株式会社KADOKAWAのハッキング事案に於ける専門職からの所論

ハッキング事案に於ける専門職からの所論

件の事象に関連して、セキュリティ観点で所感を記載することを試みた。小職の専門であるが、差し支えない範囲の考察、記述に留めた。

※本稿では分かりやすくする為、クラッキングの語義を「ハッキング」と表現することとする。

[A. 概要]

1. 対象企業に対して可能な立場は静観のみと言える。

2. セキュリティに完璧はない。

[B. 勝手に整理したアジェンダ]

※対象企業に於ける一般的な対応項目を勝手に整理してみた(工数は省略)。

1. 初期対応と評価

1-1. 初期対応

* 初期調査の実施

* インシデントの範囲と影響の把握

* 事象の時系列の記録

1-2. 被害範囲の確認

* 攻撃種別の特定

* 影響を受けたシステム、データの範囲の確認

1-3. 対応計画の策定

* 緊急対応計画を確認

* 緊急対応計画の適宜更新

* 状況に応じて具体的な対応手順を決定

* 情報公開計画の検討

2. 被害の封じ込め

2-1. システムの隔離

* 影響を受けたシステムならびにネットワークセグメントの隔離

* 不審な通信のブロック

* 拡散の防止

2-2. 攻撃素因の除去

* 攻撃素因を特定し感染したシステムから除去

2-3. データの保護

* 残存するデータのバックアップを取り更なる被害拡大の防止

3. 根本原因の調査

3-1. ログの解析

* 各機器、各ノードのログを詳細に解析し攻撃の経路や手法を特定

* 攻撃者のIPアドレスや侵入経路を特定

3-2. フォレンジック調査

* 被害システムのディスクやメモリの内容を解析し攻撃の証跡を収集

3-3. 遠因と真因の特定

* 直接的な要因と間接的な要因の分析

4. システムの復旧

4-1. 復旧対応計画の策定

* 対応内容とスケジュールの確定ならびにリソース確保

4-2. 復旧対応手順の整理

4-3. クリーンなバックアップからの復元

* 事象前のバックアップデータからシステムを復元

4-4. システム再構築

* 必要に応じてシステムやネットワークの再構築を実施

4-5. セキュリティパッチの適用

* 最新のセキュリティパッチを適用し同様の攻撃の再発を防止

5. 再発防止策の実施

5-1. セキュリティ強化

* UTMや侵入検知システム(IDS/IPS)の設定の見直し

* パスワードポリシーやアクセス制御の改善

5-2. 定期的な監査

* 定期的なセキュリティ監査を実施

6. 事後対応と評価

6-1. インシデント報告

* 攻撃の詳細と対応経緯を記録しステークホルダーに報告

* 必要に応じて法的措置を検討

* 事象と教訓の共有

6-2. 再発防止策の策定

[C. 所感]

株式会社KADOKAWAのシステムの復旧ならびに一連の流れが好転することを祈っています。

以下、個人的な所感であることをご了承ください。

サイバー攻撃は大変日常的に起こっており、今回のランサムウェア(ファイルを人質にする)のように情報公開を余儀なくされる際立った状況だけにとどまらない。

ハッキングが成功し内部に侵入できて且つ、その侵入が検知システムに検知されない限り、侵入が認識されることはない。侵入検知のシステムが要だが、そのようなシステムを持つ会社は殆ど無いと経験的に感じる。

更に攻撃者は一度侵入が安全に成功したことを確認したらバックドア(いつでも入れる裏口)を仕掛け、かつバックドアが時限で消滅するようにセットする。

殆どの会社が「社内は安全」と定義し全社員に対し社内システムへのアクセスを許可している。ファイルサーバ等の権限設定はあっても「社内ユーザを信用する」ポリシーであることが殆どだ。ということは、検知されない限り、侵入されたら遮断するのは難しい。

侵入した攻撃者は侵入したことを悟られない限り、静かに活動する。「お前の会社を乗っ取った！」などと声高に叫ぶ攻撃者はあまりいない(*1)。

現在はSaaS、PaaS、IaaSなどのクラウド化、またモバイルからの接続がビジネスで必須となってきている為(*2)、従来の境界内部の防御だけでは足りなくなっている。所謂、ゼロトラストの考え方に基づいたセキュリティシステムや分離システムが望ましいが、これまた導入には大変なコストがかかる。

社内システムにお金をかけたがらない経営層は多く、肌感で恐縮だがこうした無理解が企業の総体、社会全体のDX化が進まない理由の一つではなかろうか。

決して煽っているわけではなく、UTM(ファイアーウォール等)を設置しているから安全、という時代でも状況でもなくなっている。一方、全てを構築し、徹底して運用していても、ユーザ行動によるインシデントでハッキングを誘発することも多々ある。

株式会社KADOKAWAさんのシステムがセキュリティ的に十全で無かった等と言いたい訳では決してなく、徹底的に構築していてもセキュリティホールを全て塞ぐのは難しい、という本質が炙り出されていると感じている。

(*1) 但しランサムウェアは増加傾向にある。

(*2) BYOD端末をMDM/MAMで管理する、等。

cf. "Network Security Assessment" by Chris McNab, Released March 2004, Publisher(s): O'Reilly Media, Inc.