平昌でも起きていたセキュリティ・インシデント
平昌オリンピックとパラリンピックが閉幕しました。セキュリティに関心を持つ方々は、大会の運営組織から機密情報の搾取を狙った攻撃メールや、2月9日の開会式を混乱させたサイバーテロのニュースに関心を持たれたのではないでしょうか。
オリンピックを狙ったサイバー攻撃の手口とその影響、組織が取った対応から、企業の情報セキュリティ対策に生かせる情報や教訓がありそうです。まず、平昌で起きたセキュリティ・インシデントを振り返ってみましょう。
12月にはメールセキュリティの隙を付く攻撃メールが
会期前から米国のセキュリティ企業などが警告していた事案として、韓国の国家対テロセンター(NCTC)を偽装して、2017年12月から配信されていた攻撃メールの存在がありました。添付された韓国語のWord文書「農林部の活動と平昌オリンピック開催について」を開くと、機密情報の搾取を狙うマルウェアが仕込まれるようになっていました。
開封しても「コンテンツの有効化」をクリックしなければ、スクリプトの起動は避けられましたが、本文が自然な韓国語であったこと、そしてNCTCが五輪に向けて実施したテロ対策の訓練に合わせた時期に発信されたこともあって、攻撃者から見ると一定の“成果”を上げたとみられています。
主にアイスホッケーの関連団体が狙われましたが、攻撃メールのBCC欄には、交通機関や宿泊施設、支援業務を行う多くの組織が含まれていました。今のところ、このメールによる実害は公表されていませんが、悪性コードの機能は解析されており、関連組織から機密情報を搾取する非常に危険な存在であったことは確かです。
開会式を混乱させた起点は?
もう一つは、これも大きく報道されましたが、開会式を狙ったサイバー攻撃です。開会式当日、大会組織委員会のインターネット回線やWi-Fiの一部がダウンし、会場内に映像を配信するIPTVも不通になりました。
組織委員会のホームページの機能が停止したことで、一部の観客に対するチケット発行・印刷ができなくなり、会場で飛ばすはずだったドローン(小型無人機)を使ったデモンストレーションも中止され、事前に収録してあった映像に切り換えました。
これまでの報道や調査機関の解析などを加味すると、開会式を狙ったマルウェアは、機密情報の搾取、情報の拡散、システムの破壊を行う機能を有し、その最大の目的はオリンピックイベントの妨害にあったようです。
マルウェアの侵入経路は明らかにされていませんが、オリンピックの関連団体、支援組織のLANにアクセスするための認証情報を持っていたことから、標的型メールやフィッシングメールで誘導した偽装サイトなどでデータを取得した可能性は高そうです。
攻撃メールが多発
平昌五輪におけるセキュリティ・インシデントでは、開会前に送られた不審なWord文書やオープニングイベントを狙ったマルウェアの他にも、送信元を韓国警察庁と偽ってマルウェアを仕込むなりすましメールや、広報イベントを詐称して情報を搾取する攻撃メールの存在も報じられていました。
開幕直後の2月10日には、北朝鮮から派遣された芸術団の関連情報とする「北朝鮮分析資料」という添付ファイルを開くと、PCに保存された情報を取得するマルウェアに感染するメールも発見されています。
大規模なイベントの開催時に限らず、情報漏えいやウイルス感染の多くは、メールが起点になっています。メールに記されたURLをクリック、あるいは、添付ファイルを開いたところで、不正プログラムが動作する仕組みで、今回のオリンピックでもメールセキュリティの隙を突かれた可能性は高いでしょう。
過去の五輪でもメールが突破口に
オリンピックのような大きなイベントでは、サイバー犯罪が多発します。前回の冬季五輪、ソチ・オリンピックでは、会期中に運営組織のシステムに不正侵入を狙ったアクセスが1日に1,000件以上ありました。未然に阻止しましたが、財務部門に不正送金を狙ったマルウェアが送られ、深刻な被害が出るリスクもあったとされています。
“史上初めての本格的なデジタル・オリンピック”とも言われた2012年のロンドン大会では、“2億件を超えたサイバー攻撃”が話題になりました。ただし、これは数字が誇張された印象は否めず、その多くはファイアウォールで跳ね返せる単純なアタック、平時でもありふれた攻撃だったとされています。
ロンドンでは事前の準備が功を奏し、大会の運営に影響が出るような被害は起きませんでしたが、外部の支援組織のシステムがマルウェアに感染し、スパムメールが配信されたなどの事案は報告されていました。
2016年のリオデジャネイロ大会もロンドンと同様、過去の五輪から学んだ対策もあって、大きなインシデントは報告されませんでしたが、支援企業のサイトへの不正侵入、ドーピング管理機構のデータベースにアクセスできる認証情報を盗もうとしたフィッシングメールなどは確認されており、大会に便乗したスパムメールが多数配信されていました。
東京大会に向けた体制整備は?
東京大会の開催が決定した2013年以降、サイバー攻撃に対する取組みは少しずつ動き出しています。2015年あたりから本格的に稼働し、同年5月には、オリンピック・パラリンピックを視野に入れた「サイバーセキュリティ戦略本部」の会合が開かれました。
2017年夏には、IPA(情報処理推進機構)の主催で、インフラ企業に対する攻撃を想定した訓練も実施されました。2018年1月4日には、サイバー攻撃に関する情報の共有と対策を考える官民
の協議会「サイバーセキュリティ協議会(仮称)」を創設する方針も発表されています。
平昌大会の期間中には、菅官房長官が記者会見で、開会式に対するサイバー攻撃の実態を受け、セキュリティ体制の強化は喫緊の課題とし、詳細を韓国に確認した上で東京に活かしたいと述べていました。
攻撃者は“本丸”から周辺へ
政府やIPAなどの取組みは、電力や交通機関、通信などのインフラ企業の対策が先行していますが、一般企業にとっても、オリンピックに向けたサイバー攻撃は、決して無縁ではありません。
リオデジャネイロ大会では、当初は大会運営委員会のサイトに攻撃が集中しましたが、徐々に周辺に移行していきました。攻撃者は、まず運営本部などの“本丸”を狙い、よりガードが緩い関連団体、支援企業、一般企業へとターゲットを拡げていったのです。
最初からセキュリティが強固な大手メーカーは狙わず、サプライチェーンの一角を成す中小企業から、標的型メールなどで切り崩していく手法は、平時においても変わりません。
企業社会ができる対策は?
平昌パラリンピックも終わり、“次の五輪”となった東京への関心は、徐々に高まってきます。攻撃者は、官民一体となった対策が進む政府や運営組織、スポンサー企業を正面突破するより、周辺の企業に狙いを定めてくるはずです。
東京大会に向けて、日本の都市、インフラ、企業、そしてITの変化は加速していくはずです。“働き方改革”の進展と共にワークスタイルも変わり、テレワークも徐々に拡がっていくことでしょう。
2020年を一つのゴールとした都市環境の整備、内外の人々の活発な動き、そして働く環境の変化を視野に入れセキュリティを再考することは、そのまま企業の情報セキュリティ対策の強化に結びつきます。
最短ルートは足元を固めること
これまでのオリンピックで発生したサイバー攻撃を振り返ってみると、知的財産などの情報の搾取を狙った標的型メール、イベントに便乗したメールや不正サイトからランサムウェアを仕込むためのスパムメール、偽造チケットの購入を誘うフィッシング詐欺などによる被害が発生しており、このような悪意のある行為は日本でも多発すると予測できます。
平昌オリンピックで会期の1カ月以上も前から活動していた攻撃メールや、開会式を混乱させたマルウェアのように、時間と手間をかけた巧妙な攻撃には、セキュリティ対策を固めた運営委員会や関連団体でも、被害を受けてしまうことがあります。
実際のところ、平昌大会における二つの攻撃のように、表面化して報道されるものは一部で、企業を狙う標的型メールなどの攻撃は、数多く発生していた推測できます。一般企業がこのような“見えない敵”に対して取りうる対策は、基本的な取組みの強化以外にはありません。
・メールセキュリティの強化
・エンドポイントセキュリティの強化
・ネットワークのアクセスコントロール
・脆弱性プログラム(パッチ)の適用
・セキュリティ教育、再教育の実施 etc.
一般論ですが、セキュリティベンダーの立ち位置から、サイバー攻撃の被害を受けた実例を分析してみると、このような基本的な施策が疎かになったケースが多いようです。やはり基本に立ち返ることが重要です。
メールセキュリティで“基礎体力”を強化
東京オリンピック・パラリンピックの公式サイトで「2020年7月24日午後8時 開幕式」へのカウントダウンも始まり、これからは次第にサイバー犯罪も増えていくはず。
これまでに見てきた五輪を舞台にした攻撃手法から学ぶとすれば、最大のポイントは、やはりメールセキュリティ対策。情報の入口として機能しているメールセキュリティ対策の強化がもっとも有効です。
スパムメール対策やメール無害化、メール誤送信対策などのメールセキュリティは、業種や規模に関わらず、すべての企業に必須の“基礎体力”の一つと言えます。
防御力の強化と教育の実践を
攻撃側もロンドンやリオデジャネイロ、平昌での事例から学んで、防御の網をくぐり抜けようとしてきます。フィッシングメールやマルウェアが仕込まれたメールの開封率は、社内のメールセキュリティ教育を実施し、継続的な啓発をしていくことで下げることはできます。
しかし、巧妙化する手口、オリンピックなどの大きなイベントで警戒心が緩むことにつけ込む攻撃の増加を考慮すると、リスクをゼロにはできないでしょう。システム面でメールセキュリティ対策の“基礎体力”を付けた上で、セキュリティ教育、再教育に取り組んではいかがでしょうか。