踏まえると、その深さや強度を具体的にどのように定義し、どこまで守ることが必要なのかを見極めることが重要に思えます。「どこまで守ればいいのか」は、セキュリティにおける一つの哲学ですが、その基準の一つとして、NIST CSF などのフレームワークを応用するのもいいでしょう。

また、今回標的となった組織の性質を踏まえ、たとえ重要インフラに指定されていなかったとしても、重要インフラ並の、強固な対策が求められるのかもしれません。

（文：ラピッドセブン・ジャパン株式会社　横川典子）