EGセキュアソリューションズ　徳丸 浩氏
特別インタビュー　第1回（全4回）

トライベック・ストラテジーはEGセキュアソリューションズと共同で、トライベック・セキュリティソリューションの新しいメニューの提供を開始します。その背景には、ますます増加し変化し続けるサイバー攻撃と、セキュリティ対策に対するニーズの高まりがあります。

EGセキュアソリューションズ代表　徳丸 浩氏、セキュリティエンジニア　岡本 早和子氏に最新の情報セキュリティについて伺いました（聞き手：トライベック・ストラテジー　工藤 友美）。

なぜなくならない？　頻発するセキュリティインシデント

• 情報セキュリティの事件・事故は相変わらず頻発している印象があります。なにか傾向みたいなものはあるのでしょうか。
• メルカリのように高い技術力を持っていて、セキュリティもしっかりしていたにも関わらず、非常に特殊な条件下で発生したケースもありますが、一般化してお話ししますと、新興企業で勢いのあるところはセキュリティが後回しになることが多いですね。
• 新興企業、というとサービス開始直後に炎上してサービス停止になった投げ銭サービスが思い出されます。
• あそこはかなり問題点が指摘されていましたね。
• どうしてそのようなことが起きるのでしょうか。
• 今や、Webサイトはセキュリティを気にしなければ簡単に立てられるようになりました。クラウドの普及で、その傾向はますます加速しています。その結果、事業立ち上げを優先してセキュリティを顧みないケースが多くなっているように思います。
• しかし、年金機構など新興企業でなくても情報流出を起こした団体や大手企業も多く見られます。彼らのセキュリティ意識もやはり低かったのでしょうか。
• いえ、一般的な企業と比べると高かったのではないかと思います。そのレベルを上回る攻撃があったこと、それほどの攻撃を行う動機が攻撃者側にあったことも原因でしょう。

トレンドは「マイニング」

• では、サイバー攻撃のターゲットは「奪う情報」の価値が高い大企業や、セキュリティの甘い新興企業ということになりますか？

• いえ、中小企業も狙われています。Webを狙う攻撃は大半が金銭目的なのですが、攻撃にもはやり廃りがあります。今の流行は侵入したサーバで暗号通貨の採掘（マイニング）を行う、というものです。情報が盗まれたり、Webページが改ざんされたりしないので、被害を受けていても気づきにくい、気づいても許容される場合すらあるので表面化しづらい。非常にやっかいですね。
• マイニング　暗号通貨の仕組みの根幹をなす処理の一つで、暗号通貨を得るためにある条件を満たす数値を見つけ出すこと。早いもの勝ちなので計算能力が高いマシンが有利となる。
• 中小企業といえど、攻撃の危険に晒されている以上はなんらかの対策はすべき、ということになりますね。
• はい。個人情報を扱ってないから対策は不要だという考え方は根強いのですが、マイニングのターゲットとなるサーバは、どこのサイトかということとは無関係です。仮に、多少CPUを使われても構わないと思う人がいたとしても、プロバイダによってサーバを停止させられてしまうこともあります。1台のサーバを共有しているのにCPUリソースを独占されると迷惑ですし、ウイルス感染が明らかであれば止めてしまうんですね。
• CPUリソース　コンピュータの計算能力
• 結果的にサイトがダウンしてしまうわけですね。
• それはさすがに許容できないでしょう。やはり最低限のことはやっておかないといけません。
• 脆弱性を突かれてマイニングを仕込まれたサーバなら、他の攻撃を受ける可能性もありますよね。
• ありますね。最近はターゲットを決めて、じっくりと時間をかけた攻撃はしないんです。脆弱性のあるサイトを探して攻撃します。特定のプラグインの脆弱性を、自動化された攻撃で絨毯爆撃のように次々と行う。今はマイニングがトレンドですが、見つかった脆弱性を他の攻撃に使われる可能性も十分あります。
• 個人情報の有無にかかわらず、しっかり対応しておかなければならないわけですね。マイニングは発見が難しいということでしたが、セキュリティ診断で検出できるものなのでしょうか。
• セキュリティ診断では攻撃を受ける原因を調べるので、脆弱性があったことはわかりますが、すでに侵入されているかどうかはわかりません。それはまた別のものになります。
• サーバのCPU利用率をチェックしていればわかりますか？
• わかる場合もありますが、大抵、サーバ管理者ではなく、クラウド事業者が気づいて止めてしまいますね。ただ、今後は攻撃側も見つからないようにCPU利用率を抑えてくるのは間違いないので、それだけで判断するのは危険です。今はあるだけCPUを使ってますが、そのうち70%などで抑えるようになっていくでしょう。
• 上品になっていくと（笑）。
• こういうことは繰り返されるものなのですが、パスワードリスト攻撃もそうでした。以前は海外の同一IPアドレスから集中的にログインが試行されていたので、同一IPアドレスからの繰り返しログインや、海外からのアクセスを遮断・監視することで対応できていました。しかし、今はIPアドレスを分散させたり、国内からゆっくり試行したり、と洗練されてきているので、もう正常なアクセスと見分けがつきません。
• IPアドレス　ネットワーク上のコンピュータの住所となるもの。インターネットのコンピュータはすべて異なるIPアドレスを持っている
• では、ログ診断だとどうですか。
• わかるものもありますが、侵入されたかどうかまでは難しいですね。
• そうなると、SIEMやEDRが必要になってきますか？　中小企業にはちょっとハードルが高いように思いますが。
• SIEM　Security Information and Event Management。さまざまなネットワーク機器やアプリケーションなどのログを一元管理して、複合的に分析を行うシステム
• EDR　Endpoint Detection and Response。管理対象内の疑わしい挙動を監視し、対処するためのシステム。主に侵入成功後の被害の把握、拡大阻止を目的とする
• 侵入を検知しようとすると複合的にやっていかなければならないので、どうしてもそうなります。対策として比較的導入しやすいのは改ざん検知ですね。製品によって機能はさまざまですが、弊社が販売代理店を行っているWebARGUSだと改ざんを検知するだけでなく、元のファイルへの復旧まで瞬時に行います。攻撃者にとってはかなりやっかいな製品だと思いますね。

• 外部からの不正スクリプト混入対策として、最近は診断でCSPを導入していないことを指摘されることが増えました。ですが、Google AnalyticsやDoubleClickなどのマーケティング用タグを入れたサイトだと何重にもスクリプトを読み込む仕組みになっています。コンテンツ管理側とサーバ管理側で密な協調が必要ですし、CSPの運用はかなり困難だという印象です。
• CSP　Content Security Policy。ブラウザのセキュリティ対策のひとつで、ページから読み込むコンテンツのドメインを制限する機能がある
• 確かに、最近CSPの不備を指摘するツールが出てきているので導入を相談されることもあるのですが、「本当にやるんですか？」というのが正直なところですね。そうそう、例の投げ銭サービスですが、サービス再開後のサイトを見てみたらCSPが導入されていたのでびっくりしました。もっとも、登録ドメインが非常に多く、苦労しているな、という印象でした。そういった外部のスクリプトを置いているところが1か所でも改ざんされたりすればマイニングスクリプトを埋め込まれることがあります。先ほどのマイニングはサーバ上でしたが、JavaScriptの場合はクライアント側でCPUパワーを使います。
• JavaScriptを使ったマイニングには合法のものもあるんでしょうか。
• 合法化するにはユーザに明確に許可を取る必要があります。
• クライアントのCPUパワーを使うという意味では広告のアニメーションも同じだと思います。広告はユーザに許可を取らずに表示しても合法ですが、その違いはなんでしょうか。
• 広告は目に見えるので、見るのをやめる、もう二度と利用しなくなるなどの対応をユーザが取ることができます。マイニングは気づかれにくいので秘密裏のうちに搾取され続けることになります。

【今回のポイント】

• 誰でも攻撃される可能性がある
• 攻撃者によるマイニングが流行中
• マイニングは気づきにくいが、放置は厳禁

次回は、セキュリティ対策はどこまでやればいいのか、をお聞きします。

• 本稿は2018年3月14日に行われたインタビューを元にしたものです。そのため、現在では状況が異なっている場合があります。

---

関連コラム

第2回：気づかぬうちに暗号通貨を掘り出す攻撃者たち

第3回：セキュリティ対策、最初の一歩は？

第4回：どっちを選ぶ？　誰も教えてくれなかった意外な答え

関連リンク

トライベック・セキュリティソリューション