今に始まったことではありませんが、国の内外を問わず、日々サイバー攻撃被害が発生しています。しかし、転んでもタダでは起きない。自分の組織に発生した侵害はもちろん、他の組織に発生した侵害からも、攻撃者視点、被害者視点など、さまざまな視点で、学び、改善に活かすことができる点がたくさんあるはずです。
今に始まったことではありませんが、国の内外を問わず、日々サイバー攻撃被害が発生しています。しかし、転んでもタダでは起きない。自分の組織に発生した侵害はもちろん、他の組織に発生した侵害からも、攻撃者視点、被害者視点など、さまざまな視点で、学び、改善に活かすことができる点がたくさんあるはずです。
今回は、2023年夏に発生した、某港湾施設へのサイバー攻撃から、学んでみたいと思います。今回の被害組織は港湾施設でしたが、正直、港湾施設が重要インフラに指定されていない点には、驚きを感じました。海外でも港湾施設を標的としたサイバー攻撃は多数発生しています。例えば、オランダで、ランサムウェア攻撃を受けた港湾施設が閉鎖された事例。世界最大のコンテナ船会社であるAPモラー・マークスも同様にランサムウェア攻撃を受け、最終的な損失額が3億ドルに上るという報道もあります。
そもそもサイバー攻撃が発生する原因には「想定違い」があります(ブログ「攻撃者にスキを与えない!全方位の対策をシンプルに実現していくためには?」参照)。攻撃の現実と、対策の想定の間にギャップがなければ、攻撃は発生しないのです。しかし、どうしてもギャップが発生してしまう理由があります。
先に述べた通り、日本国内で港湾施設は重要インフラに指定されていません。しかし、海外では大きな被害事例がいくつも発生しています。これらを教訓に、同様の攻撃が発生することを「想定」し、重要インフラもしくはそれに準じる対策をとることで、今後の被害を防止することができます。逆に言えば、今回はその「想定」が間違っていたことによる被害であったということもできるかもしれません。
これは、防止できる「想定外」です。
一方で、防止できない想定外もあります。今回の侵害に関する報道によると、足掛かりとして利用されたのはVPN危機の脆弱性と聞きます。この手法は故l宮内でも侵害の手口としてよく知られるもので、数年前から、各種機関およびベンダー各社から注意喚起がなされていたものです。そういう意味では「想定外」ではなかったのかもしれませんが、機器が想定していた機能をきちんと果たしていなかったり、想定外の脆弱性をはらんでいたと考えると、予防することができない想定外が発生した、とも言えます。
ゼロデイ脆弱性の例に見られるように、昨日まで問題なく動作していたモノに、ある日新たな脆弱性が見つかることで、一瞬のうちに危険なモノに変貌してしまうという恐怖は、セキュリティ担当者なら、どなたでも経験、あるいは実感したことがあることでしょう。この問題を最小化していくためには、新たな脆弱性が発見された際、自身の環境にその脆弱性があるかどうかを把握し、対応することが必要です。これを実現するためには、インベントリ管理をはじめとする、日常におけるアセット管理、把握、可視化が重要です。なぜなら、これも普段繰り返し言っていますが、「見えないものは守れないから」です。
今回の侵害を受けて、中間報告(10月18日時点)では、有識者の意見を踏まえ、以下の改善策を取るとされています:
いずれも重要であるものの、おそらく今までも実施されてきた項目であろうことを踏まえると、その深さや強度を具体的にどのように定義し、どこまで守ることが必要なのかを見極めることが重要に思えます。「どこまで守ればいいのか」は、セキュリティにおける一つの哲学ですが、その基準の一つとして、NIST CSF などのフレームワークを応用するのもいいでしょう。
また、今回標的となった組織の性質を踏まえ、たとえ重要インフラに指定されていなかったとしても、重要インフラ並の、強固な対策が求められるのかもしれません。
(文:ラピッドセブン・ジャパン株式会社 横川典子)