前田典彦 情報セキュリティラボ チーフセキュリティエヴァンゲリスト

＜前田典彦・チーフセキュリティエヴァンゲリスト プロフィール＞
早稲田大学政治経済学部卒。ISP関連会社やSIerでネットワークとUNIXサーバー構築運用業務を経て、2007年1月にカスペルスキー入社。入社後はマルウェアを中心としたインターネット上のさまざまな脅威解析調査の結果を元に、講演や執筆活動を中心とした情報セキュリティの普及啓発活動に従事。特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)幹事、一般社団法人 日本スマートフォンセキュリティ協会(JSSEC)幹事なども務める。

2016年はランサムウェアに加え、IoT機器を攻撃するマルウェアも出現

――2016年のマルウェアの傾向について教えてください。

まず、日本を含め世界的に見ても外せないのが「ランサムウェア」です。それ以外にもマルウェアの攻撃では3つのトピックがあります。

1つめは2016年の下半期で話題になったIoT（モノのインターネット）機器、ルーターなどをターゲットとしたマルウェアの攻撃。代表的なものは「Mirai（ミライ）」（※注2）です。

2つめは、APT（ターゲット型攻撃）です。APTに関しては今年に限ったものではなく、何年も前から存在しています。そして今も攻撃が続いています。

3つめは金融機関を狙ったマルウェアの増加です。金融機関への攻撃というのは、銀行や証券取引所などが使っているシステムに対して攻撃です。これは一般の方には関係がないかもしれません。ただ、金融機関を狙ったマルウェアでは数百万ドルの被害が出ています。この3つとランサムウェアを合わせた4つが今年起こった代表的なサイバー攻撃といえます。

――日本でランサムウェアが広がった理由は？

その理由はすごく難しいですね。なぜなら国内で実際にどのくらいの被害があったのか、攻撃をされて暗号をかけられディスクそのものにアクセスができなくなり、それに対してお金を払うところまでいったケースがどれだけあるのか、正確な統計が出ていないからです。当社が独自に出したデータはありますが、日本全体でどのくらいあったのか定かではありません。

ただ、ランサムウェアが広がったのはお金に直接結びつく特徴があったからということは分かっています。実はお金目当ての攻撃者にとってお金に換えられるものなら何でもいい。例えばデータを盗んで売るといったようなことです。だから、ランサムウェアが広がったのは（攻撃した企業などから）直接お金を取ることができることが大きかったと思います。

また、攻撃者は2種類に分かれます。攻撃のプラットフォーム、つまり「攻撃の基盤を提供する人」と「それを利用して実際に攻撃をする人」です。今のサイバー攻撃はランサムウェアに限らず、分業の形で行われています。攻撃の基盤を使うことで簡単に攻撃ができる仕組みが確立されているわけです。こうした背景もあってランサムウェアが広まったと見ています。

協業する仕組みはランサムウェアに限らず、ほかの攻撃でも以前からありました。そのなかでランサムウェアの場合は、「攻撃の基盤を提供する側」と「使用する側」という図式がよりはっきりしたと思っています。

――国内で注意すべきランサムウェアはありますか？

細かく名前を挙げればいくつもあります。ただ、こういう情報を集めたり関心を持ってもらったりするのはいいのですが、そこに注目するあまり、新しいウィルスや亜種が出てきた時に、あれもこれもと対策をするのはよくないと思っています。「ランサムウェアだからこういった対応をする」といった考えは、対策のアプローチとしては適切でないように思います。

もちろん、ランサムウェアに引っかかってしまった場合を考えて「データを取り戻すのか」「取り戻さないのか」あるいは「取り戻すのであればお金を払うのか」「払わないのか」ということはあります。このことは事前に話し合っておくべきでしょう。

一方で、攻撃者にとってお金になればどんな攻撃でもいい。ランサムウェアはお金を取りやすいから増えました。しかし、ほかにお金になりやすい攻撃があればその方がいいわけです。こうしたことから、（ウィルスの）トレンドを追いかけることよりも「何をやらなければいけないのか」を考えることが重要です。

2017年はIoTを狙ったマルウェアが増加 ランサムウェアも収束はしない

――2017年のマルウェアの動向をどう見ていますか？

すごく難しい質問です。2016年は、IoT機器に感染して被害を広げるマルウェアが出てきた。我々としてはこうしたマルウェアが出てくるのは正直もっと後だと思っていました。しかし、予想よりも早く出現したことで、今後「Mirai」のようなIoT機器に対する攻撃は加速していくと思います。

理由は、現段階で「対策がない」からです。PCやスマートフォン（スマホ）と違い、IoT機器はウィルス対策ソフトなどを入れることができない。また、機器自体が抱えている脆弱性もあります。PCのようにセキュリティパッチが配布されることも今のところないため、手の打ちようがない。こうしたことから考えて、この種類のマルウェアの攻撃は加速していくと考えられます。

一方、ランサムウェアに関しては何ともいえないところがあります。なぜなら、ランサムウェアの新しい種類の出現数は徐々に減っている傾向にあるからです。希望的な観測でいえば、このまま落ち着いてくれればいいと思っています。

ただ、ランサムウェアに引っかかる人が一定数はいて、お金になる限りは（攻撃者も）攻撃を止めない。そのため、すぐに収束することは考えにくいでしょう。お金を払ってでもデータを取り戻さなければならない企業や医療機関は、特にお金になりやすいことを攻撃者も知っているので今後も続くと思います。

――ランサムウェアを含めたマルウェアでは何を注意すべきですか？

マルウェアに感染させる経路という点で説明しましよう。まず感染経路では主にPCになりますが、企業を狙う攻撃の取っ掛かりとして今でもメールを使うことが圧倒的に多い。

次にWebサイトを閲覧した時に自動的に（マルウェアが）ダウンロードがされるという手口です。この場合は業務上見なければいけないサイトに誘導されることが多い。人を呼び寄せるのに効果があるサイトに誘導してマルウェアに感染させるといったことが少なくありません。

ただ、（感染経路として）今は圧倒的にメールが多いと言いましたが、今後は徐々に変わってくると見ています。それはメールではない連絡手段が企業でも浸透して来ているように思えるからです。私自身もメールで連絡を受けることは多いですが、SNS（ソーシャル・ネットワーキング・サービス）など、それ以外の手段でコンタクトを取っている人もいます。

来年から誰もメールを使わなくなるということはないですが、徐々にメール以外のツールで感染することが増えるのではないかと思っています。（SNSで）どのツールが狙われるかは分かりません。ただ、使っているユーザーが多くなればなるほど、そのツールが攻撃される可能性も高くなると考えておいたほうがいいでしょう。

非効率な業務ルールがマルウェア感染の一因になる

――こうした動向を受けて、情シスはどんな対策をするべきでしょうか？

情報システム担当者の方はマルウェア対策について俯瞰的に見て考えることが重要です。その上でセキュリティの「基礎」となる対策を押さえて「何をやったらいいのか」ということ考えるようにしてもらいたいですね。

私たちがいう「基礎」とは大きく2つです。1つは「OS（基本ソフト）やよく使うアプリケーションの状態を最新にしているかどうか」「毎月一回必ずPCのアップデートをしているのか」「不定期ではあるけれど、アドビのソフトやJavaもアップデートしているのか」ということです。

難しいのは、それらが100パーセントできていないとダメなことです。例えば、社内に100台PCがあったとして、99台やっているから大丈夫と安心していてはいけない。100台全てにやらないと意味がないのです。なぜなら、1台だけやっていないがために、そこから感染をしてしまうと、結局はやってないのと同じことになるからです。

100パーセントできていないところが仮にあればそれが非常に危険な状態であるということを念頭においてほしい。ウィルスに感染したり、攻撃をされたりするのはこういったことができていないためなのです。もちろんウィルス対策ソフトを入れて、常に最新の状態にしておくことも重要です。

ここまで話してきたことはテクノロジーでカバーできますが、どうしてもそれだけではカバーできない部分があります。それは実際に業務を行う際の業務フローや手続きに、攻撃者の付け入る隙があるかどうかという点です。これが2つめになります。

ここで重要なのは、「情報を守る側ではなく攻撃する側の視点を持って見直す」ということです。そして、ルールや規則が効率的に業務を行う上で阻害することになっていないかを再度チェックすることが大切です。

セキュリティを担保するためにルールを作ったのはいいけれど、業務を行う上で非効率なルールを強いられているのであれば、それを破って「業務を効率的に行う方法はないか」と考える人が出てきます。その結果、外部からの攻撃を受け被害にあった会社が多くあります。

この例では、昨年に日本年金機構やJTBで大規模な情報漏えいがありました。この2社は対策も正しく行われていたし、セキュリティに無頓着だったわけでもありません。社内のルールやセキュリティの観点からも抜けがない仕組みを作っていました。それにもかかわらず、情報が漏れてしまった。これは、ルールを破った業務をしている現場の人たちが悪いのではなく、そうせざるをえないルールになっていることが悪いのです。

技術や製品が片輪とすると業務フローやセキュリティ上のルールはもう1つの車輪です。両輪があって初めてセキュリティは機能します。業務コンサルタントに依頼している大きな会社は別かもしれませんが、業務フローやルールの改善は会社に所属し実際に業務を回している人たちにしかできない。我々が入ってできることではないのです。

だから、我々が言う「基礎」となる対策が万全に取れているかを再度確認することが大切になります。また、それが継続的に行われ続けられるような体制になっているかも重要なのです。

――そのほかに見落としがちだったり、注意すべきことはありますか？

我々のような情報セキュリティ会社はサイバー攻撃の調査や研究結果レポートをかなりの頻度で出しています。それを見てもらえれば攻撃者がどういう手法でどんなモチベーションでやろうとしているのかを読み取ることができます。

情シスの方々は、そこから「仮に自分が攻撃者で自分の所属している会社を攻撃しようと思ったら何をやるのか」といった視点で考えてもらうと隠された穴を見つけることができると思います。

大企業では「レッドチーム」といわれるセキュリティ専門家が、業務フロー含めて社内でセキュリティの穴がないかを探して報告するということも徐々に増えてきましたが、まだまだ十分とはいえません。一方で、担当者数名で活動されている企業では、ここまでやるのは大変だと思います。

ただし、攻撃者の目線を少しでも入れると今までとは違った考え方が見えてくることはあると思います。重要なのは考え方や目線を少し変えることです。こうすることで大企業のようなレッドチームを編成しなくても、見落としがちな穴を見つけることができる。ぜひ取り組んでもらいたいと思います。

――カスペルスキーとしてはどのような取り組みをしていきますか？

ランサムウェアに特化していうと、ランサムウェア対策機能を搭載したWindowsサーバー用のセキュリティ製品やフリーのツールを提供しています。

法人向けのWindowsサーバー用のセキュリティ製品「Kaspersky Security 10 for Windows Server」では、「アンチクリプター」というランサムウェア対策の機能を搭載しており、ランサムウェアの暗号化攻撃をブロックしてサーバーを守ることができます。

アンチクリプターの管理画面

また、当社はセキュリティ製品をライセンス形式で提供しているので、購入していただいた製品にはどんどん機能を追加しています。そのため、ランサムウェア対策はもちろん、今はやっている攻撃も守ることができます。機能は数年先の傾向を見越して追加をしており、追加した機能に対しての費用はいただいていません。

ツールでは法人向けのランサムウェア対策ツール「Kaspersky Anti-Ransomware Tool for Business」を無料で提供しています。これは英語版のみでダウンロードの際に少し情報を入れていただく必要がありますが、他社のアンチウィルス製品を入れていても追加して利用することができます。

そのほか、欧州刑事警察機構（ユーロポール）、Intel Security、EU（欧州連合）、オランダ警察などと協力して、ランサムウェアの危険性と対策を広く伝えるプロジェクト「No More Ransom（ノーモアランサム）」という取り組みを行っています。こうした点がカスペルスキーの強みだと思っています。

※注1：
マルウェアの一種。パソコンに感染して、ファイルへのアクセスを不能にしたり、ファイルを暗号化し見られないようして、元に戻すための身代金を要求する。
※注2：
ネットワークカメラや家庭用の無線LANルーターなどのIoT機器を乗っ取り、大規模なネットワーク攻撃の一部に利用可能な遠隔操作できるボット（コンピュータを外部から遠隔操作するための不正プログラム）にするマルウェア。

＜インタビューを終えて＞
サイバー攻撃からITシステムを守るには、「全てのPCのOSなどが最新の状態になっている」「業務フローやルールが守られている体制がある」という「基本」を押さえる、そして「攻撃者の視点を持って抜けがないか考える」。前田チーフセキュリティエヴァンゲリストはインタビューでこの点を強調した。特に攻撃者の立場で考えることは、少人数で業務を行っている情シスでもいますぐにでもできることだろう。ぜひ実践してみてほしい。