サイバー攻撃によるシステム障害が頻発している。日本企業は実際にどのくらい攻撃されているのか。企業は悪意ある攻撃からどう身を守ればいいのか。サイバー防衛の最前線に潜入し、専門家に知見を求めた。

24年末、GMOグループに1分間600万回の攻撃

東京都世田谷区の用賀駅前にそびえ立つ高層ビル内に、その施設はあった。GMOインターネットグループの「GMOイエラエSOC用賀」。SOCとはセキュリティー・オペレーション・センターの略で、サイバー攻撃を監視する組織のことだ。

扉を開けると、薄暗い部屋にモニターがずらりと並んでいた。ひときわ大きなモニターには地球儀が表示され、世界中から日本に向かって線が伸びている。これはいったい何なのか。

「こちらは世界中から日本に来ている攻撃を可視化したものです。通常はリアルタイムで表示していますが、本日は2024年末にGMOグループが受けた攻撃を再現しています」

2024年末にGMOグループが受けたサイバー攻撃を地球儀上に再現した。世界中から日本に向けて攻撃の線が伸びているが、攻撃の起点は踏み台にされている可能性があり、実際にハッカーがどこにいるかはこれだけでは分からないという(東京都世田谷区のGMOイエラエSOC用賀)

GMOサイバーセキュリティbyイエラエ(東京・渋谷)の熊坂駿吾さんが解説する。24年末、GMOグループは1分間に600万回ものサイバー攻撃を受けたという。それだけサイバー攻撃が激化しているということだ。

熊坂さんはサイバー攻撃から企業ネットワークを守るホワイトハッカーだ。同社では約200人のホワイトハッカーを抱え、企業ネットワークの脆弱性診断やサイバー攻撃の監視などを行っている。

実際の攻撃には段階がある 怪しい動きを早めに察知

では実際に、サイバー攻撃とはどうやって行われるのか。熊坂さんは「映画などではネットワークに簡単に侵入する場面が描かれていますが、実際の攻撃には段階があります」と話す。段階とは①偵察②侵入③拡大④陥落――だ。

まずはサーバーに侵入できるところがないか「偵察」を行い、弱いところから「侵入」する。中にある情報を物色する「拡大」を経て、最後に情報を盗んだり破壊したりする「陥落」に至る。SOCではこうした段階を色分けして可視化している。

情報通信研究機構(NICT)によると、24年のサイバー攻撃関連の通信量は6862億パケットと、前年から約11%増えた。この10年で10倍以上に増える勢いだ。攻撃の内訳を見ると、約6割が調査(偵察)目的だという。この段階で怪しい動きを察知することが被害の防止につながっていく。イエラエ社では、偵察の段階で問題があると判断したら顧客企業に通知している。

GMOサイバーセキュリティbyイエラエのホワイトハッカー、熊坂駿吾さん。学生時代、サイバーテロから日本を守るアニメに感銘を受け、ホワイトハッカーを目指したという(東京都世田谷区)

一瞬で社員証の情報をコピー 社内への不正侵入を試すテスト

サイバー攻撃は外部からだけではない。悪意ある人物が物理的に社内に侵入してしまうと、ネットワークが脅威にさらされるリスクがある。そこでGMOグループはALSOKと組んで「物理ペネトレーションテスト」という新サービスを始めた。どんなテストなのか。ALSOK本社に潜入し、テストの模様を見せてもらった。

エレベーターの前で、封筒を手にした男性が社員と一瞬ぶつかった。男性はそのまま執務フロアへ向かい、ドアの前にあるカードリーダーに封筒をかざすと、ドアが開いてしまった――。

ALSOKの物理ペネトレーションテストの一場面。封筒内に仕込んだ機器で社員証の情報を一瞬でコピーする(東京都港区)

これは模擬テストの一場面だ。封筒の中にはスキミング機器が入っており、社員とぶつかった一瞬で社員証の情報をコピーし、本来なら社員証がないと開かないはずのドアが開いてしまったのだ。すべての社員証がスキミングできるわけではないというが、ほんの一瞬でコピーしてしまうのは驚きだ。

物理ペネトレーションテストでは、ALSOK社員が様々な手段で依頼してきた企業内への侵入を試みる。社員証をコピーしたり、清掃員の格好をして社員と「共連れ」状態でセキュリティーゲートをくぐったり。事前にネットなどで得られる情報や現地視察を基に侵入しやすさなども調べるという。

侵入者は社内に入るとネットワークへの侵入経路を探す。ロックされていないパソコンがあればプログラムを仕込んだUSBメモリーを差し込む。むき出しのLANケーブルがあると不正な端末をつないで外部からの侵入口にする。社長室や役員室に盗聴器が仕掛けられるか調べることもあるという。

LANケーブルを不正な機器に差し込むことで社内ネットワークへの侵入の足がかりにできる(東京都港区)

テストは一部の社員にのみ伝えられ、抜き打ちで行う。物理的な侵入はALSOK、サイバー攻撃に対する脆弱性診断はイエラエ社が担う。テスト後、検出したリスクレベルを報告書で提出する。

社内への不審者侵入、新たなリスクに

サービス導入のきっかけは金融庁のガイドラインだ。金融庁は24年10月、「金融分野におけるサイバーセキュリティに関するガイドライン」を公開し、基本的な実施事項としてペネトレーションテストが記載された。これを受け、大手金融機関の間でテスト実施の機運が高まった。

実際に物理的に侵入してサイバー攻撃につなげるケースはあるのか。ALSOK情報セキュリティサービス推進室長の小野浩司さんは「国内では元従業員が社内に不正に立ち入ってUSBメモリーで個人情報を持ち出し他社に提供した事例があります。海外では核施設にメンテナンス業者を装って侵入した事例もありました」と解説する。

こうした攻撃に備えるには「まずは入退室管理の徹底、USBポートの利用制限、LANへの不正接続防止など、物理、サイバー両面での対策が必要。不審に思ったら声がけしたり通報したりするなど従業員の意識向上も重要です」(小野さん)。

ALSOK情報セキュリティサービス推進室長の小野浩司さんは「金融機関だけでなく、防衛産業や製造業など多くの業種から引き合いが来ている」と話す(東京都港区)

サイバー攻撃の手段は多様化している。セキュリティーシステムが高度化したことで、今度は「人を狙う手口が増えている」とイエラエ社の熊坂さんは指摘する。例えば「クリックフィックス」と呼ばれる、人をだましてウイルスソフトをインストールするよう誘導するような手法が目立つという。

ネットワークを強固にして、常に目を光らせることはもちろん重要だ。その上で社員一人ひとりが意識を高めていくことが、企業全体、ひいては社会の安定につながっていく。サイバー防衛の最前線からは、そんな基本的な教訓が浮かび上がった。

(編集委員 河尻定)

BSテレ東「NIKKEI NEWS NEXT」との連動企画。日本経済を裏から支えている現場を日経記者が訪れ、映像でリポートします。

【潜入!裏側探検隊】

  • ・ガンプラの新工場に潜入! バンダイ系、ガンダム人気で増産体制
  • ・東京湾アクアライン、6車線化は可能なのか 現場に潜入
  • ・知の集積地、国会図書館に潜入 地下書庫はまるで「神殿」
  • ・NEC「超省エネ」データセンター潜入 気流に冷却の知恵

鄭重声明:本文の著作権は原作者に帰属します。記事の転載は情報の伝達のみを目的としており、投資の助言を構成するものではありません。もし侵害行為があれば、すぐにご連絡ください。修正または削除いたします。ありがとうございます。