年間5000億件起きるサイバー攻撃やランサムウェアの“リアルな実情”を最前線で対応するフォレンジック調査のプロに聞いてみた

GIGAZINE
2022年01月25日 09時00分
広告


サイバー攻撃といえば「PC の大事なデータがマルウェアで流出」や「スマートフォンの不正アプリで個人情報が漏えい」といったニュースをたびたび耳にしますが、その実情は詳しく知られていません。デジタルデータの専門企業であるデジタルデータソリューションのフォレンジクス事業が提供する「デジタルデータフォレンジック」は個人から法人までのサイバー攻撃被害に対応した、最短即日での被害調査が可能なフォレンジック調査サービスを提供しています。そこで、増加しているサイバー攻撃の現状と被害に遭った場合の対応を知るべく、サイバーセキュリティの最前線で活躍するデジタルデータフォレンジックの中の人に根掘り葉掘り聞いてみました。

フォレンジック調査 | データを復元・調査し問題を解決するデジタルデータフォレンジック(DDF)
https://digitaldata-forensics.com/


今回インタビューに答えてくれたのは、デジタルデータソリューションのフォレンジクス事業部長を務める嘉藤哲平さんと、エンジニアの今村大也さんです。


GIGAZINE(以下、G):
最近はニュースでもサイバー攻撃について耳にすることが多くなりましたが、実際に日本国内でのサイバー攻撃はどれだけ増えているのでしょうか。

嘉藤哲平さん(以下、嘉藤):
そうですね、インターネットを経由してアプリケーションでサービス提供している企業での情報流出が増えています。例えば、婚活アプリでは、年齢確認のために運転免許証やパスポートを登録するわけなのですが、そういった情報が、API経由でクラウドに不正アクセスされ流出してしまうといったケースがありました。また、政府関係の情報まで漏れてしまっているというケースもあり、企業の規模に関係なくサイバー攻撃を受ける事例が多発しています。さらに企業だけではなく個人でもサイバー攻撃の被害はすごく増えており、NICT によると、日本国内で観測されたサイバー攻撃は過去3年で3倍以上にも膨れ上がっていて、2020年だけで5000億件以上ものサイバー攻撃が発生しており、私たちが提供しているフォレンジックの需要もどんどん上がってるような状況です。


G:
なるほど。具体的にどのようなタイプのサイバー攻撃が増えているのでしょうか。

嘉藤:
新種のマルウェアやウイルスは、1日に約120万種も作られているといわれています。さらに、最近ではRaaSCaaSと呼ばれるランサムウェアやサイバー攻撃のモデルが普及しています。こうしたモデルは、PCやネットワークに関する知識がない場合でもサイバー攻撃を可能にしてしまいます。日本情報処理推進機構(IPA)が発表した情報セキュリティ10大脅威というランキングを見ると、2020年はランサムウェアの被害がサイバー被害全体の中で5番目に多かったのに対して、2021年はランサムウェアによる被害が最も多くなっています。2021年は特に、ランサムウェアが猛威を振るった年だったと言えますね。あとはランサムウェアの被害に加えて、標的型攻撃による機密情報の搾取も増えています。


G:
「テレワーク等ニューノーマルの働き方を狙った攻撃」というのが2021年で初めてランクインしていますが、やはりこのコロナ禍でテレワークが増えていることを受けて、新しい手口が増えているということでしょうか。

嘉藤:
もちろん手口も増えているのですが、企業が自宅で働く社員のために社内のネットワークに外部から接続できるようにしたことで、逆にハッカーに狙われるケースが増えたという形ですね。あとは、単純に社内のネットワークに繋いで業務をするパターンや、自宅のネットワークを使って業務をするパターンがあると思うのですが、やはり自宅のネットワークは会社のネットワークと違って非常に脆弱です。フリーWi-Fiを使われている個人の社員さんも多いと思うので、そういったところから情報を盗まれるというケースも多くなっていますね。

G:
大きな企業だとしっかりしたネットワークを抱えているところが多いと思うのですが、やはり中小企業だとネットワークのセキュリティが弱いことも多いので、大変だと思います。予算が少ない中小企業には対策がなかなか難しいところかと思いますが、そういった弱いネットワークを突いてくるサイバー攻撃もあるのでしょうか。

嘉藤:
そうですね。ランキングの4位に位置している「サプライチェーンの弱点を悪用した攻撃」がまさにそれです。結局のところ、大企業はハッキングするのにかなり骨が折れるセキュリティ体制になっているので、大企業をそのまま直で狙うのではなく、大企業と繋がっている中小企業や個人を踏み台にして攻撃する事例が増えています。弊社が対応した中でも、「あなたの会社から不審なメールが大量に送られている」と取引先に指摘されて被害が発覚するケースがありました。中小企業にとっては、取引先からの信頼を失い万が一取引停止ともなれば死活問題となります。


G:
なるほど。このようにサイバー攻撃が増えていく中で、デジタルデータフォレンジックさんはいろいろと活躍されていると思うのですが、そもそもこの「フォレンジック」という言葉はあまりなじみのない言葉だと思います。どういった意味なのでしょうか。

嘉藤:
フォレンジックは、日本語で言うと「デジタル鑑識」というような意味ですね。元々は人為的なデータの改ざんや持ち出しについて、不正を行った人に対して物理的にヒアリングをしていたのですが、そういった証言は証拠として強く担保できるものではありません。そこで、「こういった痕跡がデジタルの証拠として残っている」というように、デジタルデータを明らかにしていくような技術がフォレンジクスになっています。また、ウイルスを感染させるサイバー攻撃も、必ずネットワークやPC上にそのプログラムがどう動いたのかを示す痕跡が残るので、その作業を請け負うということがサイバーセキュリティ領域におけるフォレンジックとして需要が上がっているところですね。

G:
そうなんですね。デジタルデータフォレンジックさんに持ち込まれるケースにはいろんな種類があると思うのですが、例えば企業からの依頼で特に多いのはどういったケースでしょうか。

嘉藤:
マルウェアに感染してしまったというケースです。例えばランサムウェアの場合、一気にデータが暗号化されてしまい業務が止まってしまうため、初動でどういった対応をすべきかというコンサルティングから始めています。あとは、例えば「自分の身に覚えがないのに、取引先に不審なメールを送っていた」という報告があった場合は、内部にウイルスが潜んでいないかを調査する形になりますね。また、「退職者がデータを持ち出した」「内部で横領が疑われる」といったケースの調査も定期的に行っています。

G:
スマートフォンやPCの調査だと利用者のロックがかかっていたり、退職者がロックをかけたままPCを返却したりということもあると思うのですが、ロックがかかっていても技術的には調査可能ということでしょうか。

今村大也さん(以下、今村):
そうですね。専門技術を使ってパスワードを解除しにいくということもあります。

G:
コンシューマー向けのセキュリティソフトで検出できないマルウェアやウイルスを調査した実例はこれまでありますか。

今村:
問い合わせいただくお客様はセキュリティソフトをほぼ100%入れていて、まったくの無防備ということはほぼありません。それでもサイバー攻撃の被害にあったという問い合わせはたくさん寄せられており、既存のセキュリティソフトでは検知できないマルウェアやウイルスによる攻撃が存在しているというのが現状です。

嘉藤:
結局、ハッカーが攻撃してきて、個人や会社が攻撃の検体情報を出して、同じ被害が出ないようにウイルスソフトに登録しても、さらにそれを避けた攻撃をハッカーが行って……とイタチごっこになるだけで、被害は収まらないですね。もちろんウイルスソフトも一定の抑止にはなりますが、根本的な解決にはなりません。ハッカーの攻撃手法が変化したり、新たなマルウェアが流行する度、フォレンジック調査会社やセキュリティ関連企業は実態を追っていて、常に情報をアップデートしています。しかし、実際のお客様先、一般的な企業の現場で同じように情報を拾い上げて対応を行うのは正直非常に難しいと思います。中小企業では情報システム担当が社内にいなかったり兼務していることも多いです。弊社で支援をさせていただく際は、啓発も含めて一件一件感染予防策の説明を泥臭く行っています。


G:
セキュリティ被害の現場で毎日調査を行うデジタルデータフォレンジックさんならではの言葉ですね。ところで、先述のランキングでもランサムウェアによる被害が一番増加しているとのことで、実際にデジタルデータフォレンジックさんに持ち込まれた事例はありますか。

嘉藤:
はい。特にLockbit2.0というランサムウェアが2021年に一番流行したランサムウェアといっても過言じゃないのかなと思っています。こういったランサムウェアに感染するとハッカーも身代金を要求しないといけないので、デスクトップの画面を「あなたのファイルを暗号化したので、身代金を払ってください」という画面に書き換えることがありますが、ハッカーも最近はいろんなやり方を考えています。最近あった事例では、「社内のプリンターから脅迫文が大量に印刷される」というものがありました。社内の端末にあるデータも全部暗号化されているので、もう業務ができない状態ですね。こういったケースが実際に中小企業の現場で起こっています。

G:
本当にニュースでもよく耳にします。

嘉藤:
こうやって見ている分には「そんなすごいケースもあるんだね」となってしまいがちなのですが、やっぱり実際に現場を見ていると本当にこれは深刻な状況です。ランサムウェアに感染してしまった時点で、データの暗号化や情報漏えいが発生しています。実際にそれらがもたらす被害は、通常業務の停止はもちろん、国や行政への報告や記者会見、情報を漏らしてしまった顧客情報に関する謝罪などの、社会的な責任を果たすために費やす時間とコストの部分が大きいです。

嘉藤:
プリンターで脅迫文を印刷されたケースでは、暗号化されたデータが放置されていました。お客様がバックアップをちゃんと取っていたので、ひとまず放置していたそうなのですが、数日後に「ダークウェブに『身代金を支払わないとあなたの会社のデータを晒す』という脅迫文がありますよ」と警察から電話がかかってきたそうです。実際にダークウェブ上には「一定時間後にあなたの会社のデータを勝手に公開する、公開されたくなければ身代金を払え」という脅迫文がありました。


G:
なんと。

嘉藤:
結局こういったインシデントが起きたところで、「事業は継続できるから、とりあえず1回は放置しておくか」というのがすごくまずい対応です。やはりインシデントが起きた際には、原因と被害状況をフォレンジック調査で明らかにしてから事業を継続しないと、社会的信頼の失墜などによる二次被害や三次被害がどんどん大きくなっていきます。

G:
企業側のセキュリティ意識が低いと、それだけ被害に遭ってしまいやすく、対策や処置が二の次になってしまうということでしょうか。

嘉藤:
そうですね。セキュリティが弱いだけならまだしも、インシデントが起きても放置してしまう。目の前のセキュリティ問題、つまり外部から侵入されることへのリスクを、これだけニュースが流れていてもまだ自分のこととして考えられないということが本当に多いです。それは現場で自分たちが対応しているからこそ、伝えられるリアルなのかなと思っています。日本は海外に比べてサイバーセキュリティに関する意識が低い現状があります。アメリカでは約半分の企業がサイバー保険に加入していますが、日本の企業では 10%にも満たないんです。企業経営におけるリスクは様々ですが、物理的にデータを失ったり流出させる損失だけでなく、関係者の精神的な疲労だったり、信頼を失うことによる機会損失だったりも含めると、被害額は本当に計り知れません。1年分の売上が1回の情報漏洩で飛んでしまうぐらい膨らむこともあります。

G:
そこまで大きな被害に及んでしまうと。

嘉藤:
そうです。先述のケースでは、実際に管理外のPCからログインが行われた履歴があったと、ちゃんと調査の結果に出てきました。お客様には「複数ファイルの情報が漏えいしている可能性がある」ということを報告した上で、「ちゃんとセキュリティ対策をしましょう」「取引先にちゃんと報告して謝罪しましょう」「個人情報保護委員会にきちんと報告して、今後の対策を考えましょう」というように、セキュリティの意識を高めて運営できるようにアドバイスしています。

G:
なるほど。ところで、デジタルデータフォレンジックさんへの依頼は企業や警察などの組織からのものが多いと思うのですが、個人からの依頼もあるのでしょうか。

嘉藤:
個人からの問い合わせにももちろん対応しています。スマートフォンや PC のハッキング調査から、パスワード解析や削除データの復元など様々なお問合せをいただきます。

G:
そうなんですね。不正なアプリをインストールされているかどうかはどういう調査でわかるのでしょうか。

今村:
調査を始めるにあたり、どういった状況なのかをお客様にヒアリングします。実際にあったケースだと、Google Playからインストールしたアプリが原因でハッキングされたのではないかとお客様から相談されたものがあります。そこで、そのアプリが実際にGoogle Playからインストールしたものなのかどうかを調査しました。もしGoogle Playではないところからインストールしたものだとしたら、どこからインストールされたのかも調査します。実際に問題となっていたアプリ自体はGoogle Play以外からインストールしたもので、ダウンロードの痕跡がスマートフォンに残っていたことから判明しました。


G:
「このアプリが怪しい」というのはどのようにして突き止めるのでしょうか。

今村:
基本的にお客様のスマートフォンに入っているアプリや、その端末の情報を一括でスキャンにかけて、その中で引っかかったものに関して詳細を調査していくという形をとっています。スキャンに引っかからないマルウェアの調査も行っていて、アプリが動いたときのログを調べたり、正しくない場所にアプリがインストールされていないかチェックしたりと、エンジニアの経験を基に調査する形になります。

G:
なるほど。

今村:
あとは、先ほども述べた通り、正規ストア以外からダウンロードしたアプリが怪しいという話になります。例えば、スマートフォン上でダウンロードしたブラウザなどの痕跡から情報を得るので、そういった痕跡についても重点的に見ていくというのが調査では一般的です。

嘉藤:
直近の動きとしては、ハッカーも簡単に防がれないようにしないといけないので、マルウェアの感染に気づかれないようにいろいろ工夫しているんですよね。ウイルスソフトというのは基本的にパターンマッチングと言って、事前に登録した名前や特徴とマッチするものは入れないという防御をしているのですが、最近のマルウェアは自分が悪いものではないかのように装って、攻撃を仕掛けてくるものが多くなっています。そういったマルウェアの場合は、パターンマッチングで事前に登録しておくという対処がどんどんできなくなっているんですね。なので、実際に弊社のエンジニアがログから実際のアプリの動きやマルウェアの挙動を見て、さらにお客様の行動が絡んでいるのであれば、ダウンロードの履歴を見てその中から優先的に調査していく部分を絞って、対応しています。

G:
エンジニアの経験と丁寧な調査対応が重要なんですね。

今村:
そして、不正なアプリが見つかった場合には「そのアプリを削除してください」とアドバイスをしたり、マルウェアやウイルスの検体が見つかった時には、それを解析してどういった悪さをするかを調査したりします。ただ、個人のお客様に関しては、問い合わせの通りに不正なプログラムが実際に侵入していたというケースはあるのですが、調査の結果、攻撃された痕跡がないケースもよくあります。

G:
攻撃されていないケースというと。

今村:
不正なアプリによる情報流出に関するニュースが出回ることで、「自分も同じような被害に遭っているんじゃないか」と問い合わせをされる方も増えています。基本的にスマートフォンはPCと比べて相対的に不正なマルウェアが侵入しにくい形になっているので、攻撃者はまずユーザーを騙してダウンロードさせる方法を選びます。正式なリンクやページになりすましてクレジットカード情報やお客様の個人情報を盗み出すというようなケースも世間ではハッキングと銘打たれることが非常に多いと思うのですが、事実としてやはりプログラムの性質上、スマートフォンは結構攻撃しづらいんですよね。


嘉藤:
事前にお客様から「このアプリが怪しい」というご相談をいただいても、お客様の予想が外れていることはよくあります。弊社では実際に悪質なアプリのリストなどを持っているので、それらと照らし合わせてから「このアプリが原因ではないですね」ということがわかり、逆にお客様が怪しいと思っていなかったアプリが原因だったと判明することもありました。一見怪しくないアプリから、連絡先へのアクセス権限やカメラの許可権限を悪用されてしまい、勝手にアプリを起動されて個人情報や連絡先を抜き取られたり盗撮されたりするので、そういった動作をデジタルの証拠に基づいて調査します。


G:
相談を持ち込んだクライアントがパニックになってしまって、 自分の置かれた状況把握を正確にできないということもあるのでしょうか。

嘉藤:
あります。個人の場合は「他人にスマホが遠隔操作されている」とパニックに陥る方もいらっしゃいますし、法人の場合は、関係者が複数いることから収集がつかなくなり関係者同士で揉めてしまうケースもあります。調査結果に納得いただけず、「もっと正確な調査をしてくれ」と言われる場合もあります。弊社では、お客様の問題解決のためには、どのような結果であっても第三者の専門機関として調査結果を誠実にお伝えすることが大切だと考えています。フォレンジック調査を利用するのは初めてのお客様がほとんどです。調査結果をお伝えする際はなるべく専門用語をかみ砕いて、納得いただけるよう説明をします。また、一番大切なのは今後同じようなインシデントが発生しないための根本対策を打つことです。単なる調査ではなく、未来のために何ができるかを考えてご提案しています。


G:
サイバーセキュリティ被害の懸念を解消するためにも、フォレンジック調査が重要なんですね。ところで、ランサムウェアだとネックなのがやはりデータの暗号化だと思うんですが、暗号化されているデータが調査で見つかった場合、データの復元を含めてどこまで対処可能なのでしょうか。

嘉藤:
デジタルデータフォレンジックはあくまでその調査専門でやっているところになりますが、復旧率95.2%を誇るデジタルデータリカバリーがデータ復旧を行います。もちろんできるケースとできないケースがありますが、復元できるデータについてはデジタルデータリカバリーで対応できるものは対応させていただいているような形になります。なので、実際にデータを復元できたというお客様もいらっしゃいますし、最低限事業が再開できる状態まで、デジタルデータリカバリーの方で協力させていただくことももちろん可能です。


G:
デジタルデータフォレンジックとデジタルデータリカバリーで協力できるからこそ解決できる問題もあるということですね。

嘉藤:
そうですね。復旧というキーワードでいうと、やっぱりお客様が求められているのは「現状の復旧」なんですね、インシデント以前の状況に戻したいというお客様の要求にお答えして、データの復旧復元と業務環境の復旧復元をデジタルデータリカバリーで対応させていただきます。結局そのサーバーなどの機器の買い替えもこれを機に行いたいというお客様も結構いらっしゃるので、調査の方では調査を行い、その現状の環境に不正なプログラムが入り込んでいないかのデータをとり、万が一不正なプログラムが見つかった場合には初動対応を行います。個人のお客様でも法人のお客様でも、単にハッキングの調査を行うというよりも、インシデントが発生した際のサポートを一気通貫で行っていくというようなサービス提供をしています。

G:
インシデントの事後対応において「現状の復旧」が求められているんですね。事前に情報漏えいを防ぐ手段としては何があるのでしょうか。

嘉藤:
大手企業だと、SOCと呼ばれるネットワーク専門のエンジニアが監視するサービスに多額の費用をかけることがよくあります。ただし、その方法は月に何百万円単位でお金がかかるので、中小企業だと難しいですよね。なので、リアルタイムの監視を体現する形で、弊社が開発したDDHBOXというサービスがあります。ハッカーが使っているC2サーバーリストをベースに、DDHBOXが疑わしい通信を自動で遮断し、マルウェアによる情報漏えいを防ぐという仕組みです。


G:
IPAがちょうど「2021年11月頃からEmotetというマルウェアの被害報告が増えている」という注意喚起を行っていました。このEmotetもDDHBOXで対応できるのでしょうか。

嘉藤:
そうですね。Emotet のような情報漏えいを起こすマルウェアに関してはまさにDDHBOXの得意領域だといえます。Emotetはデータの暗号化はせず、感染したネットワークから持ち出した情報を基に、メールでさらに拡散していくというマルウェアなのですが、DDHBOXを入れておけばそもそも情報流出を防げるので、サイバー攻撃の被害者であるはずの自分たちが加害者になってしまうという可能性も防げます。取引先に迷惑をかけないという観点でも、ぜひDDHBOXを入れてくれる企業が増えるといいなと思ってます。


G:
2021年末に、JavaScriptのログ出力ライブラリであるApache log4jのゼロデイ脆弱性であるLog4Shellが話題になりました。GIGAZINEでも何度か記事で取り上げたのですが、Log4Shellに関する問い合わせも持ち込まれているのでしょうか。

嘉藤:
調査をしてほしいという問い合わせはほぼないのですが、DDHBOXを導入している何十もの企業から、Log4jに起因するC2サーバーへの不正通信アラートが数千件ありました。最近は少し減ってきましたけど、Log4Shellが発覚してから1ヶ月は、1日に数百件もアラートがあり、実際に未知の攻撃手法に対しても DDHBOX を導入していた企業では、攻撃者へ情報が洩れることを防げました。

G:
C2サーバーのリストがDDHBOXに登録されているので、そこで実際にLog4Shellによる攻撃を防げたということですね。

嘉藤:
そうですね。余裕があれば、そこから二次被害や三次被害につながるかの調査を実施すべきと思います。セキュリティの対策は入口対策・内部対策・出口対策で大きく切り分けられるのですが、パターンマッチング中心である入口対策はもう追いつかなくなってきているので、DDHBOXのような出口対策、あるいは感染した際に自動で迅速に駆除するようなEndpoint Detection and Response(EDR)という技術で内部対策を行う必要があります。そういった出口対策・内部対策に企業が積極的に取り組んでいかない限り、セキュリティリスクは高いといえます。

G:
なるほど。本日はありがとうございました。

フォレンジック調査 | データを復元・調査し問題を解決するデジタルデータフォレンジック(DDF)
https://digitaldata-forensics.com/


この記事のタイトルとURLをコピーする

Source

タイトルとURLをコピーしました