2019年のクラウドセキュリティを振り返る。アカウント情報の流出単位は「十億件」の大台に。

2019年のクラウドセキュリティを振り返る。(写真:アフロ)

 2019年も僅かとなり、2019年を振り返る記事も増えてきた。筆者も「クラウドセキュリティ」という領域に絞って、2019年を振り返ってみたい。

■アカウント情報の流出単位は「十億件」に到達

 GAFAに代表されるプラットフォームの巨大化。GAFAに限らず、企業のデジタル化は避けられず、デジタル化によって企業が保有する個人情報の数は飛躍的に増大している。そして、他人に「なりすます」ことが可能なユーザアカウント情報は価値を持ち、ダークウェブと呼ばれる「闇市場」で売買されるようになった。企業による大量の個人情報の保有と、それを売る市場の存在によって、2019年は十億件を超えるアカウント情報の流出が発覚する状況になった。

 ・オンライン上のElasticsearchで公開されていた12億件の個人情報を含むレコード

 ・22億件超の流出アカウント情報、ダークウェブで一括公開  

 ・オンラインで公開されていた27億のメールアドレス。そのうち10億以上がパスワードを含んでいた。

 日本で大規模な個人情報漏洩として、2004年に大きな問題となったYahoo!BBの個人情報流出事件。今でも企業のセキュリティインシデントの題材として取り上げられる事案だが、本件による流出件数は450万件であった。それから15年が経過し、もはや450万件程度であれば「少ない」と感じるようになってしまった。

■米金融大手のCapital Oneから、1億600万人を超える情報漏洩

 クラウド化が進む米国金融業界。その中でもCapital Oneは全業務をクラウド上で稼働させていることでも知られており、日本国内の金融機関のリファレンスケースとなることも多かった。そのCapital Oneにて、1億600万人を超える個人情報が漏洩した。

 本件が発覚した当時は、AWSの元従業員が関与しているのではないか?等様々な憶測が流れたが、そのような事実は無かったということで落ち着いている。情報漏洩の原因は、Capital Oneが運用していた独自運用のWAFに設定ミスがあり、サイバー攻撃者によるSSRF攻撃によって脆弱になったAWSのEC2が不正アクセスを受け、大規模な情報漏洩となった。

 本件は、1憶人という膨大な数の情報漏洩や、AWSの設定ミス等がクローズアップされることが多い事案であったが、本質的に注目されるべき点はそこではないと筆者は考えている。他企業が本件から学ぶべきはCapital Oneの見事なインシデントレスポンスだろう。

 Capital Oneは2019年7月17日に外部のセキュリティ研究者から報告を受け、その2日後の2019年7月19日に内部調査によってインシデントの発見に至り、2019年7月29日にプレスリリースを発表し本件について公表している。この迅速な原因解明と対策の実施、インシデント公表は賞賛されるべきものであり、本来このインシデントレスポンスこそセキュリティ侵害を受けた企業の教訓として報道されるべき点だ。

 何故なら、IT設備の設定ミスや、その脆弱性を狙ったサイバー攻撃は誰しもが狙われるリスクがある。膨大な個人情報の流出が許されるわけではないが、インシデントレスポンスの質によって、その後の報道のされ方にも影響を与え、ブランドイメージの損失や顧客離反といった更なる被害へと繋がるからである。そう考えると、Capital Oneの対応は見事であった。もし、外部からの報告で原因の特定や、設定の修正が出来なければ被害はもっと拡大したかもしれないし、内部犯行説の憶測によってIaaS基盤の移行を検討するような事態に陥ったかもしれない。

 「うちはWAFの設定ミスなんてしない」と、本件の一つの側面だけを捉えて他人事と捉えるよりも、「もしも、自社が同様の状況に陥った場合、どのていどの期間を要しただろうか?」と捉え、「もしも」の事態に備えるべきだろう。

■杜撰な個人情報の管理体制を批判されるFacebook

 情報漏洩インシデントに対する企業としての対応が素晴らしかった「Capital One」とは対照的に、あまりに杜撰な対応が目立ったのが米SNS大手のFacebookだった。Facebookを舞台にした情報漏洩が相次ぎ、同社は巨額の制裁金を課せられる事態に陥った。

 ・5億4000万件以上のFacebookのユーザー記録、AWSのサーバで公開状態に

 ・4億人分以上のFacebookアカウントとリンクした電話番号が、パスワードで保護されていないオンラインサーバー上で発見された

 ・2億6700万人のFacebookユーザーIDと電話番号がオンラインで公開  

 Facebookは2018年にも、8700万人の個人情報が流出し不正に流用され批判を浴びていた。この2018年の不正流用を重く見た米連邦取引委員会(FTC)は2019年Facebookに対して約5400億円(50億ドル)の制裁金を支払うことやユーザーデータの保護を強化することを求め、Facebookもこれに合意した。

 興味深い点は、5400億円もの巨額の制裁金を支払ったのだから、さぞかし経営にインパクトが有ったのでは…と思われるかもしれないが、Facebookの2019年1月2日の株価は$135であり、2019年12月26日の株価は$205と大幅な上昇を示しており、これだけ個人情報漏洩を連発し、巨額の制裁金を支払っても、なんら経営に影響を与えないという悪しき前例を作ることになってしまった。 

■揺らぐクラウドの「可用性」。相次ぐ大規模障害が発生

 クラウドの黎明期には、クラウドのセキュリティについて盛んに議論され、時間をかけてその安全性が評価されるようになってきた。一方、クラウドの「可用性」は、分かり易いクラウド利用のメリットとして黎明期から認識されてきた。しかし、2019年はその「可用性」の信頼が揺らいだ年となった。

 ・自治体専用IaaS「Jip-Base」の大規模障害

 ・AWS、東京リージョン23日午後の大規模障害について詳細を報告。冷却システムにバグ、フェイルセーフに失敗、手動操作に切り替えるも反応せず

 ・グーグル、大規模クラウド障害に関する詳細な情報を明らかに

 ・相次ぐOffice365のサービス障害。巨大プラットフォームに依存するリスク。

 昔は重要インフラを作る時は「二重化」することが当たり前だった。しかし、クラウドを利用する際に通信回線を二重化することはあっても「クラウドは止まらない」と過信して、特定プラットフォームに依存しているシステムは少なくない。今後は重要システムにおいては、クラウドプラットフォームの障害を考慮し、「マルチクラウド」を考慮するケースも増えてくると予想する。

■サイバー攻撃に利用され始めたSaaS

 マルウェアの感染経路は依然としてメールがトップで有るが、SaaSを利用したマルウェアの感染や、フィッシング攻撃が確認されるようになってきた。

 ・拡大する正規ツールによる隠蔽手口、マルウェアによる「Slack」の悪用を初確認

 ・ビデオ会議アプリ「Zoom」に脆弱性、Macのカメラに侵害の恐れ--修正へ

 ・Webexへの招待を装い、被害者パソコンの遠隔操作を狙うフィッシングキャンペーンが発生

 2020年も、メールを標的としたサイバー攻撃が主流であることに変わりは無いだろう。しかし、企業のコミュニケーションツールとして、普及しはじめているビジネスチャットツールやオンライン会議ツールに対する攻撃も、徐々にではあるが増加していくと予想する。

■増加するWebスキミング

 国内では、殆ど認識されていないが、米国ではFBIが警告を発する事態にまで発展しているのが、ECサイトを狙ったWebスキミングだ。Webスキミングとはクレジットカード番号を盗み出すサイバー攻撃手法であり、このWebスキミングを専門とした犯罪集団magecartが注目を集めた。

 ・FBI issues warning about e-skimming (Magecart) attacks

 magecartは、誤って書き込み権限を与えてしまっている、AWSのS3を狙ったWebスキミングキャンペーンを実施したことでも注目を集めた。

 ・「Magecart」の新たな攻撃手法、設定ミスのある「Amazon S3」バケット狙う

 国内での認知度が低いMagecartではあるが、攻撃に逢う例は既に発生しており、ユニクロのECサイトがmagecartの被害に逢っている。(但し、ファーストリテイリングの見解としては、本攻撃による情報漏洩発生の可能性は低いとしている)

 ・Uniqlo and The Guardian among thousands of sites loading malicious code from S3

■2020年は東京オリンピックが開催。日本が標的となる年に

 最後に2020年のサイバー攻撃について、筆者の見解を述べたい。2020年は日本にとって東京オリンピックが開催される記念すべき年であり、世界中から日本が注目を集める年であり、サイバー攻撃者にとっても日本を標的にする理由になる年になるだろう。

 実際、過去に開催されたオリンピックはサイバー攻撃の標的になってきた。2012年のロンドンオリンピックでは、2億件を超えるサイバー攻撃を受けその大半はDDoS攻撃であった。2016年のリオ・オリンピックではサイバー攻撃回数は数千万回へと減少したが、攻撃手法が異なり、その攻撃の多くはBotによる攻撃へと変化した。

 サイバー攻撃手法は時代と共に「もっとも効果的な手法」へと変化するが、2020年の東京オリンピックでは「クラウド」を標的にしたサイバー攻撃が増加すると筆者は予想している。想像してみて欲しい、東京オリンピックに間に合わせることを第一優先とし、セキュリティは軽視して突貫工事で作られたIaaS上の東京オリンピックキャンペーンサイトがサイバー攻撃者にどのように映っているかを。

 クラウドの活用はデジタル化を推進する全ての企業にとって重要であり、2020年もクラウド利用は増加するだろう。しかし、利便性だけを優先させたクラウド活用は、必ずどこかにセキュリティホールを作り出す。2019年に発生したクラウドを舞台にしたセキュリティインシデントを振り返り、安全なクラウド活用が進むことを期待したい。