【危機管理産業展(RISCON Tokyo)2018】 《CYFIRMA出展・講演レポート Part1》

Published On : 2018-10-23
Share :
【危機管理産業展(RISCON Tokyo)2018】 《CYFIRMA出展・講演レポート Part1》

AUTHOR

Antuitリサーチチーム

 

2018年10月12日(金)、危機管理産業展(RISCON Tokyo)2018 SEECATステージにて弊社CYFIRMA事業責任者であるKumar Riteshが「サイバーインテリジェント組織による脅威管理とリスクの軽減―東京オリンピック、重要インフラでの脅威例を踏まえて-」と題して講演いたしました。

1.オープニング

「いまや日本に対する攻撃者たちの活動は、単なるセキュリティリスクではなく、組織全体の事業リスクとなりつつあります。」
冒頭の自己紹介を終えると、CYFIRMA事業責任者のKumar Riteshはこう語りだしました。
「日本はいまやあらゆる事業、インフラ、社会活動において、積極的に先進技術を取り入れています。これは我々の生活や社会をよりよくするため大いに役立っていますが、それと同時にリスクを高めていることも認識する必要があります。日本を狙うサイバー犯罪者やハッカーグループにとってみると、新たな攻撃対象が増えると共に、その影響範囲を拡大するチャンスとなるのです。彼らは皆さんが考えている以上に日本に注目し、我々を攻撃するためのツールや手法、情報の収集を積極的に進めています。」
Kumar Ritesh自身は長年サイバー空間で攻撃者たちの活動を調査し、ある時は国家諜報機関の一員、またある時は企業のセキュリティ対策を支援するコンサルタント、そして一時は自分自身がグローバル企業のセキュリティ責任者(CISO)として、常に彼らと対峙してきました。そして彼らが如何に巧妙かつ狡猾で、急速に進化しているか身をもって経験しています。

2.日本を取り巻くサイバー脅威

「この1年半で、日本に対するサイバー脅威の様相は大きく変化してきています。ハッカー達の日本の社会や企業に対する興味・関心が急激に高まっているのです。この背後には、日本と地政学的に関係の深い中国、ロシア、北朝鮮のハッカーグループの進歩と、協力関係の強化が深く関わっています。
彼らは単に金銭的な利益を求めるだけではなく、世界の国々や多数のグローバル企業の中で、いかに日本の国家や社会、企業が不安定であり取引相手として相応しくないのか、また自分たちの国家や企業のほうがいかに優れているか、ということを証明したいと願っています。当然その中にはオリンピックイベントの失敗や、社会基盤の事故、経済の不況なども彼らの攻撃対象に含まれます。これは単に重要インフラ企業や金融機関に限らず、そのサプライチェーンを形成する製造・流通・サービスなどすべての日本企業にとって影響があります。事実、攻撃者はよりサイバー対策の劣っている日本社会・企業の脆弱性を探して、大規模な調査活動を展開している兆候を我々はつかんでいます。」

今回のイベントは、通常のセキュリティイベントとは若干毛色が異なり、事業リスク管理や、テロ対策もテーマとなっているため、公務員や警察、防衛関係の方々も多くご参加されているようでした。当日は朝一番のセッションでもあり、朝から小雨がちらつく生憎の天候のため、それほど観衆の入りはよくありませんでしたが、ご参加いただいた方々はいつもの講演に比べより熱心に聞き入り、メモ等を取られている様子でした。

3.サイバー脅威の現実:東京五輪、重要インフラ、金融機関

「ここからいくつか具体的な事例をお見せしたいと思います。
まずはオリンピックです。国家的なスポーツイベントにおいてハッカーの関心が高まることは、今年開催された平昌オリンピックやロシアワールドカップでも証明されています。特に平昌オリンピックは、サイバー攻撃で幕を開けたイベントだと言っても過言ではありません。2月9日の開催セレモニー当日に予定されていた、インテル社主催のライブ・ドローンショーが、ハッカーによる攻撃をうけ中止に追い込まれたのです。これはロシア系のハッカーグループ FANCY BEARによるしわざだと我々を含めたサイバー専門家は見ています。ロシア系のハッカーたちはOlympic Destroyerによる攻撃など、この後も様々な妨害工作を行いましたが、その始まりはたった44名のオリンピック関係者の個人情報を盗み出したことから繋がっています。」
「彼らの次の狙いは、間違いなく東京五輪に向けられています。前述のロシアだけではなく、中国系のハッカーグループも加わり、彼らはこの大規模イベントの失敗によって日本の名声と誇りを奪おうとしているのです。イベント運営を妨害することはもとより、社会インフラやサービスを混乱させることで日本に応援にくる観光客やメディアなどからの評価を落とすことも彼らの手口のひとつです。実際に我々はいくつかの攻撃者グループを特定し、彼らの活動を監視し続けています。おそらくこれからイベント終了までの2年間、彼らは様々な角度から攻撃を仕掛けてくることになります。」

– 中国系: NECTER、 RED#ARMY、 STONE PANDA
– ロシア系: BOLIC14、 FANCY BEAR、 North Korean: HIDDEN COBRA

ここでKumar Riteshから第一弾の攻撃として、我々が注意喚起を促している「オリンピックを騙ったスピアフィッシング/スミフィング」の攻撃について触れました。

「次の例として、社会インフラを狙う攻撃者について少し触れたいと思います。
敵対国の重要インフラに対するハイジャックや攻撃がこのまま続いていくと、おそらく近い将来、サイバー戦争の根本的なルールを見直す必要がでてくると考えています。それほど大規模な攻撃が増え、重大な事故につながるリスクが高まっているのです。

ロシア系のBOLIC14、中国系のStone Panda、NecterそしてTick、北朝鮮系のTENJACKALなどは、日本の重要インフラを狙った直近のマルウェアやランサムウェア攻撃に関与しているとCYFIRMAは疑っています。彼らは特にオペレーショナルテクノロジーを狙い、交通機関、電力事業者、そして製造業で使われているSCADAや制御システムに対する攻撃を得意としています。」

「最後の例として、金融機関のリスクについてお話したいと思います。
まず、金融システム全体でみると、金融機関単体のセキュリティ対策を強化するだけでなく、サードパーティや接続先の環境に対してもより注意を高く払っていくことで、体制の強化に繋がります。攻撃者の狙いも、そちらにシフトしているからです。

ハッカーからみると、やはり金融機関への攻撃は直接的な利益に繋がり、自分たちの名声を高める格好の標的です。特にFintechやBlockchainなどの新技術の導入が急速に進んでいる中、逆にその部分のセキュリティ対策が十分に追い付いていないことを彼らは理解しており、狙ってきています。その隙間を狙ったスピアフィッシングメール、機密情報を抜き出すためのルートキット、APTや行動を盗み見るためのマルウェアなどを、彼らは積極的に活用してきています。実際に国内の金融機関を狙った攻撃の背後には、以下のようなグループが検知されています。

北朝鮮系:GEMOUN、 TENJACKAL、ロシア系:BOLIC14、中国系:Tick、Stone Panda、Red#Army

彼らはいずれも国家支援型と呼ばれる組織化され、高度な手口を持ったハッカーグループです。」

今回の講演は1時間という長めのスロットで、すでにここまでで半分近く経過していますが、参加されている方々の多くは真剣に聞き入り、時にKumar Riteshの発言に大きくうなずいていらっしゃいました。Ritesh自身も皆様の反応や真剣さに影響され、普段以上に話に熱が入っている様子でした。終了後に彼は「参加者の皆様の反応がよく、すごく話しやすかった。こういった場を作ってもらえて大変光栄だった。」と感謝していました。

このあとKumar Riteshは、こういった国内の脅威の現状を踏まえて、どのように自社のリスクをとらえ、重要度や優先度を判断し、対策に活用していくべきなのかを説明しました。
この続きは次の機会にご紹介したいと思います。