第826号コラム:小山 覚 理事(NTTコミュニケーションズ株式会社 情報セキュリティ部 部長)
題:「アクティブサイバーディフェンスと企業のセキュリティ対策について その3」

2024年6月7日、総理大臣官邸で第1回サイバー安全保障分野での対応能力の向上に向けた有識者会議が開催された。岸田総理は冒頭「サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させることを目標に掲げ、その柱として能動的サイバー防御を導入する」ことを宣言されたそうだ。

通信事業者のセキュリティ対策を担当している筆者にとって、政府が進める「能動的サイバー防御」の動向は大変気になるものの、民間も自社のセキュリティ対策を欧米主要国と同等以上に向上させねばならないのは同じ事情である。
このコラムでは前回(コラム第767号)に引き続き、企業に求められるアクティブサイバーディフェンス(以下、ACD)について考えてみたい。

今回は、昨年5月から公表または報道されている米国政府や重要インフラへの攻撃事案を取り上げさせていただく。これは筆者がACDの成功事例だと考えており、先般の有識者会議の資料にも取り上げられていた「Volt Typhoon」への対応である。

2023年5月24日、マイクロソフトは、グアムなど米国の重要インフラを狙ってサイバー攻撃を行う「Volt Typhoon(中国が支援する攻撃集団)」の攻撃手法を公表した。やや唐突感のある発表だと感じたが、翌月には米国CISA等が連名で「Volt Typhoon」が侵入に悪用したと思われる複数のSOHOルーター等の脆弱性について、製品名を公表して対策を呼び掛けたことで、相当緊迫感のある状況だったことを理解した。

当時のニュース記事には、台湾と近いグアムを標的にした「サイバー攻撃の準備が着々と進行していた」と思わせる表現が控えめに盛り込まれていた。地政学的な有事と同時並行で行われるサイバー攻撃の準備段階と考えられる事案だったようだ。

そして半年が経過した2024年1月31日、米国司法省は「Volt Typhoon」が複数メーカーのSOHOルーター等に仕込んだマルウェア(ボットネット)を強制的に除去したことを公表した。さらに2024年2月7日には米国CISA・NSA・FBIは合同で警告を発し、米国の重要インフラに対する破壊的なサイバー攻撃が可能な状態だったことを認めた。

この報道が事実だとすると、我が国の国家安全保障戦略にある「ア サイバー安全保障分野での対応能力の向上」で想定している状況と酷似した事案がまさに発生していたことになる。国家安全保障戦略には「武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する(原文そのまま)」とある。
そして「(ウ) 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバー等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。(原文そのまま)」である。

安保戦略を読んだ当時は「懸念国の国内にあるサーバーやシステムに侵入して無害化することは、難易度が高すぎるのではないか?」と勝手な心配をしていた。ところが「Volt Typhoon」が攻撃の基盤(ボットネット)に使ったSOHOルーター等は、懸念国の国内ではなく自国内の重要インフラやその周辺にあったのだ。
そして米国CISAがメーカーや製品名を公表して対策を呼びかけても、パッチ当て等の脆弱性対策が進まなかったのか、理由は不明であるが、米国は「Volt Typhoon」がSOHOルーター等に仕込んだマルウェアを、リモートから強制的に除去(無害化)するところまで踏み込んだ対策を行ったことになる。
まさに攻撃者の振る舞いを分析して、アクティブにセキュリティ対策を行うACDのお手本のような取り組みであると感じた次第である。

このVolt Typhoonへの対応と同様の取り組みが、我が国の「能動的サイバー防御(ACD)」で実現できるのか気になるところだが、筆者が考える重要ポイントは、セキュリティ対策が進まないSOHOルーター等のIoT機器の存在が、国を揺るがすリスクに繋がりかねなかった事実である。

米国ではSOHOルーター等に仕込まれたマルウェアを政府が強制的に除去したが、これは一時的な緩和策であり脆弱性パッチのような効果は期待できない。やはり最終的に求められることはIoT機器の脆弱性を無くしていくことだ。

皆さんご存じの通り、日本国内にもリモートから侵入できるSOHOルーター等のIoT機器は多数存在する。このリスクに対応するため、2019年に総務省がNOTICE(脆弱なIoT機器の利用者に注意喚起を行う国家プロジェクト)を開始した。世界的にも先進的な取り組みである。

NOTICEの5年間の成果として、脆弱なIoT機器のリプレイスなど対策が進んだ一方で、根雪のように残りつづける脆弱な機器に対しては、有効な対策が打てていないのが課題だった。そこでNOTICEプロジェクトはルーターやネットワークカメラなどのIoT機器の乗っ取りや、IoTボットネットへの対処を総合的に推進する取り組みを2024年から開始している。

まずは重要インフラ事業者やIoT機器を活用する企業が、攻撃の踏み台にされそうな脆弱なIoT機器を一掃していくマインドを持つことが重要である。地道な取り組みが日本を狙うサイバー攻撃の脅威に対抗する第一歩であると信じて疑わない。

最後まで個人的なコラムにお付き合いいただき有難うございました。

以上

【著作権は、小山氏に属します】