全6069文字

桜井:二次攻撃に使われた非公開のメールアドレスはどのようにして漏れたのでしょう

:一次攻撃の時に感染したウイルスを用いて機構内のサーバーからメールアドレスを収集して外部へ送ったと私は思っています。最初に感染したウイルスは大量の個人情報を外部に送り出す機能はなくても、情報収集や報告程度ならできたのではないでしょうか。一次攻撃の後にどんなことが起きていたのかをきちんと調べておけば、二次攻撃への対策ができた可能性もあります。

 実はJTBの事件でも2種類のウイルスが使われていました。1つは先遣部隊のようなもので、「ELIRKS(エリークス)」と呼ばれるものでした。外部のブログに書かれた文章を指令として受ける機能を持っていました。もう1つは「PlugX(プラグエックス)」。これは実行部隊で、遠隔からの命令を受けて動作する機能を持っていました。

実行できないルールは重大な“脆弱性”

桜井:他に注意すべきことはないでしょうか

:運用上可能であれば、外部とインターネットで通じてつながっているネットワークと、重要な情報にアクセスできるパソコンとを切り分けておくことです。また、守れないようなルールを決めて、それで満足しないことです。

 日本年金機構では年金情報をデータベースから取り出して中間サーバー上で作業する際には、作業用に作ったファイルを暗号化することがルールとされていました。しかし実際には漏洩した949個のファイルのうち、暗号化されていたのはわずか7つでした。実行できないルールを作っても意味がありません。また、ルールがどのくらい実行されているかを検証せずに、ルールを作っただけで安心してはいけません。守られないルールを放置しておくことも重大な“脆弱性”なのです。ハードやソフトで脆弱性の“穴”を埋める努力をしても、運用面でそうした“穴”が残っていては意味がありません。

攻撃された時の情報共有方法を決めておく

桜井:公開アドレスを集められるサイトがあるそうですが

:日本年金機構に対する最初の攻撃は公開アドレスを利用したものでした。こうした公開アドレスは手動で探すこともできますが、「Email Hunter」というサイトで調べることもできます。攻撃者は手間を省くため、こうしたサイトも利用している可能性があります。試しにこのサイトで自分の会社や組織のドメインを入力してみましょう。すべてをカバーしているわけではありませんが、自社や自組織がどんなメールアドレスを外部に公開しているかがわかります。そうしたアドレスは攻撃対象の候補になることは知っておくべきでしょう。

公開アドレスを集めている「Email Hunter」。検索の窓にドメインをいれると、このサイトが収集した公開メールアドレスが表示される。無料ではリストの一部しか表示されない

 公開アドレスは、「info@~」など、問い合わせに使われるものや、イベントを開催するときの連絡先として公開されたものです。そのほか、意外に多いのが研究者の論文に掲載されるメールアドレスです。日本年金機構の例にもあるように、公開アドレス経由でウイルスを感染させて非公開アドレスを入手し、それを使って情報流出を伴う攻撃を仕掛けるやり方もあります。個人のアドレスといっても、攻撃に対する注意が必要です。