NTT技術ジャーナル　2018.2 9

特集

エスカレートするサイバー攻撃に立ち向かうNTTグループのセキュリティ

NTT-CERT紹介

NTT-CERTは，NTTセ キ ュ ア プラットフォーム研究所（SC研）の前身 で あ るNTT情 報 流 通 プ ラ ッ トフォーム研究所の取り組みとして2004年10月 1 日 に 活 動 を 開 始 し たNTTの研究所内のCSIRT（Computer Security Incident Response Team）で，NTTグループのコンピュータセキュリティインシデントにかかわる対応，分析，教育や監査，研究開発などを行っています（1）．NTT-CERTは，FIRST（Forum of Incident Response and Security Teams）＊の加盟メンバおよび日本シーサート協議会の初期会員であり，NTT内外のCSIRT，セキュリティチームと連携してさまざまな取り組みを行っています．2012年 4 月1 日以降，所属組織をSC研に移しています．

研究所に設置されたこともあり，NTT-CERTは以下のようなさまざまな役割 ・ 側面を持ちながら，活動を進めてきました．

① 　NTTグループにおける先進的なCSIRT構築運用事例として，ノウハウやツール類を事業会社およびお客さまに展開する研究

開発組織② 　NTTグループ代表CSIRTとし

て，NTTグ ル ー プ 外CSIRTがNTTグループにアクセスする際の窓口機能

③ 　現場ニーズの抽出および研究所へのフィードバックと研究所内成果物の試行的適用

NTTグループは規模が非常に大きいため，グループ中のさまざまなインシデントに対してNTT-CERT単体だけでは技術的支援を行うことはできません．現在，NTTグループには10を超えるCSIRTがあり，互いに連携しながらインシデントの未然防止 ・ 被害極小化に努めています．

脅威情報とCSIRT

脅威情報（Threat Intelligence）と呼ばれる情報にはさまざまなものがあります．例えば，過去に観測された攻撃元IPアドレスや，攻撃時の通信の特徴的な文字列，マルウェアに感染した端末の通信先は分かりやすい例です．一連の攻撃キャンペーンという観点でさらに整理された脅威情報や，選挙等の政治的イベントとの相関をとった脅威情報というものもあります．いずれも，ネットワークログのような単

なるデータを基に，受け取り手にとって脅威となるかどうかという観点でさまざまな段階を経て抽出 ・ 加工されたエキスともいえる知見が脅威情報です．そのため，NTT-CERTでは，幅広い脅威情報の分析と統合に力を入れています．

CSIRTの大きな役割として，品質管理（Security Quality Management Ser-vices）， 事 前 対 応（Proactive Ser-vices）， 事 後 対 応（Reactive Ser-vices）があります（2）．品質管理では，CSIRTはリスク分析，セキュリティコンサルティング，教育などの活動を行っていますが，脅威情報を活用することで，品質管理活動自体の品質を向上できます．例えば，入手した脅威情報を基に自社セキュリティへのリスク分析を行い，会社幹部に報告することが，経営層による舵取りのインプットとなっています．このリスク分析が絵に描いた餅とならないようにするには，複数のルートで入手した脅威情報を，過去のインシデント事例やインターネットセンサから得た自家製の脅威情報と突合し，信頼性を高めること

NTT-CERT CSIRT 脅威情報

＊FIRST：世界中のCSIRTとセキュリティチームの集まりです．組織や国，地域を越えた枠組として1990年に11の組織で設立されました．

NTT-CERTにおける脅威情報の収集 ・ 分析 ・ 活用事例

昨今，より高度なサイバー攻撃に対応するために，CSIRTに代表される社内セキュリティ組織において，サイバー攻撃にかかわる「脅威情報」の活用が進められています．なぜ脅威情報について理解を深め，より高度な情報を取り扱う必要があるのでしょうか．本稿ではその理由の １つとして，脅威情報を活用した攻撃者の動機分析について紹介し，CSIRT活動の現場で脅威情報が実際に役立てられていることを解説します．

今こ ん の

野 俊しゅんいち

一

NTTセキュアプラットフォーム研究所

NTT技術ジャーナル　2018.210

エスカレートするサイバー攻撃に立ち向かうNTTグループのセキュリティ

が必要です．品質管理活動に活用した脅威情報

は，インシデント発生前の事前対応においても役立ちます．インシデントを未然に防ぐためのフィルタリングもさることながら，未検出の攻撃を大量のログからあぶり出すハンティング活動におけるインプットにもなります．

事後対応における脅威情報活用例: サイバー攻撃と動機

インシデントが発生してしまった場合の事後対応においても，脅威情報はCSIRT活動に非常に役立ちます．その理由は，例えば，高度化するサイバー攻撃に対応するためであり，インシデント対応を効率的に行うためです．

サイバー攻撃にはいくつかの動機があります．Netskope社ソリューションアーキテクトのPaolo Passeri氏がサイバー攻撃事例の分析結果を公開して い る「HACKMAGEDDON」（3）のデータを用いて，2016年の世界全体のサイバー攻撃を件数ベースで概観すると，図 １ のとおりとなります．

（1）　サイバー犯罪もっとも件数が多いのはサイバー犯

罪であり，約70％が該当します．一般的には金銭を目的とした攻撃です．2017年に話題となった「WannaCry」

（ワナクライ）や「NotPetya」(ノットペチャ)などに代表されるランサムウェアは，感染したPCの中身を暗号化するなどして容易には読み取れなくすることで，所有者を脅迫し，金銭を支払わせることで攻撃者の目的を達成

します．ランサムウェアのほかにも，ネット企業に対する恐喝型DoS（Denial of Service）というかたちで，金銭を要求する事例もあります．ネット企業にとってサイトの運用継続は生命線であり，例えばネットFX事業者は，WebサイトがDoS攻撃によりサービス停止させられると手数料収入が得られなくなってしまい，事業に大きな打撃を受けます．

（2）　ハクティビズム2 番目はハクティビズムであり，約

15％が該当します．これは攻撃者の思想を誇示するための攻撃であり，Webサイトを改ざんして攻撃者からのメッセージを表示させたり，攻撃者の思想に合致しない組織のサイバー空間における活動を妨害したりします．日本に対する事例としては，満州事変に関連して毎年 ９ 月18日ごろに観察される

「９.18攻撃」など，歴史的特異日にか

かわる攻撃が有名です．そのほかには，世界的なハクティビズム集団であるアノニマスのうち，日本のイルカ漁に反対する勢力による一連の攻撃（オペレーション）「OpKillingBay」（オペレーション ・ キリング ・ ベイ）により，ある水族館のWebサイトがサービス停止させられる事例も発生しています．

（3）　サイバースパイ3 番目はサイバースパイであり，約

10％が該当します．「スパイ」の文字から想像できるとおり，こっそりと情報を盗み出す攻撃です．件数はサイバー犯罪の 7 分の 1 しかありませんが，例えば，数億円かけて開発した機器の設計資料が盗み出されることもあり得るため，件数が少ないからといって軽視はできません．被害者が攻撃を受けていることに気付かないこともあるのが特徴です．

件数ベースサイバー犯罪

「金銭」ハクティビズム

「思想」サイバースパイ

「情報」サイバー戦争

「破壊」

約70％

約15％

約10％約 5％

図 1 　サイバー攻撃と動機

NTT技術ジャーナル　2018.2 11

特集

（4）　サイバー戦争4 番目はサイバー戦争であり，約

5 ％です．これは重要インフラ等の破壊を目的としたものであり，万一発生すれば市民生活に多大な影響を与えるものです．

以上のように，過去の攻撃事例を収集することで，世界中で攻撃者の分析が進められており，TTP（Tactics，Techniques，and Procedures）やツール ・ 攻撃の痕跡に関する情報を蓄積することで，CSIRTにおけるインシデント対応にも役立てられています．

攻撃者の動機とCSIRT活動

組織の名簿が流出するという情報漏洩インシデントが発生し，CSIRTが漏洩した名簿がどのように悪用されているか調査を行うケースでも，攻撃者の分析は重要になります．同じ情報漏洩というインシデントであっても，攻撃者の動機により漏洩した情報の行方は全く異なってくるためです（図 ₂ ）．「サイバー犯罪」を行う攻撃者によ

るインシデントが疑われた場合，漏洩した情報はダークネットなどにおけるアンダーグラウンド空間で売買されている可能性があり，CSIRTはアンダーグラウンド空間の調査を検討することとなります．「ハクティビズム」起因の場合，攻

撃者の思想を宣伝するために漏洩情報が世間に公開されてしまうことを危惧する必要があります．

一方，「サイバースパイ」によるものの場合，CSIRTによる調査はしば

しば暗礁に乗り上げます．サイバースパイを行う攻撃者にとって，奪取した漏洩情報は喉から手が出るほど欲しかった，ノウハウの固まりであり，攻撃者側にとっても他者に渡したくない機密情報となります．

攻撃者が使用していたツール類や被害端末に残っていた痕跡を根拠として攻撃者の動機を推測することで，漏洩情報に関する調査のアプローチが変わってくることがお分かりいただけると思います．

このように，NTT-CERTでは，さまざまな情報源から脅威情報を収集し，分析することで，より高度な攻撃への対応 ・ より効率的な調査が可能となるように活動を進めています．

■参考文献（1） https://www.ntt-cert.org/（2） https://www.cert.org/incident-management/

services.cfm/（3） h t t p : / / w w w . h a c k m a g e d d o n . c o m /

2017/01/1９/2016-cyber-attacks-statistics/

今野 俊一

組織をまたいだ共有が進むさまざまな「脅威情報」は，自組織に役立つものを適切にピックアップし活用していくことで，経営層の舵取りから現場のCSIRT担当者の諸業務に至るまで，正確化 ･効率化の観点で役立ちます．実際に活用している事例として参考になれば幸いです．

◆問い合わせ先NTTセキュアプラットフォーム研究所

TEL 0₄₂₂-₅9-₇₈00FAX 0₄₂₂-₅9-₄1₈₈E-mail　cert ntt-cert.org

サイバー犯罪

・漏洩情報は仕入物品

漏洩情報の行方（例）

・漏洩情報は宣伝材料

・漏洩情報はノウハウ

・アングラサイトで売買

・示威行為の一環で　公開される可能性

・二度と見付からない

ハクティビズム

サイバースパイ

図 ₂ 　漏洩した情報の行方