突撃取材レポート

サイバーセキュリティトレンドと
日本における脅威動向

サイバーセキュリティトレンドと日本における脅威動向

巧妙かつ狡猾にシステムに侵入し、機密情報の窃取や金品の横奪、システム破壊を目的としたサイバー犯罪の急増が世界的な問題となっている。そこで、日本における脅威動向について、フォーティネットが新たに日本に開設したセキュリティ研究専門チーム「FortiGuard Labs」のキーマンに話をうかがった。

ハイパフォーマンスなのに
シンプルで低コストが世界一の理由

フォーティネットは、2000年に設立したネットワークセキュリティアプライアンス製品(UTM、次世代ファイアウォール、セキュア無線LAN、サンドボックスなど)とサブスクリプションサービスを提供するリーディングカンパニーだ。米カリフォルニア州サニーベールに本社を構え、世界100以上の拠点で4000名以上の従業員が働き、約26万5000社の顧客を抱える。
UTMに代表するような、ITセキュリティインフラを簡素化・統合化する形で情報資産の保護を実現する独自技術が特徴で、近年急速に業績を伸ばし、調査会社IDCによると2013年以降はセキュリティ機器出荷台数で世界一の座を独占し続けるなど、今やネットワークセキュリティのリーディングカンパニーとして認知されている。同社の顧客には、「Fortune Global 100」過半数の企業をはじめとして世界的な大規模企業やサービスプロバイダ、政府機関らが名を連ね、日本市場でもセキュリティ機器市場でベンダー売上額、出荷台数ともシェアNo.1の実績を残している。
主力製品の「FortiGate」シリーズは、オリジナルの専用プロセッサ「FortiASIC」と製品に最適化された独自OS「FortiOS」によって、アプリケーションやネットワークへの脅威に対抗する高速化と多層防御機能を実現し、その多彩な製品ポートフォリオはエンドポイントから大規模エンタープライズのセキュリティまでをシームレスかつ広範囲にカバーする。ハイパフォーマンスなのにシンプルで低コスト。それが世界的なニーズに受け入れられた要因だ。

  • 出典: IDC’s Worldwide Quarterly Security Appliance Tracker ? 2015Q3

世界中に散らばるFortiGate
脅威情報を得るためにも重要なセンサー

図1 世界に展開するFortiGuard Labsは24時間体制でセキュリティの調査・研究・分析活動を実施

図1 世界に展開するFortiGuard Labsは24時間体制でセキュリティの調査・研究・分析活動を実施

フォーティネットのあらゆるソリューションやサービスの中核として活動し、フォーティネットが提供するセキュリティの原動力となっているのが、「FortiGuard Labs」(フォーティガード ラボ)と呼ばれる業界最先端のセキュリティ研究専門チームだ。本部をカナダ・バンクーバーに置き、2004年からの12年間でアメリカ、フランス、台湾、シンガポールにも拠点を配備して、200名以上の研究者がグローバルな規模でセキュリティの調査・研究・分析活動を24時間体制で行っている。

図2 累計230万台以上の出荷実績を誇るFortiGateは脅威情報を得るための重要なセンサー

図2 累計230万台以上の出荷実績を誇るFortiGateは脅威情報を得るための重要なセンサー

具体的には、世界の脅威動向を絶えずモニタリングし、マルウェアやボットネットの監視、マルウェアのリバースエンジニアリング、アンチウイルスのシグネチャデータベース作成、ゼロデイ攻撃の分析、新しい脅威に対応するサービスの開発など広範囲に及ぶ。
それを可能にしているのが、セキュリティアプライアンス世界第一位のシェアを持ち、累計230万台以上の出荷実績を誇るFortiGateだ。FortiGuard Labsにとって世界中に配置されたFortiGateは脅威情報を得るための重要なセンサーでもあり、それらから随時収集されるインシデント情報をベースに、サイバーセキュリティトレンドを分析したり、活発な脅威を捉えて適切なシグネチャを配信したりすることで最新の脅威から顧客企業を守っている。

FortiGuard セキュリティストラテジストと呼ばれる所属メンバーはコンサルタントやホワイトハッカー、起業家、研究者、フォーティネット製品のスペシャリストなどの出身者で構成され、サイバー攻撃やサイバー犯罪の実態調査や、各国のセキュリティ関連組織と連携した最新のセキュリティ情報の共有を行い、世界にその成果を公表するほか、フォーティネット製品の機能やサービスの向上にも役立てている。

日本で得られる情報を
世界中の関連機関と共有するエコシステムを形成

そして2015年12月に、日本をターゲットとしたサイバー攻撃に対処する脅威インテリジェンスを顧客企業に提供するため、「FortiGuard Labs」の新たな活動拠点を日本に開設した。拠点としては世界で6番目の開設となる。
「当社にとって日本市場は単独国としては重要な位置を占めていましたが、これまで日本にはFortiGuard セキュリティストラテジストのような専門のスタッフが不在だったため、日本にもFortiGuard Labsを設立し、情報収集と脅威インテリジェンスのフィードバックを行っていくことになりました」
そう説明するのは、FortiGuard Labsの活動拠点を日本に立ち上げた、フォーティネットジャパン株式会社 セキュリティストラテジストの寺下健一氏だ。
日本におけるFortiGuard Labsのミッションは主なものとして次の3つが挙げられる。1つは、日本を狙う脅威への対応。日本を標的としたサイバー攻撃をプロアクティブに分析し、FortiGuard Labsに情報をフィードバックするとともに、分析結果をフォーティネットの製品やサービスの開発部門へエスカレーションを実施することで、日本におけるプロテクション技術の品質向上を図っていく。
2つ目は、日本国内への有益な情報提供。これまではFortiGuard Labsの脅威インテリジェンスの多くが英語圏に対してのみ提供されていたが、今後は日本人のスタッフが日本語でナチュラルかつタイムリーに情報を提供していくことが可能になることで、日本全体で迅速かつプロアクティブなプロテクションを提供していく。

図3 FortiGuard Labsからの脅威インテリジェンスは世界中のフォーティネット製品へサービスとして配信され、再びFortiGuard Labsに環流して関連機関と共有するエコシステムを形成

図3 FortiGuard Labsからの脅威インテリジェンスは世界中のフォーティネット製品へサービスとして配信され、再びFortiGuard Labsに環流して関連機関と共有するエコシステムを形成

3つ目は、日本のセキュリティ機関との連携。日本の各種CERT/CSIRTおよび営利・非営利のセキュリティ関連団体とFortiGuard Labsが連携し、脅威情報の共有を行うとともに、セキュリティの啓蒙活動を推進していく。
既に、JPCERT コーディネーションセンターが事務局を務める「フィッシング対策協議会」や「日本シーサート協議会」などに参加し、加盟組織に情報展開する取り組みを始めている。
「こうした取り組みから得られる情報を『FortiGuard Distribution Network』を経由して世界中のフォーティネット製品に配信し、防御を強化するとともに、FortiGuard Labsにも環流して関連機関と共有するといったエコシステムを形成することが重要な目的となっています」(寺下氏)

サイバー攻撃がグローバルに組織化された
ボーダレスのビジネスに進化

図4 ボーダレスで組織化されたサイバー犯罪組織

図4 ボーダレスで組織化されたサイバー犯罪組織

日本の状況を考えると、昨年マイナンバー制度が始まり、2016年5月の伊勢・志摩サミットや2019年のラグビーワールドカップ、2020年のオリンピック・パラリンピックなど世界的なビッグイベントが控えている中、注目度が高まることで重要組織や企業がサイバー攻撃の格好の標的になりやすいフェーズに入っている。それを寺下氏は懸念する。
「すでに2015年後半から目立ち始めたのは、日本の銀行や個人の潤沢な金融資産をダイレクトに狙うサイバー攻撃の急増です。銀行のポータルサイトを巧妙に偽装し、オンラインバンキングのアカウント情報を窃取したり不正送金を実行したりするケースや、遠隔地からPCを乗っ取ってファイルを人質に取り、仮想通貨などで身代金を要求するランサムウェアも去年から増えています。攻撃側の手口もかつてないほど日本語の精度を高めているため、警戒心の強かった日本人でも騙されやすくなっているのが現状です」
また、こうしたサイバー攻撃の多くがグローバルに組織化されたボーダレスのビジネスに進化しているという。サイバー犯罪の首謀者の裏には、マルウェアの開発者やホスティング業者、アフィリエイター、およびそれらを統括するプロデューサーなどが存在し、ホスティングサーバーをハッキングして正規のサイトの中にサイバー犯罪の土壌を作るという工作を各分野のプロフェッショナルが手際よく実行する。

ある調査によると、サイバー犯罪のROI(投資収益率)が1400%にも達しているという報告もあるという。もはや一大ダークビジネスの手口と化しているサイバー攻撃から、企業が単独で立ち向かうのは難しい。
寺下氏は、「サイバー攻撃がこうした高度で洗練化された組織で運営されており、今後本格的に日本を狙い始めている状況にあることを正しく理解することが重要です」と警告する。

調査を妨害したり攻撃の証拠を隠したりする
マルウェアが増加

特に2016年は、IoT(Internet of Things)の普及によるM2M(Machine to Machine)攻撃の増加とそのデバイス間伝搬が新たな脅威としてクローズアップされるだろうと寺下氏は注目する。
「PCやスマートデバイス以外にも、エアコンや冷蔵庫などのスマート家電、メガネ・腕時計などのウェアラブルデバイス、ゲーム機やおもちゃ、屋内外の監視カメラなど、インターネットに接続してサービスや利便性を向上するマシンが爆発的に増えつつある半面、そのIoTデバイスの脆弱性が大きなリスクになり、デバイス間の通信プロトコルを標的とするエクスプロイトやマルウェアがさらに進化していくと見ています」
IoTデバイスの脆弱性をハッカーが利用し、それらが接続している企業ネットワークやハードウェアへの足掛かりにする攻撃が増える一方で、IoTデバイスを攻撃するよう設計された新種のワームやウイルスがウェアラブル端末から医療系ハードウェアまで膨大な数のデバイス間で伝搬し、それらがボット化してDDoS攻撃を仕掛けてくるなど、その潜在的損害は桁違いの大きさになるというのだ。
また、調査を妨害したり攻撃の証拠を隠したりするやっかいなマルウェアが増えると寺下氏は予測する。2015年に登場した「Rombertik」は深刻な「ブラストウェア」の1つとして大きな注目を集めた。Rombertikは自分がフォレンジックによって解析が実行されていると検出すると、侵入したコンピュータのMBR(マスターブートレコード)を削除し、ほとんどのファイルを暗号化するといった粗暴な破壊活動を行う。破壊ルーチンが完了するとコンピュータは使用不能になり、大抵はデータが失われて復旧できなくなる。
一方、「ゴーストウェア」は多くのセキュリティシステムが検知するはずの侵害の痕跡を消し去るよう設計されているマルウェアだ。攻撃によって引き起こされたデータ損失の程度をフォレンジックすることが今後非常に難しくなるという。
さらに、高度なサンドボックスを回避するゴーストウェアも登場している。サンドボックスはランタイム時の疑わしいファイルの挙動を観察することで隠れたマルウェアや未知のマルウェアを検知するために導入するが、このゴーストウェアはインスペクション中には無害な挙動を見せ、無事にサンドボックスを通過すると不正なペイロードを仕込むという狡猾な行動を起こす。検知を困難にするだけでなくサンドボックスの評価システムに依存する脅威インテリジェンスのメカニズムも無効にしてしまう可能性があるためやっかいだ。

攻撃連鎖のどこかで侵入防止やトラフィックのブロックを
実行する多層防御

図5 フォーティネットが推奨する多層防御のコンセプト。サイバー攻撃の連鎖をどこかで断ち切れば被害を最小限度に抑制できる可能性がある

図5 フォーティネットが推奨する多層防御のコンセプト。サイバー攻撃の連鎖をどこかで断ち切れば被害を最小限度に抑制できる可能性がある

こうした抜け目のない攻撃に対してもFortiGuard Labsでは日々知見を蓄積することで新たな脅威に対応していくという。その手法の1つが、フォーティネットが数年前から取り組んでいる「多層防御」のコンセプトだ。
多層防御とは、アンチスパム、Webフィルター、IPS(侵入防御システム)、アンチウイルス、ボットネットプロテクションなどを駆使して、サイバー犯罪の攻撃から目的達成までのさまざまなプロセス(侵入の方法や拡散の仕方など)のどこかで侵入を防いだり攻撃のトラフィックをブロックしたりすることができれば、最終的に情報の窃取やシステムの破壊を最小限度に防ぐことができるという考え方だ。

この多層防御こそがFortiGateを中心とした多様なポートフォリオを持つフォーティネット最大の特徴といえる。
そして今、セキュリティ業界の常識を覆す取り組みが行われている。それが、2014年5月に発足した「Cyber Threat Alliance」(CTA)だ。発足時の共同創業企業はフォーティネットとパロアルトネットワークスで、その後、インテルセキュリティ(旧マカフィー)、シマンテックといった企業が参加し、普段セキュリティ市場でしのぎを削る競合他社が手を取り合い、協力関係を結ぶ業界初のアライアンスとなっている。サイバー空間の敵対者に対する脅威インテリジェンスやIOC(脅威の存在を示す痕跡)の共有など、緊密な連携によって組織的な取り組みを推進することを目的とする。
従来の協業では、マルウェアのサンプル交換などに限定されていたが、CTAでは参加企業同士がゼロデイ脆弱性に関する情報やボットネットのC&Cサーバー情報、新たな脆弱性やエクスプロイト、ゼロデイ、モバイルの脅威、標的型攻撃(APT)を含むより実用的な脅威情報が提供される。それだけ、民間ベンダー単独ではインターネット史上で最も深刻かつ複雑で、急速に進化している脅威に対処することが難しい状況にあるということかもしれない。

経産省のガイドラインでも多層防御措置を推奨

では、今後本格的にサイバー犯罪組織から狙われることになる日本にとって、どのような対策が必要だろうか。
寺下氏は、「これまで多くの日本の企業や組織は、一般的なセキュリティ対策で社内・組織内のシステムとインターネットの出入り口さえしっかりと管理していれば大丈夫と考えてきましたが、ワイヤレスやモバイル、IoTといったインターネットにつながるデバイスが急速に増え、それらがLANや基幹システムなどに直接的に接続されるようになったことから出入口も増えていると認識すべきでしょう。さまざまな出入口を狙う脅威をブロックするためのセキュリティ製品の精査と選択をいち早く検討することが大前提といえます」とアドバイスする。
また、2015年12月に経済産業省が、独立行政法人情報処理推進機構とともに策定した「サイバーセキュリティ経営ガイドライン」が非常に参考になるという。

そこでは、ITに関するシステムやサービスなどを供給するベンダー企業やITを利活用するユーザー企業の両方の経営者を対象に、サイバーセキュリティ対策を推進するための3原則や、経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISOなど)に指示すべき重要10項目をまとめている。
このガイドラインでは、項目の実現に有効な技術的対策項目として、「マルウェア感染の予防のみならず、感染後の被害回避・低減のために複数の対策を多層に重ねる『多層防御措置』を行うこと」と述べており、フォーティネットの戦略とマッチしている。

脅威のアセスメントを進め
リスクを見える化する取り組みが有効

フォーティネットジャパン株式会社 FortiGuard Labs セキュリティストラテジスト 寺下 健一 氏

フォーティネットジャパン株式会社
FortiGuard Labs
セキュリティストラテジスト
寺下 健一 氏

「FortiGuard Labsのセキュリティリサーチや脅威インテリジェンスから重要情報を選別し日本国内へ随時配信する」と語る寺下氏

しかし、セキュリティ製品の導入において大きな障害となるのがやはり経営層の承認だ。サイバー攻撃の脅威が高まっているとはいえ、セキュリティ対策そのものは直接的には利益を生み出す仕組みではないため、実被害が出ていない状況ではなるべく投資は避けたい、もしくはできるだけ抑えたいというのが本音ではないかと思われる。
寺下氏は、脅威とその対応を具体化するアセスメントを進め、セキュリティリスクを見える化する取り組みが有効だと指摘し、フォーティネットジャパン株式会社では2016年春頃から「Fortinet Cyber Threat Assessment Program」(CTAP)を開始する予定だ。CTAPはFortiGateを一定期間無償で貸し出し、企業が直面している脅威状況をリアルな情報を基にレポート化するアセスメントプログラムで、こうしたサービスも経営層がセキュリティ対策への重要性に気付くきっかけになるかもしれない。
今後、FortiGuard Labsとしては日本のほか東南アジアの拠点(台湾、シンガポール)にも日本専属のスタッフを増員することも検討しており、日本向けの情報提供力強化や海外進出した日本企業へのサポート改善などの面で効果が期待されている。
「当社が長年蓄積してきた脅威データベースやノウハウなどを活用し、また世界中のFortiGuard Labsと連携しながら、FortiGuard Labs独自の新しいサービスやサポートを開発する形で適用領域を拡大したいと考えています」。そう力説する寺下氏の言葉の端々からは、これまで脆弱とされてきた日本のセキュリティ状況を改善して、日本発の革新的なビジョンを示したいという意気込みが感じられた。
CTCSPも、フォーティネットとFortiGuard Labsの取り組みに賛同し、今後も歩調を合わせてサイバーセキュリティ強化に尽力していく考えだ。

ページトップへ