top of page
検索

見えざる戦場

  • 山崎行政書士事務所
  • 3月15日
  • 読了時間: 18分

ree

第1章 呼び出し

 真夏の午後、行政書士の高木隆二(たかぎ りゅうじ)はスマートフォンの着信音に顔を上げた。画面に表示された発信元は、契約先である国内大手の保険会社だった。高木は40代半ば。ITと法務の両方に精通し、クラウド法務を専門とする異色の行政書士だ。エンジニアとしてのキャリアを持ち、サイバーセキュリティの最新動向やNIST基準にも詳しい彼は、企業からの緊急対応要請に備えて常に準備を怠らない。

 「高木さん、至急お力を貸していただきたいのです」——電話越しの声は緊迫していた。保険会社の情報システム部長からで、社内のシステムが不安定になり顧客向けのWEBサービスが軒並みダウンしているという。嫌な予感が高木の胸をよぎった。システム障害ではなく、外部からの攻撃ではないか——直感的にそう感じたのだ。

 高木は急ぎパソコンを開き、VPN経由で保険会社のネットワークにアクセスした。同時に車に飛び乗り、都内にある保険会社の本社へ向かう。道中、スマートフォンで送られてきたログを確認すると、普段の何十倍ものトラフィックがサーバーに殺到していることが分かった。「これは…DDoS攻撃かもしれない」高木はハンドルを握り締め、額に薄い汗をにじませた。

 分散型サービス拒否攻撃(DDoS攻撃)——高木の脳裏に専門知識が次々と浮かぶ。不特定多数のマシンから一斉に不要なデータやリクエストを送りつけ、サーバーを過負荷に陥らせるサイバー攻撃手法だ。その背後にはボットネットと呼ばれる乗っ取られた多数のコンピュータ群が存在し、指令を受けて一斉攻撃を仕掛けてくる。まるで見えない暴徒の群れがデータの洪水を引き起こし、サービスを機能不全に追い込むようなものだ。

 高木は車中でインシデント対応の手順を頭の中で組み立てていた。幸い、彼はこの保険会社と平時からサイバーセキュリティ対策について顧問契約を結んでおり、緊急時対応の計画書も作成済みだった。【識別】【防御】【検知】【対応】【復旧】——NISTサイバーセキュリティフレームワークの5つの機能が自然と頭に浮かぶ。まずは何が起きているかを識別し、被害拡大を防ぐために防御策を講じ、攻撃の詳細を検知・分析する。そして適切に対応して事態を収束させ、最後に復旧して平常業務に戻す。高木は深呼吸し、目前の戦いに備えた。

第2章 DDoS攻撃

 本社ビルに到着した高木は、セキュリティゲートを抜けてエレベーターに飛び乗った。非常時対応のため、彼には24時間社内に入館できる権限が与えられている。サーバールームに併設された危機対策センターに駆け込むと、情報システム部のメンバーが青ざめた表情でモニターを見つめていた。

 「状況を教えてください」高木は開口一番問いかけ、すぐにモニターに目をやった。大型スクリーンにはリアルタイムの通信状況が可視化されており、社内外のネットワークトラフィックがグラフで示されている。赤い警告が無数に点滅し、異常な通信量を示すグラフの山が画面を埋め尽くしていた。

 ネットワークエンジニアの一人が震える声で答える。「午前までは何事もなかったんですが、14時過ぎ頃から急にアクセスが急増して…現在、当社ウェブサーバーへの通信が通常時の50倍以上になっています。海外の不特定多数のIPアドレスから大量のリクエストが飛んできていて…おそらくDDoS攻撃です」予想が確信に変わった。高木は頷き、即座に指示を出す。

 「まずは外部のトラフィックを絞り込みましょう。WAFとIPSは動作していますか?」 「はい、既に有効化していますが、それを上回る量で…」担当者がキーボードを叩きながら答える。既設のWAF(Webアプリケーションファイアウォール)やIPS(侵入防止システム)は自動的に怪しい通信を遮断するよう設定されている。しかし今回は正規のアクセスを装った大量のリクエストが各地から送られており、フィルタをすり抜けてサーバーに到達していた。

 「典型的なボリューム型攻撃に加えて、アプリケーション層(レイヤ7)への攻撃も混在していますね」高木はモニター上の解析結果を指差した。大量のUDPパケットによる帯域幅圧迫と、HTTPのGET/POSTリクエストによるアプリケーションサーバー高負荷——複数の手口が同時に仕掛けられている。「BotnetによるDNS増幅攻撃も確認できます。攻撃者はオープンリゾルバを悪用して、大量のDNS応答を送りつけてきています」

 状況は深刻だった。顧客が利用するウェブサイトやAPIが軒並みダウンし、問い合わせの電話がコールセンターに殺到しているとの報告も入る。DDoS攻撃の何が厄介かといえば、その手口の多彩さと対策の難しさだ。悪意のある攻撃トラフィックの中に正当なユーザーからの通信も混じっているため、下手に遮断すれば本来の顧客まで巻き添えにしてしまう恐れがある。一方で対応が遅れればサービス停止による信用失墜は避けられない。

 「通信を分析して、明らかに異常なパターンを抽出しましょう」高木は言いながら、自身のノートPCでSIEM(セキュリティ情報イベント管理)システムにアクセスした。SIEMにはネットワーク機器やサーバーからのログが集約されており、機械学習による異常検知機能も備わっている。画面には攻撃と見られる通信の特徴が次々と表示された。異常に大きなペイロードを持つUDPパケット、特定のURLに秒間数百回以上アクセスするリクエスト、通常ではありえない頻度で繰り返されるPOST要求…。高木は素早くフィルタリングルールを追加し、それらの明らかに悪質な通信を遮断する設定を適用した。

 さらに高木はクラウド上のDDoS軽減サービスも活用することを提案した。保険会社は一部システムをクラウドで運用しており、契約しているクラウドプロバイダにはトラフィックを一時的に引き受けて分散処理する「トラフィックスクラubbing」サービスがある。「緊急モードを有効に。外部からのアクセスは一旦クラウド側で処理し、悪質なものをそこで排除します」部長の決裁を仰ぐまでもなく、事前合意されていた対策プランに基づき即座に実行された。

 徐々にではあるが、効果は現れ始めた。最初は完全に応答不能だったウェブサイトが、断続的ながらも応答を返すようになる。トラフィックグラフのピークは依然高いものの、フィルタリングと外部軽減策により幾分下がりつつあった。高木と社員たちは張り詰めた空気の中、瞬きも忘れてモニターを監視し続けた。

 「攻撃者は手を変えてくるかもしれません。気を緩めずに」高木は周囲に声をかけた。DDoS攻撃サービスを提供する闇サイトから簡単に新たな手口を購入できる時代だ。実行役に高度な技術は不要で、金さえ払えば誰でも攻撃ができてしまう。「幸い、現時点でデータの改ざんや漏洩の兆候は見当たりません。ただのサービス妨害目的でしょうか…」部長が息を吐きながらつぶやく。しかし高木の直感は、これが単なる嫌がらせではない可能性を示唆していた。

 (何かがおかしい。狙いは本当にそれだけなのか?)高木は内心の疑問を拭えないまま、次の段階に備えた。攻撃は小康状態に見えるが、まだ予断を許さない。時計を見ると、発生から既に2時間以上が経過していた。

第3章 潜伏する敵

 夕方に差しかかろうとする頃、DDoS攻撃は依然として完全には止んでいなかったが、先ほどまでの猛威はなんとか抑え込んでいた。高木とチームはひとまずの山場を越え、緊急措置が功を奏したことに安堵しかけていた。その矢先——警告音が静かな部屋に再び鳴り響いた。今度は別のシステムからのアラートだった。

 「これは…社内のサーバーから外部への不審な通信?」高木はモニターに新たに表示された警告メッセージを凝視した。SIEM経由で統合監視しているXDR(拡張型検知・対応)プラットフォームからの通知で、社内ネットワーク内の一部端末が不審な外部通信を行っているという内容だ。送信先は見覚えのない海外のIPアドレス、しかも暗号化された通信が断続的に発生している。

 「まさか…侵入されている?」高木は即座に別のコンソールを開き、内部トラフィックを分析する。通信元の端末を特定すると、それは営業部門の社員が使うクライアントPCの一つであることが分かった。さらに調べを進めると、そのPCから社内サーバーへのアクセス履歴に不審な動きが見つかった。まるで内部の機密データを探るかのように、ファイルサーバーやデータベースに深夜や明け方にアクセスした形跡がある。

 高木は背筋に冷たいものが走るのを感じた。これは高度な標的型攻撃——APT(Advanced Persistent Threat:高度標的型持続攻撃)の可能性が高い。攻撃者は長期間潜伏し、目的を達成するまで執拗に活動を続ける。手口としてまずフィッシングメールなどでマルウェアを仕込み、ゼロデイエクスプロイト(未知の脆弱性攻撃)も駆使しながら社内に足がかりを築く。そしてC2(コマンド&コントロール)サーバーと密かに通信し、遠隔から内部ネットワークを思うがままに操ろうとするのだ。

 「部長、至急確認したいことがあります」高木は情報システム部長に声をかけた。「営業部の田中さんのPCが不審な通信をしています。彼女に連絡を取って、心当たりがないか確認してください。それと、そのPCをネットワークから隔離する必要があります」部長は驚いた表情で頷き、すぐさま内線電話で営業部の担当役員に連絡を取り始めた。

 高木はチームの他のメンバーに指示を続ける。「該当PCのネットワーク切断を。ただし電源は落とさないで、フォレンジックのためにそのまま保持しましょう。併せて同様の通信をしている端末が他にないかXDRでスキャンしてください」社員たちは即座に動いた。社内ネットワーク上で、同じC2アドレスへの通信を試みている端末がないか検索がかけられる。

 営業部の田中と連絡が取れた。電話口で震える声が聞こえる。「すみません…私、今日の昼前に取引先を装ったメールを開いてしまって…。添付ファイルに請求書と書かれていたのでつい…」フィッシングメール——やはりそれが発端か。高木は苦い思いで受話器を握った。巧妙に装われた標的型フィッシングメールは、訓練を受けた社員でもうっかり開いてしまうことがある。特に保険会社の営業担当者は日々多くの顧客や取引先とメールのやり取りをしており、不審なメールを見分けるのは容易ではない。

 「大丈夫です、田中さんのせいではありません。すぐ対処しますから」高木は冷静な声で田中を落ち着かせると、受話器を置いた。「マルウェアに感染した可能性が高いですね」と隣のセキュリティ担当が呟く。高木は頷いた。「ええ、恐らくRAT(Remote Access Trojan:遠隔操作型トロイの木馬)が仕込まれたのでしょう。攻撃者はそれを使って社内に侵入し、足場を築いた。その上でDDoS攻撃をしかけ、我々の注意を分散させつつ内部で活動を開始した…考えられる最悪のシナリオです」

 部長の顔色が変わった。「つまり外部からの妨害と同時に、内部にも敵が入り込んでいると?」 「可能性は高いです。このままでは機密データが盗まれたり、システムを破壊されたりする恐れがあります」高木はキーボードを叩きながら答えた。「侵入経路の特定と被害範囲の把握を急ぎましょう。サーバーログや認証ログを徹底的に洗います。あと、念のため重要なデータベースやサーバーへのアクセス権を一時的に最低限に絞ってください」

 社内は再び緊張が走った。DDoS攻撃対応で疲労が見え始めていたメンバーたちも、新たな脅威の出現に気を引き締め直す。これは単なるサービス妨害ではなく、明確な意図を持った標的型攻撃だ——高木は危機感を募らせた。

第4章 死闘

 高木と社内チームは直ちにインシデント対応のフェーズを切り替えた。検知と分析から封じ込め、排除の段階へ——社内に潜む攻撃者を追い出すための死闘が幕を開けたのである。

 XDRのスキャン結果が上がってきた。営業部田中のPC以外に、もう二台の端末が同じC2サーバーとの通信を試みてブロックされていた。その一つは開発部門のサーバーで、もう一つは役員用ノートPCだった。高木は即座にそれらの端末もネットワークから隔離させる。同時に、ネットワーク全体で当該C2アドレス宛の通信を禁止する新しいファイアウォールルールを適用した。これで攻撃者の遠隔操作はひとまず遮断できるはずだ。

 しかし敵も黙ってはいなかった。隔離措置を取った矢先から、今度は別の経路で社内に侵入しようとする動きが観測されたのだ。外部との通信ログに、新たな未知のIPアドレスとのやり取りが検出された。「別のC2を用意していたのか…」高木は悔しさを噛み締めた。巧妙な攻撃者はバックアップの経路を複数用意していることが多い。まさに持続的(Persistent)という名の通り、容易には諦めないのだ。

 「徹底的に洗い出します。ネットワーク内の全通信を監視して、不審な挙動は逐次遮断しましょう」高木は追加のセキュリティ対策ツールを投入する決断をした。彼が緊急用に用意していたメモリ解析ツールやネットワークフォレンジック用の機器が投入される。感染が疑われる端末のメモリダンプを取得し、マルウェアの痕跡を解析チームに回す。簡易的なデジタルフォレンジックラボが即席で社内に立ち上がった。

 数時間にわたる格闘の末、ついに攻撃者の手口の全貌が見えてきた。判明した進入経路と被害状況は以下の通りだった。

  1. 初期侵入: フィッシングメールを介して営業部社員のPCにマルウェアを実行させ、社内ネットワークへの足掛かりを得た。添付ファイルのOffice文書に仕込まれたマクロがゼロデイ脆弱性を悪用し、バックドアをインストールしたと推測される。

  2. 偵察と横展開: 最初のPCから社内ネットワークを静かに偵察し、平常時の夜間にかけて複数のサーバーや端末に移動(ラテラルムーブメント)して権限を拡大していった。Active Directoryの管理者権限アカウントに不正アクセスされた可能性が高い。

  3. 目的の実行: 攻撃者の目的はおそらく機密データの窃取か破壊である。検出された不審な通信はデータの一部を圧縮・暗号化し外部に転送しようとした痕跡だった。顧客の個人情報や契約データが狙われていた可能性がある。

  4. 妨害工作: DDoS攻撃は内部侵入への対応を遅らせ攪乱する目的で同時に仕掛けられたと考えられる。社内対応チームの注意をインフラ障害へ向けさせている隙に、攻撃者は内部で活動を活発化させた。

 この報告を受け、役員会議室では緊急の幹部会議が開かれていた。高木も技術顧問として同席し、社長以下経営陣に現状を説明する。「残念ながら、我々はサイバー攻撃を受け、内部に一時侵入を許しました。しかし早期に検知し、主要な侵入経路は遮断済みです。現在判明している限り、システム破壊等の被害は発生していませんが、一部のデータが外部に送信された可能性があります」

 社長の表情は硬い。「どの程度の情報が漏れたのかね?」 「詳細は現在分析中です。幸い通信量は大きくなく、顧客データベース全体など大量の情報が抜かれた形跡はありません。ただ、不正アクセスがどの範囲に及んだか全容解明には時間を要します」と高木は率直に答えた。危機対応においては状況の正確な共有が不可欠だ。

 「警察や関係当局への連絡は?」別の役員が尋ねる。 「はい、既に警察庁および経産省にも相談しています」と情報システム部長が応じた。「今回の攻撃は当社単独への犯行なのか、それとも他にも同様の被害が出ているのか、当局とも情報共有を進めています」

 「顧客への説明はどうする?」広報担当役員が声を上げる。「サービスが数時間にわたって使えなかった。問い合わせも増えている。このままでは明日のニュースに出てしまうかもしれない」 社長は深刻な面持ちでうなずいた。「事態を把握し次第、適切に公表しお詫びと説明をする必要があるだろう。高木先生、引き続き対応にあたっていただけますね?」 「もちろんです。最後までお手伝いいたします」高木は力強く答えた。行政書士として、事件の記録や当局への届出、被害報告書の作成といった法的手続きのサポートも彼の役目だ。技術と法務、その両面からこの会社を守る——それが自分に課せられた使命だった。

第5章 国家の影

 夜半、高木は警察庁のサイバー犯罪対策課および政府機関の担当者たちとオンライン会議を行っていた。企業のセキュリティインシデント対応において、重大案件では速やかに政府との連携が図られる。今回は手口の巧妙さといい、同日他の企業でも類似のDDoS攻撃が発生していたことから、国家レベルでの警戒が強まっていた。

 「高木さんの分析によれば、DDoS攻撃とAPT攻撃が同時に仕掛けられたとのことですが、そのような手口に心当たりはありますか?」警察庁の担当官が尋ねる。画面越しに映るその表情からも、事態の重大さが窺えた。

 「はい。非常に計画的で高水準な攻撃です。海外の高度なサイバー犯罪グループ、あるいは国家支援を受けたAPTグループの関与が疑われます」高木は自身がまとめた技術分析レポートを共有しながら説明した。「マルウェアのコードから、一部既知のAPTグループのツールとの類似点が見つかりました。またC2サーバーのドメイン登録情報を国際的な情報共有データベースで調べたところ、過去に政府機関への攻撃で使われたものと関連性が指摘されています」

 その場に一瞬静寂が漂った。国家規模のサイバー攻撃——誰もが頭をよぎるものの、口に出すのをはばかる言葉だった。もし事態がエスカレートすれば、一企業の被害に留まらず国民生活や安全保障にも影響しかねない。「今回の攻撃者の目的は何なのでしょうか?」経済産業省の担当者が慎重に言葉を選びながら尋ねる。

 「断定はできませんが、恐らく日本企業から知的財産や個人情報を大規模に盗み出すこと、あるいは重要インフラに対して混乱を引き起こすことが目的かもしれません」高木は答えた。「保険会社が標的になったのも、医療や年金に関する大量の個人データが蓄積されているからでしょう。機密性の高い情報を掌握し、人質にとることで日本社会に不安を与える狙いも考えられます」

 警察庁の捜査員が頷く。「実は、他の金融機関や通信企業にも同様のアクセス試行が確認されています。本日夕方までに複数の企業から通信障害の報告が上がっており、その裏付けを取っているところです。どうやら特定の一社を狙った犯行ではなく、広範囲にわたるサイバー攻撃キャンペーンの一環のようです」

 オンライン会議の雰囲気は緊迫したものとなった。政府内では国家サイバーセキュリティセンター(NISC)への報告も行われ、必要に応じて自衛隊のサイバー防衛隊とも協力して対策に当たる準備が進められていた。幸いにも高木たちの迅速な対応で、当該保険会社での被害は最小限に抑えられつつあったが、これが終わりではない。氷山の一角に過ぎない可能性があるのだ。

 高木はその夜ほとんど眠らずに対応に明け暮れた。警察への被害届作成や証拠となるログ・メモリイメージの提出、JPCERT/コーディネーションセンターへのインシデント報告――行政書士としての業務も山積していたが、彼の胸の内には不思議な充実感があった。かつてエンジニアとしてネットワークと格闘していた自分のスキルと、法務の知識が今まさに社会を守るために役立っている。サイバーセキュリティの専門家としてこれ以上のやりがいはない、と彼は感じていた。

第6章 明日への備え

 翌週、保険会社のシステムは完全に復旧し、通常業務へと戻っていた。DDoS攻撃はあれから程なく沈静化し、APT攻撃による深刻な被害も幸いにして発生しなかった。世間には一時的なシステム障害として簡潔に公表され、顧客情報流出の可能性についても調査中と説明がなされた。社内では再発防止に向けた抜本的なセキュリティ強化策の検討が始まっている。

 高木は会議室で開かれたインシデント報告会に出席していた。経営陣と各部門の管理職が集まり、今回のサイバー攻撃から得られた教訓と今後の対策について議論が行われる。「高木先生、今回の件で我々が取るべき対策についてご提言をお願いします」社長から促され、高木は席から立ち上がった。

 「まず第一に、人(ヒューマン)への対策強化です」高木はスクリーンに資料を映し出した。「具体的にはセキュリティ教育と訓練の徹底です。標的型フィッシングメールの手口はますます巧妙化しています。社員が不審なメールを受け取った際に適切に対処できるよう、定期的な訓練を実施しましょう。また、万一不審なファイルを開いてしまった場合でも早急に自己申告できるような風通しの良い環境作りも重要です」

 役員たちが真剣に頷く。続けて高木は第二の提言に移った。「技術的対策の多層防御化です。今回、WAFやIPS、SIEM、XDRといった各種システムが大きな助けとなりました。しかしそれぞれの設定や活用方法について、改めて最適化が必要です。例えばWAFのルールセットを最新化し、未知の攻撃パターンに対応できるよう機械学習型のエンジンを導入することも検討すべきです。さらに、エンドポイントセキュリティを強化し、クライアントPCにEDR(Endpoint Detection and Response)を全面展開することで端末レベルでの検知能力を高めます」

 スライドには社内ネットワーク図と共に、多層防御のイメージが表示されている。境界防御、防御壁の内側での監視、さらには万一突破された際の検知と素早い対応——幾重にも防御網を張り巡らせる考え方だ。

 そして第三に、と高木は一呼吸おいて続けた。「フレームワークに基づく継続的なセキュリティ運用です。私は平時からNISTのサイバーセキュリティフレームワークに則った対策を助言してきましたが、今後はさらにこれを発展させましょう。具体的には、定期的なリスクアセスメントと脆弱性診断の実施(Identify)、重要システムへの多要素認証やゼロトラストネットワークアーキテクチャの導入(Protect)、SOC(セキュリティ監視センター)の強化による侵入兆候のリアルタイム監視(Detect)、インシデント対応手順書の整備と演習(Respond)、そしてバックアップ体制の拡充と事後検証プロセスの確立(Recover)です」——一つひとつの言葉に重みを込め、高木は語った。

 提言を終えると、会議室内にはしばし静寂が訪れた。やがて社長が口を開く。「高木先生のおっしゃる通りだ。我々は幸運にも大惨事を免れたが、次も無事でいられる保証はない。これを機に徹底的に体制を見直そう」幹部たちも力強くそれに同意した。

 会議後、高木は社長室に呼ばれた。「改めてお礼を申し上げます。先生のご尽力がなければ、我々は甚大な被害を受けていたでしょう」社長は深々と頭を下げた。「いえ、私だけの力ではありません。社員の皆さんが懸命に対応してくださった結果です」高木は控えめに微笑んだ。

 窓の外には夏空が広がり、入道雲がゆっくりと形を変えている。平穏に見えるその日常の裏で、確かに戦いは存在した。ニュースに大きく取り上げられることもなく、人知れず阻止されたサイバー攻撃。しかし高木は知っている。この見えざる戦場での戦いはこれからも続くことを。新たな敵は日々巧妙さを増しながら社会の隙を狙っている。だからこそ彼はこれからも最前線に立ち続けるだろう。行政書士という立場を超え、技術者として、そして社会の一員として——人々の平和な生活を陰から支える守り手であり続けるために。

 高木隆二は静かに拳を握りしめた。次に同じような電話が鳴ったとき、彼はまた毅然と立ち向かうに違いない。見えない戦いの火種は尽きることがなくとも、彼の中の情熱もまた尽きることはないのだから。

 
 
 

コメント

bottom of page