10月28日、都内にて「ソチ2014から東京2020、情報セキュリティの現在と未来」と題された講演会とその参加者によるパネルディスカッションが行われた。この中で、カスペルスキーラボ 代表取締役会長兼CEO ユージン・カスペルスキー氏は、ソチオリンピックで実施されたサイバーセキュリティ対策の概要と東京オリンピックで予想される攻撃、そしてその対処方法について講演を行った。同社は、2014年のソチオリンピックにおいて、オリンピック委員会のサーバー等ITインフラのITセキュリティを一手に任された企業だ。●ソチとロンドンに学ぶ2020年の東京オリンピックセッションは、まずソチオリンピックの規模や概要についての説明から始まった。ソチでは過去最多の88の国・地域が参加し、選手だけでも3000人規模、観客は130万人にも及び、ボランティアも25,000人が集まったという。ITインフラは、6,800台ものPCと300台以上のサーバーが稼働し、Wi-Fiのアクセスポイントは2,500台が設置されたという。しかし、ソチオリンピックとロンドンオリンピックを比較すると、参加国だけでも204か国と2倍以上に増え種目数は302と3倍以上となる。参加選手数は10,000人を超える。カスペルスキー氏は、夏季オリンピックは冬季に比べて3倍程度の規模になるといい、2020年の東京オリンピックではソチの3倍から5倍のリソースが必要になるのではないかと予想した。それだけ特殊なイベントであり、守りも大変となる。氏が注目する要素は他にもある。2020年までに予想されるコンピューティングやデジタル機器の進歩だ。6年後の技術動向や市場動向を考えるとテレビは4Kの普及が進み、パブリックビューイングなどでは8K中継も予定されている。連動してスマートフォンやタブレットのトラフィックも増えるだろう。「例えば開会式の花火。10万人の観客が一斉に写真をアップロードしたら瞬間のトラフィックはどうなるでしょうか。6年後の平均的な画像サイズを仮に20MBとして、数万人が常に20秒ごとに20MBのアップロードを発生させるかもしれません。」カスペルスキー氏はこのように語り、オリンピック規模のイベントではサイバー攻撃だけでなく、会場のアクセスポイントやモバイルネットワークのようなインフラ整備も重要だと語る。●ソチではどのような攻撃が発生したのかソチオリンピックでは、結果的に、競技や大会運営、テレビ中継などに直接大きな影響を及ぼすサイバーインシデントはゼロ件だった。これは、準備期間中からの組織委員会の管理やカスペルスキーによるセキュリティ対策の結果だが、攻撃そのものがゼロだったわけではない。同社が確認したサイバー攻撃は、1日1000件以上もあったという。そのうち深刻な問題につながる攻撃だけでも50件(1日あたり)以上に上ったそうだ。主な攻撃は、競技場などのスクリーンの改ざん、ランサムウェアによる脅迫、金銭要求(未遂)、DDoS攻撃などで、その他の妨害工作なども多かったという。講演では次の3つが具体的な事例として報告された。1) 職員募集に応募してきたサイバー犯罪者(前科あり)が内部システムにRATを仕掛けようとした。これを検知しサイバー警察に通報した。2) 財務部門のシステムに未知の脆弱性を狙ったトロイの木馬を仕込み(ゼロデイ攻撃)不正送金をしようとしていたマルウェアを検知し排除に成功した。3) 複数の端末にボットネットエージェントらしきものを発見し、データ窃取の動作が確認されたため、ネットワーク構成やアクセス制御などの対策をとった。●50人の専門チームとプロトタイプ投入で重大インシデントゼロソチオリンピック防御のため、同社は1年以上前から準備を進めていたという。2012年12月から対策計画を設計し始め、順次システムのインストールやテストを実施していった。開催の年、2014年の1月からは実際にシステムとチームを稼働させオリンピックの保護にあたった。具体的にはサーバー、PC、Wi-Fiアクセスポイントやネットワーク機器、スクリーンといったデジタルインフラの保護と「マネージド・ディフェンスサービス」としてオンサイトの人員配置や解析チームなどの投入を行った。デジタルインフラの規模は前述したとおりだが、これを50名以上のエキスパートを用意し、うち7名がオンサイトで防御にあたった。50名のエキスパートは、オンサイトのエキスパートの他、アンチウイルス、テクニカルサポート、エンジニアリングサポート、マルウエア対策研究、DDoS対応専門チームに分かれそれぞれの担当分野の防御をこなした。マネージド・ディフェンスサービスでは、GERT(インシデント対応チーム)、デジタルフォレンジック、ヒューリスティックグループ、GReAT(研究・分析チーム)などの人員やソリューションが投入された。さらに、10種類以上のセキュリティ製品を駆使し、当然24時間体制のチームを編成したという。投入した製品にはゼロデイ攻撃も検知するAPT対策のプロトタイプやトラフィックの統計情報から感染やインジェクションを検知する製品のプロトタイプなども含まれていた。プロトタイプによる防御は、攻撃者にとっても未知のツールとなるため効果を発揮したという。●オリンピックでのサイバーインシデントは国の信頼を毀損するでは、2020年の東京オリンピックではどのような攻撃やリスクが予想されるだろうか。カスペルスキー氏は、東京でも、ソチと同様な攻撃が懸念されるという。テレビ中継・ネット中継の妨害、パブリックビューイングやメインスクリーンへの攻撃、公式Webサイトなどの改ざん、ランサムウェア、データ破壊、インフラへの攻撃などに注意すべきだという。ランサムウェアの攻撃では、委員会のシステムやコンピュータをブロックし、回復させるために金銭を要求するわけだが、混乱する現場が、競技中や放送の中断より脅迫に応じてしまう方を選んでしまうかもしれない。単純に競技を妨害したり、政治的なメッセージ等で主催国や組織委員会を攻撃することを目的とする勢力も存在する。テロリズムが、スタジアム、交通機関など物理的なインフラへの攻撃をしかけてくるかもしれない。対応はサイバーセキュリティの範囲を超えるが、現在インフラ攻撃とサイバー攻撃を切り離して考えることはできない。●どのような備えをすべきかカスペルスキー氏は、東京オリンピックでは、まず最悪のシナリオを立ててそれに備えよという。それでも、攻撃者は予期しない手法を繰り出してくる。最悪のシナリオに耐える体制をたてつつも、それ以外の事態が発生しても柔軟かつ機動的な動きができることも重要だという。加えて、システムの設計段階からセキュリティを念頭に置くべきだと、セキュリティバイデザインの重要性を説いた。そして、定期的にセキュリティ監査を実施したり、想定攻撃によるセキュリティ演習、緊急事態用のホットラインなど体制の確立が必要だと述べた。最後にカスペルスキー氏は、「IoTによってすべてのものがインターネットにつながる時代がきているわけだが、それは同時に脅威(Threat)のつながりも広がる「Internet of Threat」でもある。」と述べていた。2020年のオリンピック防御は新しいインフラや脅威に対する備えが鍵となりそうだ。
ロシアの出会い系ゲイアプリの開発者「我々は冬季オリンピックの数日前にブロックされた」~ユーザーに送られた脅迫メッセージ、そして 7 万 2 千人分のプロフィール削除(The Register)2014.2.10 Mon 8:30
