第690号コラム:名和 利男 理事(株式会社サイバーディフェンス研究所 専務理事/上級分析官)
題:「包括的なサイバーセキュリティには、強固なリーダーシップが必要です。」

2020年10月14日、米国ニューヨーク州 金融サービス局が、「Twitter Investigation Report」というタイルとで、同年(2020年)7月に発生した「Twitter社のサイバーセキュリティインシデント(以下、Twitter Hack)の調査レポート」を公表した。

Twitter Hack は、2020年7月15日、17歳のハッカーとその共犯者がTwitter社のネットワークに侵入し、知名度の高いユーザーに割り当てられた数十個のTwitterアカウントを掌握したインシデントである。ハッカーたちは、数時間にわたり、著名人のアカウントを次々と奪い取り、「ビットコインを2倍にする」という詐欺をツイートするなど、世界中が注目した。この数時間の間、Twitter社はこのハッキングを止めることができなかった。

また、このレポートは、オープンソースから得られた「信頼できる情報」をまとめたものであるが、この目的は、Twitter Hack を取り巻く事実、それが発生した理由、および将来のインシデントを防ぐために何ができるかをレビューすることにある。

このコラムにおいて、このレポートから今後日本企業がセキュリティ強化に取り組む上で Twitter Hack を反面教師として参考とすることができると思われる事項について述べたい。ただし、筆者の現場への対処支援の経験や経営層とのディスカッションから得られた状況認識に基づくものである。

1. 持続的な「強固なリーダーシップ」と「シニアレベルの関与」の重要性と必要性が格段に高まった。

・【レポートにおける該当部分】 「問題は上層部から始まっていました。Twitter社は、Twitter Hack の7カ月前の2019年12月以降、最高情報セキュリティ責任者(CISO)を置いていませんでした。強固なリーダーシップとシニアレベルの関与の欠如は、サイバーセキュリティの弱点の共通の原因となります。強力なリーダーシップは、COVID-19のパンデミックによってITとサイバーセキュリティに多くの新しい課題が生じた2020年には特に必要です。」
・【日本企業が得るきべき教訓】 CISOの採用や設置をすればよいというわけではなく、実務能力や行動力の乏しい CISO は存在しないのと同義になる。一部の日本企業では、法務担当の責任者に CISO を兼務させて、セキュリティ問題をコンプライアンスやガバナンスで解決しようとする姿勢が見られる。サイバー脅威に適応するためには、脅威を直視して理解することで初めてリスクを見積もるという出発的に立つことができるが、多忙な役職を兼務させてしまうと、このプロセスをスキップ或いは中途半端にしてしまう。

2. COVID-19パンデミック時におけるリモートワークへの移行時において、「規制当局からのガイダンス」や「さまざまなセキュリティ関連組織からのアラート」に準拠することが非常に重要である。

・【レポートにおける該当部分】 「今年(2020年)の初めには、パンデミックによって生じた新たなセキュリティリスクを特定して評価するよう、規制対象は企業にガイダンスを発行し、他の公的・民間の情報源からも同様のアラートが出されました。注目すべきは、Twitter社が2020年3月以降、遠隔地にいる従業員に対するこのリスクの高まりを緩和するための重要な補償措置を実施しなかったため、ハッカーたちがそれを利用したということです。」
・【日本企業が得るべき教訓】 特に「パンデミックによって生じた新たなセキュリティリスクを特定して評価」するというプロセスを確実に実施する必要がある。日本企業でよく見られる依頼の中に、「他の企業はどのような対策をとっているのか?」や「もっとも導入されているソリューションは何か?」などのように、日本企業ならではの「(伝統的で無自覚な)横並びの意識」や「(制約の多い立場や僅かな権限に起因する)狭い思考と少ない選択肢」をもって、なんとか形だけでも解決策を見出そうとする姿勢がみられる。これを改めるためには、全体を見ている当局からのガイダンスへの準拠が非常に重要であると言える。

3. 周辺で増加傾向にあるサイバー脅威に対する積極的な認識と警戒をしなければならない。

– 【レポートにおける該当部分】 「ハッカーは、Twitterのリモートワークへの移行を直接利用しました。この問題を利用して、ハッカーは、VPNの問題についてTwitterのIT部門から電話がかかってきたように装い、実際のVPNログイン・サイトと同じようにデザインされたウェブサイトに認証情報を入力するように従業員を説得しました。なぜなら、Twitter社の従業員は皆、VPN接続を利用して仕事をしており、IT部門の支援を必要とするようなVPNの問題を日常的に経験していたため、ハッカーたちの主張ははるかに信頼性が高く、最終的に成功しました。」

「今回のハッカーは、電話でソーシャルエンジニアリングを行うビッシング(Vishing)を利用しました。フィッシングとビッシングは、ハッカーがネットワークへのアクセスを得るために用いる最も一般的な手法のひとつです。例えば、2020年1月から7月の間に、同省に提出された重大なサイバーセキュリティインシデントの通知のうち、約3分の1がフィッシングやビッシングを利用したものでした。」

・【日本企業が得るべき教訓】 ソーシャルエンジニアリングと言われる人間の心理を突いたサイバー攻撃(フィッシング詐欺)で利用されるデバイスが、PCからスマートフォンに急激に拡大していることに加え、ビッシングが常態化していることを認識し理解する必要がある。ビッシングとは、「連絡先として偽の電話番号を案内して電話をかけさせ、音声応答システム(IVR)を通じて個人情報を窃取しようとすること」であるが、一般的なセキュリティソリューションでは防止または回避することが難しいものである。このように、従業員の周辺において増加傾向にあるサイバー脅威をしっかり認識し、既存の対策で防止または回避することが可能かどうかを丁寧に評価する必要がある。残念ながら、日本企業の経営層において、数字として増加傾向にあることを「視認」しながら、自組織で発生することは考えにくいという、「己のアナログな経験と知識に影響を受けた、想像力の欠如した見通しを立ててしまう方々」が意外に多い。

4. 社員の個人データが犯罪者により取得されている可能性が高くなっている状況を受け入れる必要がある。

・【レポートにおける該当部分】 「ハッカーたちは、自分たちの欺瞞の信憑性を高めるために、Twitter社とその従業員に関する基本的な情報に依存していました。ハッカーたちは、Twitter社のIT部門になりすますために、Twitter社の従業員の基本的な機能や肩書きを特定する調査を行っていたようです。これらの個人情報で武装したハッカーは、複数のTwitter社員に自分がTwitterのIT部門の人間であると信じ込ませ、認証情報を盗むことに成功しました。」
– 【日本企業が得るべき教訓】 以前より、さまざまなセキュリティリサーチャーが、ソーシャルメディア等から、社員の自宅の住所、職場または個人の携帯電話番号、勤務先、職場または個人の従業員の名前などの個人データが第三者に取得されやすい状況になっていることを繰り返し伝え、いずれ企業に深刻な影響を与えることになると警告してきた。昨年の Twitter Hack がこれを証明した格好になったが、それでもなお、日本企業の多くが学ぼうとせず、むしろ学ぶことを避けるような姿勢さえ見られる。職場において「口だけの人」は信用されないことは、多くのビジネスパーソンが肌で感じているはずである。今後、DXが進む社会や業界において「(無自覚な)口だけの企業」が信用されなくなる恐れがある。

以上、4つの点についてお伝えしたが、一つの企業が 2〜4 のすべてを確実に実現させるためには、どうしても 1 の実現が前提となっていることに注目していただきたい。

今、日本企業は大きな変革の時期を迎えている。その変革の過程において、利益を損なわないよう、並行してセキュリティを確保していくためには、どうしても指導力や統率力の発揮が求められる「強固なリーダーシップ」による「包括的なサイバーセキュリティ」の実現が急務である。

一方、日本の政府機関は、いまだに「相互かつ密接に連携」を追求し続けており、民間企業からみた「強固なリーダーシップ」、つまり真に頼れる司令塔が不在のままである。これも Twitter Hack と同様に反面教師とすることができる。具体的には、「さまざまな政府機関の取り組みに影響を受ける民間企業において発生するストレス」は、「日本企業内部の取り組みにより影響を受ける社員において発生するストレス」と同義であると捉えることができる。

このようなストレスにより、「口だけの企業」や「口だけの人」が増加してしまっていることに、私たちは気づき、そしてサイバー攻撃による損失をできるだけ少なくするための努力と改善を継続していかなければなならない。

以上