FINANCE FORUM 多様化する金融サイバー犯罪とサイバーセキュリティの高度化＜アフターレポート＞

我が国のサイバーセキュリティに係る現状と政策
～金融を含む重要インフラ事業者等の状況と課題～

本日お伝えしたいことは、サイバーセキュリティ対策では、経営層のリーダーシップが重要であるという点。今回の基調講演では、主に事例の話を中心に、サイバーセキュリティ対策の現状・政策についてお伝えする。

まず、やや前の事例であるが、重要な教訓を得られた2015年の日本年金機構の不正アクセスによる情報流出事案について話す。年金機構では、クローズド系のシステムの使い勝手に課題があったことからオープン系に年金情報を移して業務していたため標的型攻撃に狙われ、事案が発生した。本件事案の対応では、事態に至った背景の分析・再発防止等について国民への丁寧な説明を重視した。そのためには、経営層のリーダーシップ、業務インシデント対応体制整備、迅速な報告・情報連携等が重要であるという点が教訓となる。

業務継続に影響のあった事例として、2017年5月に約150か国、数十万台が感染したランサムウェア「Wanna Cry」がある。我が国では行政組織、重要インフラでは、ほとんど感染しなかったが、大手 企業などのコンピューターが感染し業務に影響が生じた。対応として、修正プログラム未適用のPCは起動した瞬間に感染する恐れがあったため、PC1台1台に「起動するな」と書いた紙を貼って回ることになったと聞く。この事件で得られた教訓としては、迅速な情報連携、迷ったら動くこと、タイムリーな情報提供などがある。

次に、我が国のサイバーセキュリティ対策推進体制について。内閣に置かれたサイバーセキュリティ戦略本部を中心に、IT総合戦略本部・国家安全保障会議（NSC）などと連携して行う。サイバーセキュリティ戦略本部の機能としては、サイバーセキュリティ戦略案の作成・実施推進、国の行政機関・指定法人における対策基準の作成・監査などが主な役割だ。2018年7月には、新しいサイバーセキュリティ戦略が閣議決定された。同戦略では、サービス提供者の任務保証、リスクマネジメント、参加・連携・協働の3点がポイント。昨年12月にはサイバーセキュリティ基本法を改正して情報連携のためにサイバーセキュリティ協議会を設置した。

経済社会の活力向上・持続的発展に関して、サイバーセキュリティ推進は、新たな価値創出を支えるために行うという側面もある。システムがAPIで連携して新たな価値を創出されていくが、システムの責任者が異なることから、どう安全に連携するかを考えることも大切だ。このため経済産業省では、サイバーフィジカルセキュリティ対策フレームワークも公表した。また、サイバーセキュリティ経営ガイドラインを出しており、経営層のリーダーシップなどが重要と提言している。日本企業は取引先との関係の対策が、欧米と比較して遅れているのも課題だ。特に中小企業における現場対応の支援が必要と考えており、サイバー攻撃で困ったときの相談窓口としてお助け隊といった支援体制の構築なども行っている。

国民の安全安心に関しては、重要インフラの話がある。金融・航空・電力など14分野を重要インフラと定め、安全基準などの整備・浸透、情報共有体制の強化、障害対応対策の強化などを行動計画として定めている。その他にクラウドサービスの安全性評価、Tokyo2020への取り組みなども重要テーマだ。

最後に、セキュリティを担う人材育成に関しての基盤的な取り組みもご紹介する。産業サイバーセキュリティセンターで、各業界から毎年7～80名ぐらいの研修生を受け入れ、1年間の集中トレーニングを実施している。経営陣に関しては、戦略マネジメント層の育成として、各種セミナーや人材育成プログラムの提供にも取り組んでいる。

金融セクターにおけるサイバー脅威の歴史的考察

過去5年間の金融セクターを標的にした攻撃の例として挙げられるのは、まず2016年のバングラデシュ銀行への攻撃である。ハッキングされるはずはないと評価されていたが、実際には攻撃を許してしまった。さらに明らかになったのが内部脅威で、組織の中に入り込んでハッキングを手助けするメンバーがいたとされた。

直近の傾向としてATMの攻撃が増えており、商業銀行からリテールバンキングのシステムへシフトしている。イギリスなどで一時期ATMを爆発させて金銭を盗む犯罪が頻発していたが、この数年で減少し、サイバー犯罪へと手口が変わってきている。これらに関わるスレットアクターグループ（犯罪集団）として、北朝鮮に関連するLazarusや、低レベルだが他を模倣することによって成功するサイバー犯罪を行うCarbanakやSilenceなどがある。これらに対抗するには、従来のペンテストを超えたシステムが必要とされている。

具体的に導入されている事例として、イギリス銀行のスポンサーシップで行われているCBESTがある。CBESTは脅威主導型であり、現在のペンテストの間に存在するギャップを埋めるためのものだ。CBESTは脅威に関するレポートを作成するスレットインテリジェンスセクション、実際にテストを行うPENテスターセクションの2つに分かれる。PENテストは脆弱性と脅威の2つで構成される。

まず脆弱性はグローバルな視点で見ることが重要だ。クリティカルファンクションとは、組織内の主要な機能を侵害し、組織全体に影響を及ぼす。さらに、関連する経済システムに対して連鎖的な悪影響を作り出す。

ここでディジタルシャドウズが実施したアードウルフ（ハイエナの種類）というプロジェクトについて紹介する。世界中のIPレンジでのファイル形式と転送プロトコルをスキャンするものだ。パブリックでアクセスできるストレージデバイスから、ファイルに関するメタデータ（ファイルサイズ・ファストレージデバイスタイプなど）をダウンロードする。このデータを活用することにより、ハッカーが攻撃しやすい場所がどこなのかを知ることが可能だ。

アードウルフは漏えいデータにアクセスすることもできる。約54万7千の個々の漏えい事例から、160億行以上のデータを収集・保管している。地域別の内訳を出すのは難しいが、産業別の内訳の算出は可能だ。漏えいデータを見ると、金融サービスが多いことがわかる。組織のメンバー全員がコンピューターを使うため、漏えいリスクが高いのだ。

もう1つの観点である脅威に関して、典型的な3つのモデルがある。ハクティビスト・組織的な犯罪者・国家犯罪者だが、やや単純すぎるだろう。脅威モデリングではバランスを取ることが重要だ。具体例の一つとして、ロッキードマーティンのキルチェーンがある。本質的に間違ってはいないが、攻撃が一度であるとは限らず、明確につながっているとも限らない点を想定していないことが課題だ。多数の人間が繰り返し攻撃をすることが現状である現在、ダイヤモンドモデルが必要になるだろう。

CBESTでの脅威モデリングは細かく、必要な時にアクションを取れるようになっている。しかし各モデルにはそれぞれ特色があり、1つのモデルだけですべてに対処できるわけではない。

これらのモデルはサイバー脅威に対して、実際に効果が出ているときもあるということは明確になっている。また、モデルはすぐに効果が出るものではなく、6か月・12か月・18か月など中長期的な視点で効果を出すようになる。

RPAとクラウドで考える、
セキュリティ対策におけるログ管理とは

ログ管理は、ログ収集・長期保管・活用の3つのステップで成り立つ。さまざまな機器・端末・クラウドサービスなどからログを1か所に集約し、長期的に安全保管したうえで、必要な際にログを活用することだ。ログ管理の目的は、脅威対策・コンプライアンス・システム運用である。

サイバー脅威に対し、従来はネットワークの入り口・出口を防御することが中心だったが、マルウェアの巧妙化などにより、ログでないと検出困難な事例が出ている。ログを横断的に収集・分析して迅速に侵入を検出すること、侵入を前提とした対策の構築が求められている。クラウドセキュリティガイドラインなどでは、運用担当者の作業ログ、障害のログなどの取得が定められている。システムのログ管理を行うことは、システム構築における前提管理となっている。システム運用の面では、ログ管理を行うことによって管理者の負担を軽減し、重要作業にリソースを振り分けられる。障害が発生しても、ログ管 理システムがあればログ確認ができ、早期の原因究明が可能となるのだ。

ログ管理ができると、RPAで何が解決できるのか。RPAは人間が行っていた処理を代行して実行するロボットソフトウェアである。RPAは誰でも開発可能であり、ロボットはどれだけ働いても疲労やミスとは無縁だ。しかしロボットによる社内業務システム・社外Webサイトへのアクセス過多が、レスポンス悪化・システムダウンなど、ロボットが業務に悪影響を及ぼすことがある。

さらに管理者の手を離れたロボットが「野良」と化し、社内の業務を阻害するリスクもあるのだ。ロボット自体や利用するリソースへのアクセスをログ管理し、野良ロボットを発見することができる。ログ管理によってロボットの挙動を管理・把握し、野良化を防ぐことも可能だ。また重要な情報処理をロボットに任せきりにすると、不正なルール変更を勝手に行う可能性もある。そこで、ロボットが動作する 端末やロボット固有の不正に対するセキュリティ対策も重要となる。操作端末に対する従来のセキュリティ対策に加え、ロボット独自の観点でのセキュリティ対策も求められる。管理コンソール・業務システム・ファイルサーバなど、ロボットを取り巻く環境のアクセスログが重要である。

近年ではAWSやAzureといったパブリッククラウドの利用も広がっているが、クラウド固有の課題への対応も重要だ。

具体的には仮想ホストの生成、仮想ネットワーク構築や設定などである。また働き方改革などを背景に、社外からのアクセスが必要なことも多いため、社外からの利用状況の把握も必要だ。標的型攻撃については侵入場所を問わないため、オンプレミス・パブリッククラウドを問わず、セキュリティを守る必要がある。パブリッククラウドでは、サービス提供者だけでなくユーザも主体的に管理を行う必要がある。クラウドログの収集は、形式・取得方式がバラバラになってしまうのが課題だ。よってログ管理システムには、フォーマットを正規化することが求められる。

インフォサイエンス株式会社が提供しているLogstorageは、累積3,300社で導入されている統合ログ管理製品だ。銀行・カード会社・保険といった金融・保険業界においても広く利用いただいている。このほかのラインナップとして、Windows、ファイルサーバログに特化したLogstorage ELC Analytics、国内のセキュリティ運用にフィットしたSIEM製品のLogstorage-X/SIEM などがある。ログの収集・調査・保存・検知といったログ管理に必要な条件をLogstorageのみで満たすことが可能だ。

シェアNo.1 EDRベンダが語る
見えない攻撃と破壊型攻撃

米中貿易摩擦のキーワードとしてAI、5G、次世代宇宙ステーション、量子暗号、ブロックチェーンが挙げられる。いずれも未来の経済・軍事・金融の覇権を左右するハイテク技術だ。一方で半導体は、これらハイテク技術の根幹である。半導体製造過程においては、日本も装置・素材の分野で高いシェアを占めている。半導体技術革新と主導権争いで現在発生しているのは、サイバー攻撃によるハイテク技術の窃取であり、これが米中貿易摩擦の根底となっている。

アメリカは2019年10月に、サイバーセキュリティ指令部を新設した。攻撃的サイバーオペレーションを、大統領の承認なしに行えるようになるのではないかと考えられる。また国家兵器レベルのサイバー攻撃ツールが公開され続けているため、ハクティビスト・PCキッズといった一般のサイバー犯罪者も、高性能のサイバー攻撃ツールを使える。よって狙われる資産があり脆弱性があると攻撃者が気づけば、すべての組織が狙われる可能性がある。

一方で日本の現状はというと、国力とサイバー防衛に大きなギャップがある。GDPに比べサイバー分野の予算が少なく、専門家も不足している。セクター・組織間の連携も不十分である。攻撃者にとって 抜群の費用対効果があるため、日本はサイバー攻撃の恰好の標的となっているのだ。さらに従来のセキュリティ対策には限界があり、侵入を前提としたエンドポイント対策が求められている。

なぜ100%侵入を防げないのか。それにはいくつか理由があり、まず攻撃手法が標的を研究し尽くした、テーラーメイドであることが挙げられる。業務で使用するファイルや内容を利用する、本丸の前に海外・地方のセキュリティの弱い拠点を先に攻撃し偵察するなど、相手を知り尽くしてから本格的な攻撃をするのだ。入口対策・出口対策を回避する新しい攻撃テクニックも生まれている。サンドボックス検知の回避、SSL通信の悪用、ゲートウェイ製品を通らない業務用持ち出し端末の通信を狙うなど。また、現在注意しなければならないのは、ファイルレスマルウェアだ。検疫対象となるファイルが存在せず、メモリ上でしか動かないのが特徴だ。電源を切れば痕跡も消えてしまう。「見えない攻撃」と呼ばれる代表的なサイバー攻撃である。

ファイルレスマルウェアの攻撃の様子を実際にお見せしよう。攻撃者はメール送信し、ターゲットが指定されたURLをクリックしてブラウザが起動すればそれで感染する。ファイルを一切送らずして攻撃に成功している。その後、攻撃者は端末から管理者権限を奪う行為に出る。ユーザー側のPCには表面上何も変化はない。しかしブラウザを閉じてしまうとすべてやり直しになるため、別のプロセスを背後に立ち上げ、ユーザーがブラウザを閉じてもバックグラウンドで動かせる状態にする。

次に狙うのは、ユーザーと関係しているPC・サーバだ。重要な情報が入っていそうなサーバなどの存在を見つけたら、ユーザーの情報を使って侵入を試みる。攻撃ツールを使って、ユーザーPCのメモリの中身からドメイン名・ユーザー名・パスワードのハッシュ値を入手する。この情報を使って横展開していく攻撃手法を、「PASS THE HASH」と呼ぶ。2台目も感染し、権限掌握・奪取が続いていく。最終的 に攻撃者は、証拠隠滅のためにランサムウェアを送り付けることになる。ランサムウェア攻撃から助かって安堵する方もいるかもしれないが、本当の狙いの攻撃を見落としていないか、考えるべきだ。一番注視すべき点は、侵入後のエンドポイント対策であると考えられる。

日本は領土問題等を背景に、狙われることも多くなっている。見えない攻撃に対策するには、まず攻撃自体を可視化し、理解することが重要だ。

セブン銀行「7BK-CSIRT」における
サイバーセキュリティ対策の取組み

セブン銀行はATMサービスを主とする銀行で、約615社の金融機関と提携している。金融サービスでは、預金・振込・デビット・ローン・海外送金などがある。セブン銀行の口座はほぼ個人が中心で、インターネット・ATMを通じた非対面取引によるサービスを提供している。そのためシステム依存度が高くなっており、同時にセキュリティに関する意識も高く持ちながら対策・体制を整えている。

セブン銀行の金融犯罪対策部に、恒常的な組織としてCSIRT担当（7BK-CSIRT）を設置している。メンバー構成は「チームマーチャンダイジング」の考えを重視した。多種多様なインシデントに幅広く対応するため、システム部門・商品開発部門を含む複数の部署を横断したメンバーで構成されている。7BK-CSIRTの主な役割は、サイバーセキュリティインシデント等に関する情報収集・情報連携だ。インシ デント発生時のハンドリング、セキュリティ検討会の運営も行う。他行・当局との情報交換で多い相談として、不正利用対策の人材不足、不正利用対策の施策の仕方、製品選定の考え方（ROI）などが挙げ られる。

セブン銀行にもこれまでさまざまなインシデントが発生してきたが、今回はマルウェアによるインターネットバンキング不正送金、DDos攻撃の2つの事案について紹介したい。

まず前者はCSIRT設置のきっかけとなったインシデントであった。当時はマルウェアが何かもわからず、担当責任者も決まっていないような状態であった。マルウェアに感染した顧客のPCを借りるなどのルール作りからスタート。他行へヒアリングしたり、シーサート協会の情報を参考にしたりしながら、セキュリティ検討会を設置した。これがCSIRTへの第一歩であった。

後者のDDos攻撃は、ネットワーク上の多数のコンピューターを踏み台にし、大量の通信負荷をかけてサービスを停止させてしまう攻撃である。2015年6月に、顧客対応システムが使えないと社内から問い合わせがあったが、当初はシステム障害と考えていた。金融ISACメンバーに情報発信し、他行のCSIRTから情報を得ることによって、接続を遮断して暫定措置を取ることができた。その後、「またやるぞ」との予告メールが届いたので、再度金融ISACに確認を行ったが、2回目は来ないと助言をもらい、実際に攻撃はなかった。

このインシデントは、当行が恒常的な組織の設置を決意することになった事案だ。全社のセキュリティ方針を定め、CSIRTの活動を通じてフィッシング閉鎖サービス・マルウェア感染検知・不正アクセス遮断・Web分離などの対策を導入した。

銀行口座における不正利用としては、インターネット不正送金・振り込め詐欺など被害者のあるパターン、口座譲渡・架空名義口座など被害者のないパターンがある。犯罪に利用される口座は、インターネット上の口座買取業者・本人確認書類偽造サイトなどを通じて利用される。

不正利用の傾向と対策としては、攻撃は巧妙化・進化し、攻撃者も組織化している。よって、攻撃者のアタックの兆候を早期に発見し、未然防止する取り組みが必要だ。具体的には、申込内容の検証・アクセス情報のモニタリング・取引内容のモニタリングを行っている。取得情報にIPアドレスなど他の情報を組み合わせて怪しさの確度を高めるなど、目に見える情報と見えない情報をあわせた不正対策への取り組みも行う。

攻撃者はある意味でロイヤルカスタマーであると捉えて現在取り組んでいるのが、マーケティング視点を取り入れたビッグデータ分析ソリューションだ。不正対策ノウハウ・ASPとの連携による外部情報の活用により、一歩踏み込んだ「不正検知プラットフォーム」の構築を目指している。