JNSA「セキュリティしんだん」

 

« (25)腹が立つのもわかるけど - 脆弱性とセキュリティ対策再考


(26)WannaCry覆面座談会 〜何故、単なるワームがこれほど騒がれたのか〜(2017年9月15日)

1.はじめに

2017年5月半ばの「WannaCry騒動」を覚えていますか。「世界同時多発のサイバー[1]テロ」などとメディアで騒がれた一方、ベンダや専門家は割と冷静でした。おそらく、立場によっていろいろな感じ方があったのではないかと思います。そんな騒動から1か月ほど過ぎた頃、都内某所の会議室にてJNSA社会活動部会主催の覆面座談会を開催しました。今回「覆面」座談会としたのは、皆さんがせっかくスルドイことを言っても、名前を出してしまうと所属組織での立場などから発言を公開できなくなる可能性が高く、それでは意味がないと考えたためです。そのため、発言者を特定できないように若干の脚色を行っている部分がありますが、よろしくご理解いただけますと幸いです。

<出席者>
Aさん(ユーザ企業)
Bさん(ソフトウェアベンダ)
Cさん(アンチウイルスベンダ)
Dさん(メディア)
Eさん(セキュリティエバンジェリスト)
Xさん(司会)
このほか、JNSA社会活動部会のメンバーも10人以上同席し、所々で発言しています(文中では【メンバー】で表記)。

【司会】 今日はぜひ本音で語ってもらえればと思います。WannaCryはまだ収束していませんが、色々な方が色々なメディアや場所で発言されていることもあって、一般の人たちに「ランサムウェア[2]」という名前が広まったり、「何かしなければ」とバックアップなどの対策を考える人が増えたりしているようです。相変わらずインシデント[3]が起きないと対策が進まないのは残念ですが、今回のWannaCry騒動について、皆さん何となく違和感のようなものを抱いているのではと思います。まず「WannaCry騒動でここが気になる」というところを、お一人ずつお話しいただきたいと思います。

【Aさん】 問題が起きたのが土曜日ですよね。金曜の夜Facebookを見ていたらセキュリティ業界の人が多いので、「何か起きたな」とは思ってました。「ヨーロッパでランサムウェアが結構はじけているらしい」というのがわかったところで、翌朝勤務先から「NHKでサイバーテロが起きたと報じているが、我が社は大丈夫か」、というメールが届いたんです。個人的にはランサムウェアであれば、感染したところでフォーマットしてしまえばよく、気にしなくても平気と思ってたのですが、メールでは「NHKが言った」とか「サイバーテロ」とかの単語が飛び交い、どちらかというと文系の人たちが騒いでましたね。土曜なので会うこともできず、メールで細かいことを書いても絶対わからないだろうし、かといって「こんなのは放っといても平気ですよ」とも書きづらいので、「この件はそれほど騒ぐことではなく、うちの会社はこういうことにはきちんと対応できているから、心配しなくてよいです。月曜日になんとかしましょう。」とか返しておきましたが、相手はすごく心配してました。さらに、「聞いたことがないところから電話がかかってきた」という話があって、「もしかしたらそれかも」と言ってくる人もいました。我々技術系からすると、全く違う事象じゃないですか。詳しくない人は「怪しいこと」を「攻撃」に紐付けてしまうんです。結局、月曜に直接会って説明して初めて納得してもらえました。
 日曜以降、世間一般が、公的な機関も含めて、どーんとお祭りをしていたように見えますが、あれはわざとしていたのでしょうか? セキュリティベンダのみなさんも「当社の製品が入っていれば防げました。」とか書いていて、「ここで儲けてやろう」というのがミエミエなわけですよ。別にそれが悪いと言っているわけではないです。でも、普通の人はそういうのを見ていると、「大丈夫」と言われても心配になってくるんです。そのくせ、最初に感染事例として報道されたのが、島根県あたりのおばあさんのパソコンが感染したという話じゃないですか。なんでそれが全国区の感染事例として報道されるんでしょうか。そういうのも踏まえて、ユーザ側からすると、今回の件は正直なところ「よけいな仕事を作ってくれたな」と思います。ただ、今振り返ると、「拡散型のワームがあればまだ爆発するよね」ということが証明されたのではないですか。そういう意味からすると、対策する側として「まあ、しょうがないかな」という思いはあります。ただ、文系で詳しくない人と自分達との意識の違いをまざまざと見せつけられた気がします。

【Bさん】 WannaCryに関して、5月19日の日経新聞に「ランサムウェアを好機にするマイクロソフト」という記事が出ました。これはフィナンシャル・タイムズの抄訳なんですけれど、原文を見ると日本での報道とニュアンスが結構違っています。日経新聞は「マイクロソフトがこういう現象で儲けている。けしからん」という論調なのですけれど、原文はほとんど同じ内容でありながら、「国家的な関与が疑えない現状において、パッチの適用やセキュリティ対策の責任をユーザが負う時代になったのだ」という主張がポイントになっているんですね。皆さんFlameって覚えていますか? Flameって、国家の関与が強く疑われたマルウェアで、そのタイムラインを見るとものすごく気持ちが悪くて、WannaCryでこの気持ちがよみがえりました。2012年5月28日にイランのCERTとカスペルスキーがこのFlameを発見したことを報告しています。このタイミングでもそこそこ騒ぎになったのですが、6月3日にマイクロソフトから電子証明書の失効の案内が出て大騒ぎになりました。何をやったのかというと、証明書に対してコリジョンアタック[4]をかけて破っているのですね。当時から言われていたのは、これができるのは国しかなく、しかも2〜3か国しか思いつかないということです。マイクロソフトは6月3日に証明書を失効させて6月6日に新しい証明書の公開鍵を配布しているのですけれど、検証に必要な時間を考えると実は異常に速いタイミングで出ているのですね。その後6月8日にはWindows Updateのエージェントを更新しています。これも検証期間を考えると異常に速くて、なぜこのタイミングで出たのだろうというくらい。つまりあらかじめ準備してあったことが疑えます。続いて12日ですが、"Operation Olympic Games"というのはご存じですか。アメリカがイランに対してサイバー攻撃を仕掛けていたと公式に認めたのがこの日なのです。かつてNewsweekあたりの政府高官へのインタビューで、「Stuxnetは米国がやったのか?」という問いに「いや、我々がやったわけではないが、爆弾を使わずに核兵器の開発を10年遅らせたというのは大成功の作戦だね」、と答えていたんです。それが2012年になって、「実はやってました、Flameもやってます」という話が出てきているんですね。
 それで、今回のWannaCryでは、"The Shadow Brokers"というキーワードがよく出て来ます。調べたところ彼らは2016年頃から活動していて、どうやらNSAのツールを盗んだようです。マイクロソフトやシスコなどいろいろなところに対するゼロデイも出しています。NSAにTailored Access Operationsというユニットがあるようなのですけれど、その中にThe Equation Groupというグループがあって、どうもそこと関わりがあるのではないかという話です。名前はビデオゲームから取っているみたいですね。でまあ、情報の売買をして儲けようとしているように見える。彼らが最初にリークしたのが、The Equation Group Cyber Weapon Auctionといっているのですけれど、このThe Equation GroupというのがさっきのNSAのサイバー攻撃部隊のようで、「このレポートをリークするよ」ということを2016年の8月13日にアナウンスしています。「使ってみていいよ」とサンプルをいくつか出した上で、オークションで最高額のビットコインを入れた人に情報を送るという話なんだけれど、当初はあまり信じている人はいなかった。第2のリークが10月31日で、The Equation Groupによって侵害されたサーバーのリストと彼らが使用した未公開の7つのツールをリークするという内容、第3のリークはブラックフライデー、サイバーマンデーセールなどとなっていて、バーゲンっぽいですけれど。こうした一方で、「このやり方が嫌だったら、アンダーグラウンドでThe Shadow Brokersを見つけて直接コンタクトして来い」とも言っています。

【Cさん】 我々が騒動を知るのは、マスコミ経由のこともあれば、社内から来る場合もあるのですけれど、「自社のアンチウイルス製品のパターンが対応しているのか」というのが最初に気になるところです。何といってもパターンファイルがやはり肝なので。今回は結構早い段階でパターンが出ていました。それで一安心した上で、当社のお客さまからどのくらい感染の情報が来ているか、もう一つは自動で感染情報を収集する仕組みがあるので、それによってどのくらい報告があるかを調べました。WannaCryに関して言えば、世界規模での感染数でみると普通よりもちょっと少ないくらいだったので、「そんなに日本で大きな被害はないね」という感じでした。ただ、検知はしているので、まったく日本に来てないわけではなかったなということです。そんなところで、最初はあまりなかったんですけれど、後になってから意外に長引いて、ちょろりちょろりと、あちこちから出てきていますという感じでした。
 中身としても、WannaCryはStuxnetのように画期的で、解析するのがえらい大変で、技術者が目を輝かせて徹夜、というものではなかった。そういう意味では特別すごいというものではないみたいです。

【Dさん】 WannaCryも、Petyaもそうなんですけれど、事象が起きたことを報じるにあたって、一緒に「原因が何で、どのように対策すればいいのか」を伝えたい、とは考えるのですけれど、早い段階ではそうした情報は錯綜していて、なかなか難しいですね。WannaCryに関しては最初、メール経由で拡散するという情報が出て、もちろんWannaCry以外にもいろいろあるので、「不用意にクリックしないで」というのがまったく効果がないとは言えないんですけれど、正確に「これをすれば大丈夫ですよ」と伝えるのがすごく難しいと感じます。解析が進んで色々と新事実が出てくる中で、どうやって情報をアップデートしていくのがよいかを考えるのは難しいなと思いました。そんな中で色々勇み足というか、「XPにパッチを提供しないのはけしからん」といった報道もありましたね。
 最近機械翻訳が優秀になってきたので、英語だけでなくロシア語の記事なんかも読めるようになってますが、日本で出てくる記事と、海外のを比べると、やはり量も質も差があって、ここをもうちょっと埋めていく報道をしなきゃいけないのかな、などと反省しています。

【司会】 海外と差がある原因というのは、どういうところにあるのでしょうか。もともとそういう記事を書ける人が少ないのですか。

【Dさん】 そうですね。書ける人がまず少ない。人材不足はあると思いますね。

【Bさん】 セキュリティ人材[5]不足は言われてても、メディア側の人材不足は誰も言っていないね。

【Dさん】 報道の現場でも異動とかありますよね。わかってきた頃に「次、地方ね」とかそういう感じで、ずっと専門にやっていただける方がなかなか育たなかったりします。そうすると、知識や経験の継承が難しくて、先ほどFlameの話をされていましたけれど、私なんかは「昔流行ったのがまた来た」というイメージがあって、忘れた頃にまた古い手段が浮上してくるっていう印象を受けるのですけれど、最近取材を始めた人なんかは、「ああ、これは大変だ!テロだテロだ!」って、使命感で書いてしまう。決して悪気はないと思いますけれど、やっぱり、その人にとって初めてのインパクトがあることだと、大きく書いてしまうかなと。

【司会】 そうですよね。今、リアルなテロとかとリンクしているんでしょうね。

【Dさん】 昔は技術の話だけで完結できてたんですけれど、今は地政学的な話とか、CNNなんかも見ていないと、とらえられない話が増えてきている印象ですね。

【Eさん】 日曜日のIPA[6]の記者会見は僕も見ていたんですけれど、なんでこんなことを言うのかなという、不確かな情報しかない中で断定的な表現をすることへの違和感がすごくありました。メールの件に関していうと、海外でも2社が「メールで来た」と報じていたんですよ。ただ、その1カ所はこっそり次の日に消してます。事件が起きてから丸2日間、色々な専門家の分析の中にメールのエビデンスが出てこないってことは無いってことなんですよね。ないか、もしくはごく少数なので、ばらまかれたという程度じゃないでしょ、にもかかわらず、最初にメールっていうのが、「情報の伝え方に関する成熟度が低い」って思ったんですよね。後から「推測だったんで」と自分で見直せばよかったのに、「月曜日はメールに注意」と言ったことで、いったい何人の人がメールを使えなくなったんでしょうか。メールシステムに対する最大のDoS[7]を行ったのは僕はIPAだと思いますね。
 そのほかにも、セキュリティの専門家が「できの悪いランサムウェア」って書いているんですけれど、できが悪くても23万台感染しているんですよね。「技術的にどうか」ということにフォーカスし過ぎていて、何を伝えるべきかがわかっていない。「あぶないんすわ」で結局何すればいいのみたいな。だから「こうすれば安心ですよ」と言ってあげればいいのに、そこを言わずに騒ぎたてるだけになってしまっている。もっとも、こっち向いてもらうためには、騒ぐのも大事なんですけどね。

【司会】 そのバランスがなかなか。

【Eさん】 だから、僕も含めて、エンジニアとかセキュリティに関係する人たちの怠慢であるのかなと。「危ない!」というのは簡単なんですよ。「危ない!」って言って危なくなかったら「良かったよね」で済むんですけれど、「危なくない」って言って、危なかったら怒られるんで。でもメディアもエンジニアも国も、そのバランスをそろそろ取り始めないと。同じことを繰り返しているのって受け取る側だけじゃなくて、出す側もなんですよね。なので、今回のWannaCryの騒ぎに関して言うと、「結局誰がやったの」といった話にフォーカスしがちじゃないですか。原因に関して言うと、登場人物とか背景が複雑なんですよ。NSAと言われているThe Equation Groupや、The Shadow Brokersが出てきたり。「じゃあ今回のやつはThe Shadow Brokersがばらまいたんですか?」とか、メディアに聞かれるわけですよ。話をもっとスマートにするには、何かあったときに出すテンプレートのようなものを作ったほうがいいんじゃないかな。感染するフロー、感染しないフローみたいなやつ。僕も今回の件で資料作ったんですけれど、「この場合はオッケー」、「この場合は感染する」みたいなフローを作って、それをお客さんには提供してますね。

【Cさん】 それはいいと思います。結局、お客さんはたくさんある報道の中で、何が自分に関係するかを取捨選択しないといけないじゃないですか。さらに取捨選択した中で、その中の情報の何がまで細分化すると結構難しい気がします。なので、ある一定のテンプレートで配信し、「この項目についてはどう対応する」ということだけ伝えると、判断が非常に速くなると思うんですよね。これを業界団体か国が作って蒔くようにすると、ちょっとしたベストプラクティスになるかもしれないですね。

【Eさん】 そうですね。誰に向けた情報なのか、という意識があまりできていなくて、多くの人は何をすりゃいいのか、自分にとってこれは対象なのか、対象外なのかって、結論を知りたいわけですよね。それを支える根拠は別にどうでもよくて。関係ないんですよ。僕らは好きなところかもしれないけれど、聞く人からすると長い割につまらん話、聞かれたら答えればいいだけの話だと思うんですよね。

【司会】 まさに今の話で、やはり安心させるのが先決というところなんですが、安心というのは本当の「ああよかった」というだけじゃない部分も含んでいると思うんですけれど、そこはどうですか。

【Cさん】 安心ともうひとつ、「何をすべき人が何をするか」がはっきり分かることが大事だと思います。

【司会】 このあたりが、最初にAさんが言った、いわゆる文系の人と技術系の人のギャップを埋めるひとつのキーになるんでしょうね。

【Eさん】 ちなみに僕、文系なんですけどね。

⇒「2.WannaCryって結局何だったの?」へ続く


[1] サイバー〜:
語源は「サイバネティックス」なのですが、セキュリティの分野では本来の意味とは関係なく、コンピュータやネットワークの内部に広がる仮想的な空間を「サイバー空間」と呼び、そのサイバー空間に関わることについて、前に「サイバー」をつけます。例えばサイバー空間を経由した攻撃なら「サイバー攻撃」、サイバー空間の安全を確保するのが「サイバーセキュリティ」です。ただし、「サイバーセキュリティ」は大人の事情でこれと異なる定義をしていることもあります。
[2] ランサムウェア:
コンピュータウイルスの一種で、感染したパソコン等に保存されているファイルを勝手に暗号化して、パソコンの所有者が使えないようにした上で、「元に戻して欲しければカネを払え」と身代金を要求します。お金を払えば本当に戻してもらえるものもあるようですが、ぼったくりで戻らないものもあるようで、犯罪者にお金を払うべきではないという考えが一般的です。対策としては、ふだんネットワークに接続されていないハードディスクなどへのバックアップが推奨されています。
[3] インシデント:
セキュリティ分野では、セキュリティを脅かすおそれのある事象のことを指し、事故(accident)に至らない軽微なものも含みます。
[4] コリジョンアタック:
偽物でないことを検証する手段のひとつに「ハッシュ関数」というものがあります。これは、あるデータAから決められた方法で計算をすることで、そのデータであることを表すコンパクトなデータaを導くものです。一般に、元のデータが異なれば計算結果のデータも異なるはずなのですが、非常に小さい確率で異なるデータBから計算した結果がaになってしまう場合があります。このようなBを見つけることができれば、偽物を本物と主張ができています。このようなBを見つけて行う攻撃のことを「コリジョンアタック」と呼び、きちんと設計・実装されたハッシュ関数に対してこれを実現するには膨大なコンピュータ資源が必要とされています。
[5] セキュリティ人材:
情報システムやネットワークのセキュリティ対策に携わる人のことです。セキュリティ人材というと、色々なプロモーションの影響もあって、「高度な技術を駆使してサイバー攻撃と対決」というイメージかもしれませんが、文系的なマネジメントの知見を活用する業務などもあって、人によって取り組んでいる中身は様々です。
[6] IPA:
国際的には度数の高いビールの種類のことですが、日本ではセキュリティの普及啓発などに取り組んでいる公的機関の略称で、正式名称は「独立行政法人情報処理推進機構」です。
[7] DoS:
サービス妨害攻撃(Denial of Service)のことです。大量の通信を行うことなどでネットワークや機器に過大な負荷をかけることにより、反応速度を低下させたり、マヒさせたりします。

 
« (25)腹が立つのもわかるけど - 脆弱性とセキュリティ対策再考