デジタル版鑑識とも言える「デジタル・フォレンジック」は、PC をはじめとする端末などに残された痕跡を解析し、どのようにサイバー攻撃が行われたかを明らかにしていく手法だ。最近は「闇バイト」の捜査手段としても活用されている。
GMOイエラエでもフォレンジック調査サービスを提供してきた。「GMOイエラエというと、Web診断やペネトレーションテストといった『オフェンシブ』なイメージが強いかもしれませんが、実は 2020 年にディフェンシブセキュリティ部が新設され、フォレンジック調査サービスを提供してきました」(坂田成史氏)。着実に実績を重ね、2022 年には、国内でも数社しかいないクレジットカード情報漏洩時の調査を行える PFI(PCI Forensic Investigator)に認定された。また、捜査への協力によって長野県警察から感謝状を受けとるなど、縁の下でさまざまな支援を行ってきた。
「IERAE DAYS」の「意外と身近なデジタル・フォレンジック」では、そんな業務に携わっているディフェンシブセキュリティ部フォレンジック課の坂田成史氏、岩崎剛氏、笠原大空氏、湯田智彦氏が、それぞれの「持ちネタ」を披露した。
●NDA締結も含めた備えが、迅速なフォレンジック調査を可能にする鍵に
坂田氏は、フォレンジック対応から見えてきたセキュリティインシデントやサイバー攻撃全般の傾向について紹介した。
「皆さん、ニュースでサイバー攻撃の増加やランサムウェアによる被害について耳にしていると思います。実際はどうなのか、データを見てみましょう」(坂田氏)
たとえば警視庁がまとめているサイバー攻撃に関するレポートでは、企業・団体におけるランサムウェア被害は 2022 年以降高止まりとなっている。また東京商工リサーチの調査によれば、個人情報を意図的に持ち出す内部不正やデバイス紛失といった事故も増加傾向にある。
では、GMOイエラエが対応してきたインシデントではどうなのだろうか。坂田氏によると、フォレンジック課が対応したインシデントレスポンス支援やフォレンジック調査のうち 8 割が「サイバー攻撃系のインシデント」によるものだった。
興味深いことに、サイバー攻撃関連のインシデントの発覚経緯を見ると、35 %、つまり 3 分の 1 以上が「第三者からの通報」によるものだった。これにはクレジットカード会社や警察からの通報が含まれるが、中には、ランサムウェアのリークサイトで公開された情報を発見した第三者の通報によってようやく発覚したケースもあったという。
またマルウェア感染では、アンチウイルスソフトや EDR で検出したケースもさることながら、システムが暗号化されてはじめてランサムウェア感染に気付くなど、目に見える被害が生じてはじめて認識した場合もある。同様に不正アクセス関連でも、AWS などのパブリッククラウドのアクセスキーが漏洩して悪用された結果、利用料金が急増してから発覚したり、脆弱性を突かれて Webサイトが改ざんされてはじめて気付くといった具合に、事態が進展してからの発覚となるケースが多かったようだ。
次にフォレンジックの調査対象を見ると、「意外にもクライアントPC は少なく、全体にサーバに対する調査が 77 %を占めました。今や、直接クライアントPC を狙う攻撃は攻撃者にとってコストが高くなっており、それよりも、クリティカルな脆弱性が放置された状態で公開されている Webサーバやデータベースサーバから侵入されるケースが多いことが、理由として考えられます」という。
坂田氏はさらに、インシデントが発生してから GMOイエラエが調査を開始するまでどのくらい時間がかかったかも集計した。「マルウェア感染や不正アクセスなど、素早い対応が求められるケースでは、やはり早く調査が開始される傾向にありました。一方、クレジットカード情報が漏洩しての PFI調査では、カード会社との調整やデータの受け渡しに時間がかかる背景もあり、1 ~ 2 ヶ月程度かかる傾向にあります」(坂田氏)。中には、問い合わせがあってから約半年かかった例もあったという。
調査の終了どころか、開始するだけでも、なぜこれほど時間がかかってしまうのだろうか。坂田氏によると、自社の環境をしっかり把握できておらず証拠保全に時間がかかってしまったり、調査会社側のリソースが確保できずにすぐ対応できないといった要因があるという。また意外なことに、秘密保持契約(NDA)の契約締結に時間がかかってしまうケースも目立った。
これを踏まえて坂田氏は、有事に備え、インシデント発生時に速やかに調査できる体制を作っておくことを推奨した。そして、「フォレンジックベンダーとあらかじめ NDA を結んでおくだけでも、インシデントが発生した際にすぐに相談できます。そして、いざというときに素早く判断ができるよう、インシデント発生時に備えたマニュアルを作っておくことで、速やかに調査ができるようになります」と呼びかけた。
●「非保持だから安全」とはいえない、Webスキミング攻撃の手法
続けて岩崎氏が、PFI として調査に当たったクレジットカード情報漏洩の現状について説明を行った。
ここ 10 年あまりを見ても、ECサイト市場は拡大の一途をたどってきた。これに伴って、クレジットカードの不正利用被害も右肩上がりで増加している。中でも、Webサイトなどでクレジットカード情報が漏洩して悪用される「番号の盗用被害」がほとんどを占めており、2023 年には 504 億円を超える被害が発生した。
こうした事態を食い止めるべく、ECサイトでクレジットカード決済を行うには、加盟店、いわゆる店舗側に、セキュリティ対策としてクレジットカード業界のセキュリティ標準である「PCI DSS」へ準拠するか、あるいは「非保持」を選択することが求められている。非保持とは具体的には、顧客のクレジットカード情報を ECサイト側のサーバに保存したり、処理・通過させないようにすることを意味している。
非保持環境では、ひとつの例を挙げれば、ECサイトが用意した決済ページでユーザーがクレジットカード情報を入力すると、その情報は加盟店ではなく、決済代行会社に送られる。ここで認証のための「トークン」が生成され、そのトークンを用いてクレジットカード会社に対して与信照会が行われ、結果を受けて決済が完了する流れになっている。
身の回りの一般ユーザーに対して岩崎氏がヒアリングする限り「ほかのサイトに比べ、ECサイトのセキュリティ対策はしっかりしているイメージがあり、ユーザー側がフィッシングに気をつければ大丈夫だろう」といった声もあるという。にもかかわらず、実際には漏洩事故が後を絶たない。これは一体なぜなのだろうか。
原因としては、基本的な対策が取られていないことだった。「PFI として調査する中で、管理者の認証情報が初期設定のままだったり、脆弱性が放置されていたり、アクセス制御に不備があるといった初歩的な部分での不備が見受けられました」(岩崎氏)
それも、セキュリティ対策として非保持を選択している加盟店の環境で初歩的な不備が目立つという。
攻撃者側は、セキュリティが強固と考えられる決済代行会社やクレジットカード会社などを狙うのは労力やコストがかかる。そのため、基本的な対策が取られていない可能性がある加盟店サーバを狙って、「Webスキミング」と呼ばれる攻撃を仕掛ける。こうして攻撃者は、効率的にユーザーのカード情報を窃取することが可能になる
Webスキミングでは、攻撃者はまず加盟店サーバの不備を突いて侵入し、Webページの動作に必要なプログラムを改ざんして、Webスキミングーーいわば「盗聴」機能を備えたマルウェアを配置してしまう。何も知らずにユーザーがこのページにアクセスすると、入力したクレジットカード情報が決済代行会社に通常通り送信されるのと同時に、背後で攻撃者にも送信されてしまう仕組みだ。「マルウェアが仕込まれ、ユーザーも気付かないうちにクレジットカード情報が送信されてしまいます」(岩崎氏)
岩崎氏はこうした手口が増え、フィッシング以外の方法でも情報漏洩が発生している実態に警鐘を鳴らした。そして「お客様の情報を守るのは加盟店の責任です。非保持でも安全とは言い切れないため、PFI の立場から、EC事業者には PCIDSS準拠を推奨したいと思います」と呼びかけ、ユーザー側も、PCIDSS に準拠したサイトかどうかを見極めの一つの基準として判断してほしいとした。
●モバイルにIoT、デバイスの多様化に伴ってフォレンジック上の留意点も多岐に
笠原氏は、デバイスが多様化した現在、フォレンジックを行う上で留意すべき事柄も多岐にわたってきたことを「証拠保全の現状~PCからIoT機器まで~」と題して説明した。
フォレンジック業務において重要なのは、インシデント発生時の状態を保全する「証拠保全」だ。不用意に対象端末を操作してしまうと、ファイルのタイムスタンプが書き換えられてしまったりして、「攻撃者が実際に何をしたのか」を追跡しきれなくなる恐れがある。
「フォレンジックというと、ログの調査やマルウェアの解析といった作業が一般的なイメージかもしれません。しかし、そもそも証拠保全ができないと調査ができなくなりかねません。証拠保全は、フォレンジック調査の中で最も重要な作業と言っても過言ではありません」(笠原氏)
デジタル技術が身近なものになるにつれ、フォレンジックの調査対象も幅広くなっている。笠原氏は「一般的にはパソコンやサーバがイメージされるかもしれませんが、最近ではクラウドや VPS、モバイルや IoT機器など多種多様なものが対象になっています」とし、それぞれに留意すべきポイントがあるとした。
たとえば、最もポピュラーな Windows OS の場合、ディスクは BitLocker で暗号化されているため、回復キーが必須になる。セキュリティチップなどが組み合わさってさらにセキュリティが堅牢な macOS では、暗号化の解除や設定変更といった操作のためにも、管理者アカウントのパスワードが必須になる。また見落としがちだが「MacBook などは、電源を接続したり、モニタを広げるといった物理的な操作によって意図せず OS が起動する可能性もあり、取り扱いにはちょっと注意が必要です」(笠原氏)
サーバに対する証拠保全を行う場合にもいくつかポイントがある。
たとえば、オンプレミスサーバやレンタルサーバの場合、データセンターへの入館ルールが厳密なためユーザー側で作業を行う場合が少なくない。また、レンタルサーバ事業者が提供するログが限定的なため、別途ユーザー側でログを保全する必要がある点にも注意が必要だ。VPS や AWS をはじめとするクラウド上のインスタンスの場合は、スナップショット機能やイメージ保存機能を活用して証拠保全を行うことができるが、これも作業自体はユーザー側に依頼するケースが多いという。
スマートフォンやタブレットといったモバイルデバイスになると、またちょっと違うアプローチが必要になってくる。基本的にはデバイス上の記憶媒体を対象に保全を行うが、デバイスと連動した PC側のバックアップ機能を用いることが多い。そして時には、基板のハードウェアに直接、物理的にアプローチしてデータを抽出したり、Jailbreak やルート化のように脆弱性や設定不備を突いて高い権限でアクセスし、保全を試みる方法もあるという。
最も多様なのは IoT機器だ。「一口に IoT機器と言っても、自動車やネットワークカメラ、スマート家電など、さまざまな機器が対象になります。さらに、ネットワークカメラでもメーカーや製造時期、バージョンによって基板や OS の機能、セキュリティ機構が異なるため、蓋を開けてみなければわかりません。個別の対応が必要になり、一般化が非常に困難です」(笠原氏)。モバイルデバイス同様、基板のインターフェイスから直接データを抽出したり、はんだごてでメモリを取り外すといった手段を取ることもある一方で、連携するサーバやクラウドサービス側のデータも保全対象となってくる。
このように、デバイスやサービスの多様化に伴って、証拠保全の方法も多様化し、また単一の対象だけでなく、クライアントとサーバ、クラウドにまたがり複数の証拠を調査する場面も増えている。「フォレンジックの際は、発生したインシデントと調査対象の環境を正確に把握し、証拠保全対象を選別することが非常に重要となります」(笠原氏)
●企業からも問い合わせ、想像以上に身近な「サポート詐欺」のリスクと対策
湯田氏はちょっと毛色を変え、「サポート詐欺の問い合わせって意外と多い」というテーマでプレゼンを行った。
サポート詐欺について、すでに耳にしたことのある人も多いだろう。普通に Webサイトを閲覧していると、突然「あなたのパソコンはウイルスに感染しており、危険にさらされています」といった警告が表示され、偽のサポート窓口への連絡を促し、プリペイドカードを購入させて金銭をだまし取る手口だ。偽のサポート窓口が勧める遠隔操作ツールをインストールすると、情報漏洩につながる恐れもある。
フォレンジックとサポート詐欺というと、ちょっと縁遠いようにも思えるが、湯田氏自身も、サポート詐欺に遭遇したことが複数回あり、家族や周りの人間にも経験があるという。「サポート詐欺は急増しており、GMOイエラエにサポート詐欺に関する相談が来ることも少なくありません。何より、思いのほか身近な存在で、どこでも誰でも被害に遭う恐れがあるため取り上げました」(湯田氏)
湯田氏らが確認した限り、偽のサポート窓口はマイクロソフトなど海外の企業をかたることが多く、窓口対応も外国人が片言の日本語で行うことが多い。一方、偽窓口がインストールを勧めてくる遠隔操作ツール自体はマルウェアではなく、企業でも普通に使われている正規の製品が用いられることが多く、アンチウイルスソフトでは検知されないという。
では、サポート詐欺は実際のところ、どれくらいはびこっているのだろうか。GMOイエラエに寄せられた相談でいうと、全体の 6 %程度がサポート詐欺に関するものだった。「6 %というと、それほど多くないように感じるかもしれませんが、これは企業としての依頼をベースにした数字です。プライベートでサポート詐欺に遭う可能性を考えると、もう少し大きな比率になってくると思います」(湯田氏)
調査してみると、サポート詐欺は、偽警告画面の表示、偽のサポート窓口への電話、ツールをインストールしての遠隔操作、サポート対応終了後の金銭要求、そして金銭の支払いと、大きく 5 つのステップに分かれる。このそれぞれで、怪しさを感じて被害を避けられる可能性もあるが、残念ながら金銭支払いを済ませてしまった後に相談を受けることもあるという。
中でも重要な分かれ目が、「遠隔操作されたか、されていないか」だ。「ウイルス感染警告は偽の画面であり、本当に感染している可能性は低く、遠隔操作される前であれば被害はほとんどありません」(湯田氏)。逆に、遠隔操作が行われてしまうと、電話などで知らせた個人情報に加え、端末内のさまざまな情報が閲覧されたり、本物のウイルスに感染するといった懸念が生じるため、本格的な調査が必要になる。
こうなると、具体的な被害内容も把握しにくい。「仮に遠隔操作ツールを介してファイルがコピーされた場合、『どこと接続し、どんな機能が利用された』といった履歴は確認できても、どのファイルが対象になったかの痕跡や記録までは残りません。どのファイルが持ち出されたかを追跡するのが難しくなってしまいます」(湯田氏)
こうしたリスクを減らすためにも、まずはサポート詐欺という手口が存在することを知り、その特徴を理解し、被害に遭わないよう心がけることが第一だ。仮に、警告画面が突然出てきても「これは怪しいな」と思えるようになることが重要であり、偽の警告画面を閉じて指示に従わないようにすべきだという。ただ最近では、警告画面を閉じられないようにする手法も報告されており、その場合は「タスクの終了」などで強制終了させればいい。逆に、「警告画面の指示に従ってしまうと、サポート詐欺の思うつぼになってしまいます」(湯田氏)
特に業務用端末の場合、社内の連絡フローを把握し、サポート詐欺も含め、何か不安に思うような事態が発生したら、社内の担当部署や警察、セキュリティベンダーなどに連絡してほしいと呼びかけ、ぜひ、身を守ってほしいと呼びかけた。
