穏やかだった印象のある2018年だが、インシデントは日常的に起きている！ 深刻な脆弱性も

　今年もセキュリティ関連企業などから2018年を振り返るレポートやブログなどが公開されていますが、本稿では、11月27日～30日に開催された「Internet Week 2018」のセキュリティ関連プログラムの模様をお伝えしながら、“2018年のセキュリティ”を振り返ってみたいと思います。

「Internet Week 2018」最終日に行われたプレナリーセッション「IP Meeting 2018～知ればもっと楽しくなる～」の会場の様子（写真提供：一般社団法人日本ネットワークインフォメーションセンター）

　Internet Weekは本来、“セキュリティのイベント”ではないのですが、今年は例年以上にセキュリティに力を入れたプログラム構成となっていました。

　まず終日のプログラムとして、初日には「Internet Week流Security Bootcamp」と題し、情報セキュリティ従事者に必要な知識や考え方、理解度を高めることを目的とした内容。そして、初日の内容を踏まえた上で2日目は「企業のサイバーセキュリティ最新戦略」と題し、最新動向をキャッチアップしてもらう内容となっています。さらに3日目には、インシデント対応ハンズオンとCSIRTによるインシデント対応の事例紹介のプログラムも用意されました。

　今回のInternet Week全体の特徴として挙げられるのは、例年、IPv6に関するプログラムを複数用意していたのが、今回はチュートリアルの1コマのみとしている点です。これは、IPv6が普及してきている今の時代にあえてIPv6を特別扱いする必要はないだろうとの判断のもと、“ごく普通のもの”として他のプログラムの中にIPv6の話を組み込んでいるからです。例えば、セキュリティ関連プログラムとしては、初日の「Internet Week流Security Bootcamp」の第1部「常識変化に向き合おう」の中でIPv6が取り上げられており、IPv6のセキュリティに対する世の中にある誤解を解き、本質的にはIPv4と変わらないことを説明した上で、IPv6特有の「考慮すべきポイント」が紹介されました。

「Internet Week 2018」が行われたヒューリックホール＆ヒューリックカンファレンス（東京都台東区浅草橋）

　どのプログラムも多くの参加者で会場は埋まっており、熱心に聴講されている方が多かったのですが、中でも特に質疑応答やTwitterなどで盛り上がったのは“生々しい事例の紹介”でした。

　まず、2日目に行われた「企業のサイバーセキュリティ最新戦略」の第1部「サイバー攻撃最前線2018」で取り上げられたビジネスメール詐欺（BEC）について、例えば、実際に用いられただましのテクニックとして紹介された、メールの返信アドレスに対する細工といった技術的な部分に対する関心が高かったのは、技術者が多く参加するInternet Weekらしさを感じました。

　同日の第3部「知れば組織が強くなる！ペネトレーションテストで分かったセキュリティ対策の抜け穴」におけるペネトレーションテスト実務者の皆さんによる座談会では、ペネトレーションテストを実施したことで判明したさまざまな問題点（システムやネットワークの脆弱性、組織体制の問題など）がかなり具体的に披露され、詳細をここで紹介することはできませんが、普段なかなか聴くことのできない話だけに多くの関心を集めていました。また、会場からはペネトレーションテストそのものに対する関心の高まりも強く感じられました。

　3日目の「実録CSIRT24時！その時なにが起きたか！」では、実際に起きたインシデントに対応したCSIRTの皆さんから、「そこまで赤裸々に語ってしまって大丈夫なんですか？」と聴いている方が心配になってしまうほどの“濃い話”が披露され、ご参加の皆さんの満足度は相当に高かったのではないかと思います。参加者の多くはすでにCSIRT設置済みの企業や組織に所属されている方々であり、そういった方たちには共感とともに参考になる部分も多々ある内容でしたが、一方でこれからCSIRTを構築しようとしている方々にとってはCSIRT経験者から直接話を訊くことができる（≒先輩CSIRTに質問できる）良い機会になったようです。

「2018年のインターネット動向を振り返る」に登壇した武井滋紀さんと中津留勇さん（写真提供：一般社団法人日本ネットワークインフォメーションセンター）

　2018年のセキュリティを振り返るという点では、プレナリーセッションとして最終日に行われた「IP Meeting 2018～知ればもっと楽しくなる～」の午前の部「2018年のインターネット動向を振り返る」において、プログラム委員の武井滋紀さんと中津留勇さんが紹介された内容がとても端的で分かりやすいものでした。

　2017年は「WannaCry」に代表される“ランサムウェア”が一般のメディアでも取り上げられるほど注目された1年でしたが、それに対して2018年はそこまでのものはなく、全般的に「静かで平和な1年だった」と感じているセキュリティ専門家も少なくありません。しかし、実際にはインシデントは日常的に起きていますし、深刻な脆弱性による脅威も減ってはいません。

　まずインシデントについては、“起こる”前提で備えることが常識になって来たことでインシデントの発生そのもので大きく騒がれることは減ってきており、起きたあとにどのように対応するかが問われるようになったと言えます。準備しているのは当たり前、それでもやられてしまうのは仕方のないことであり、だからこそ、やられたあとの対応も含めて評価されるようになったということでしょう。

　また、脆弱性情報については、以前に比べると影響の大小を判断できるようになった企業や組織が増えてきたことで、脆弱性情報そのものが必要以上に騒がれることが減ってきたのではないかと考えられます。しかし逆に、判断できずに対応せぬまま動かし続けて攻撃を受けてしまった場合、信用や評判が致命的なまでに落ちてしまうケースも出てきています。

　その一方で、クリプトジャッキングや仮想通貨採掘マルウェアのように気付きにくいものが増えたのも、今年が“静か”という印象を与えてしまった理由の1つでしょう。また、攻撃者側は、金を稼ぐなら技術的に巧妙な手法を使うよりも詐欺的手法でだました方が早いとの考えのもと、狙う対象を「安全になったPCよりもだませる人間へ」とシフトして来ているようです。もちろん、詐欺的手法自体は大昔からある古典的なものですが、その被害が顕著であるということです。

　最後に武井さんと中津留さんは、Internete Week 2018でのセキュリティ関連プログラム全体の内容を踏まえて、次のように述べています。

状況や常識は変化している。また、静かな今だからこそできることもある。終わりの始まりなのか、嵐の前の静けさなのか。大事故が起きてから慌てるのではなく、普段から訓練や連携を続けることが大事である。

　今年もセキュリティに関してさまざまな話題がありました。例えば、CPUの脆弱性や仮想通貨採掘に関連した諸々の問題、ビジネスメール詐欺（BEC）など、挙げ出せばキリがありません。それでもここ数年に比べると全般的に穏やかだった印象があるのも事実。しかし、だからと言ってインシデントが起きなくなったわけでもなければ、脅威がなくなったわけでもありません。改めて初心に立ち返り、冷静な分析と検討に基づいた、現実に即した“成熟化”が求められるようになったのが“2018年のセキュリティ”と言えるのかもしれません。もちろん、そのような“成熟化”が行えるのは、すでにある程度体制が整備されている（主に）規模の大きな企業や組織であり、それ以外についてはまだこれからの話。基本的なところからの普及啓発もまだまだ必要だということを忘れてはいけないでしょう。

　ちなみに、私はInternet Weekの“中の人”であるため、少しばかり視点が偏っていたかもしれませんが、その点はお許しくださいませ。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。Internet Week 2018実行委員。
INTERNET Watchで「海の向こうの“セキュリティ”」連載中。