ニュース

サプライチェーン攻撃や社会インフラでのシステム障害など、専門家が振り返る今年のセキュリティトレンド

イー・ガーディアンがメディア向けセミナーで解説

  • 小林 哲雄

2023年12月27日 18:40

 イー・ガーディアンCISO兼EGセキュアソリューションズ取締役CTOの徳丸浩氏によるメディア向けのセミナー「2023年度セキュリティトレンドの振り返りと2024年度の予測」が、12月14日に実施された。同セミナーで取り上げるトレンドについては徳丸氏の独断と偏見で選択したというもので、今回は主にサプライチェーン上のサイバー攻撃と社会インフラのシステム障害について取り上げられた。

イー・ガーディアンCISO兼EGセキュアソリューションズ取締役CTOの徳丸浩氏

 サプライチェーン攻撃に関しては、NTT西日本の子会社であるNTTビジネスソリューションズの元派遣社員が約900万件の顧客情報を不正に流出させたケースが取り上げられた。被害は業務委託を行っていた59社・団体に影響が及ぶ可能性があるというものだ。

 この事件では、コールセンター業務の委託元の1つであった山田養蜂場が顧客から情報漏えいの疑いを指摘され、NTTマーケティングアクト ProCX(ProCX)に調査を依頼したが、2022年7月にProCXは「漏えいはない」と回答。しかし1年後の2023年7月に警察の捜査が始まると、一転して情報漏えいの可能性を伝えた。会見では保守作業端末に個人情報のダウンロードが可能で、かつ外部記録媒体が接続禁止設定されておらず、持ち出しが可能だったこと、セキュリティリスクの高い振る舞いをタイムリーに検知できていないこと、ログの定期チェックが十分でなかったことが主な原因だったと説明されていた。

 徳丸氏は離職率が高い職場においては、1人1IDと最小権限の原則が徹底されておらず、共通IDの使いまわしが多かったのではないかと指摘。一方、アクセス権限があったとしても1オペレーターが大量の情報にアクセスするのは不自然で、調査に時間がかかったのは作業ログの取得と監査体制に問題があったのではないかと推測していた。情報漏えいが大きく問題になったケースとして、2014年にベネッセコーポレーションが起こした個人情報漏えいのケースを紹介。ここでは情報漏えいの発覚から1カ月経過せずに犯人の特定を行っており、違いを強調していた。

 情報の出入り口を防ぐ観点ではUSBメモリのようなデバイス接続禁止に加えて、クラウドストレージの利用も止める事が教科書的な対応となり、地味だが効果的であると対応策を紹介した。また、従業員のセキュリティ・情報リテラシー教育を行う事も必要という。なお、これらに関して有用な公的認定制度のようなものがあるかという質問には「的確なものはないと思うが、企業が短時間でも教育をおこなう事が重要」と回答した。

NTTマーケティングアクトProCXはNTTビジネスソリューションズのシステムを用いていたが、その運用保守担当者が個人情報を漏えい。調査にかなりの時間を要していた

全銀ネットなど、社会インフラで目立ったシステム障害

 目立った社会のインフラでのシステム障害に関しては「全銀ネットの障害」と「コンビニ交付システムからの情報漏えい」を取り上げた。

 全銀ネットの障害ではシステム改変に伴いOSを32bitから64bitのLinuxに切り替えを行ったところ、(高速化のために)生成プログラムが一時的に利用するテーブルサイズが肥大してデータが破損したのが原因だ。徳丸氏は作業領域の推定を手計算で行っていたと推測しており「必要なサイズをプログラムが計算すればこのような事態にはならず、また生成プログラムの単独テストで発見されるべきだった」と説明した。

全銀システムの更新に伴いOSを64bitに変更したために、テーブルサイズが溢れてしまったが、必要なメモリサイズは自動計算すればよいというのが徳丸氏の見解だ

 プログラムの不具合により、川崎市のコンビニで他人の戸籍謄本が発行された問題では、2カ所のコンビニで2人の住民が同一タイミングにより交付申請を行った際に後続の処理が先行する処理を上書きする事象が発生した。これは排他処理を行えば防げるものの、意外と設定されていないと徳丸氏は指摘。官公庁ではデジタル庁が発行している「政府情報システムにおける脆弱性診断導入ガイドライン」には明記しているという。過去にもレースコンディション(競合状態)によるトラブルはあり、公共機関ではしばしば報告される事例だが、徳丸氏は民間でも起きていると推測しており、公表されていない理由として(該当する個人情報の数が少ないので)法律上の公表義務がないためと推測していた。

レースコンディションによって同一時分秒の申し込みでデータが上書きされた。このような事例はしばしば発生するという

2024年の脅威予測、2023年と大きな差異はない

 最後に2024年の脅威予測について言及したが、基本的には2023年と大きな差異はないとコメントした。

 ランサムウェアのエコシステムが確立して有用に作用している以上、犯罪者は新たな攻撃手段を使う必要性がなく、存続し続ける可能性を指摘した。このほか、最近のホットワードとなる生成AIに関連するものとして、フィッシング詐欺の文面作成の効率化やマルウェアなどの開発生産性の向上につながると推定した。

 コーディングに関しては極論すると生成AIでプログラマーが要らなくなるという人もいる一方で、今回挙げたようなレースコンディションなどに関する基礎知識がなければ脆弱性を含めたプログラムができてしまう。また生成AIがどのようにプログラムの知識を得たのかという学習問題もあり、脆弱性を考慮していないソースも学習に取り入れているのではないかと徳丸氏は推測していた。実際にGPTを使用して脆弱性の出そうなシチュエーションのプログラムを行ってみたところ、意図的に誘導しなくても脆弱性のあるコードを出力してきたという。高度なスキルを持った人が不足するしているIT人材不足はまだしばらく続くだろうと説明した。

2024年も2023年とあまり脅威の傾向は変わらず、生成AIのインパクトもあまりないと推定