Cyber SecurityサウナJapan

河野:
みなさんこんにちは。あるいはこんばんは。『Cyber SecurityサウナJapan』へようこそ。このポッドキャストでは、サイバーセキュリティに関するサウナのようなホットなトピックをお届けします。
ホストを務めるのはウィズセキュア株式会社法人営業本部、今週末は北海道・鶴居村、日本の国産バレルサウナ『サムライサウナ』にトライする予定のサウナ大好き河野真一郎と、

トゥオミ:
同じくウィズセキュア日本法人のプリンシパルセキュリティコンサルタントを務めている、アンッティです。最近フィリピンから戻ってきたばかりですが、フィリピンではサウナ浴びなかったです。

河野:
さて、今日の『Cyber SecurityサウナJapan』は 2022年末に報道された、情報漏えいのインシデントと、インシデントに対する対策や個人ユーザーに向けたアドバイスについて、アンッティさんと河野でお話していこうと思います。

「LastPassにセキュリティ侵害--8月のハッキングが原因」というトピックを取り上げます。

「パスワード管理サービス大手のLastPassは米国時間11月30日、セキュリティ侵害があったことをブログ記事で明らかにした。同社のシステムが8月にハッキングされたことに直接起因しているとのこと。」という報道がありました。

LastPass社は、公式ブログにて CEOのコメントとして
「権限を有していない何者かが、8月のインシデントで得た情報を使い、顧客情報の特定の要素にアクセスした」と述べた。しかし「顧客のパスワードは同社のZero Knowledgeアーキテクチャにより、安全に暗号化されたままだ」　とのことです。

Notice of Recent Security Incident
https://blog.lastpass.com/2022/11/notice-of-recent-security-incident/

パスワードの情報漏えいを防ぐためにこのようなパスワードマネージャーを使用している個人ユーザーはとても多いと思います。
実際にSaaS提供事業者、パスワード管理ソフト事業者に対して、インシデントを悪用し、個人情報にアクセスできてしまったというインシデントのため、ウィズセキュアにお問い合わせをいただいている日本国内のSaaS事業者さんたちが最も気にするようなインシデントが発生してしまった、というふうに思っているのですが、アンッティさんはこれをどうみますか？

トゥオミ:
そうですね。確かにこういう状況は非常に厳しい状況ですね。しっかり8月の侵入は検知できましたことは、いいですね。ただしそれからの対応がうまくできたかとか、それから、完全にその攻撃者を排除できたかどうかとか、それからの対応の部分は少し多分力不足でしたかなと思われますね。
やはりこういう場合ですとお客さんの個人情報を扱っていますので、信頼性がかなり必要なビジネスになっていますよね。そういう場合はですね、どうしても予防の分も、検知の分も対応の分もしっかりしないと、やはりまずい状況になる可能性が高くなりますね。
ここでは少し残念ながら、まさに検知ができていても、個人ユーザーへの影響までを呼ぶ可能性も高いですね。

河野:
アンッティさん、ありがとうございます。
それでは、こういったパスワード管理のやり方として、個人ユーザーとしては、どうしても同じパスワードを複数のWebサービスで同じパスワードを使い回してしまうというやり方や、複数あるパスワードを手元のパソコンやスマホのテキストメモやエクセルファイルなどに全部記載してしまう、というような使い方をしている人もかなりいると想定しているのですが、パスワードマネージャーのサービスを使用した方がいいのか、また、パスワードマネージャーのサービスを使用するにあたり気をつけた方が良い点について、アンッティさんはどんなアドバイスをしますか？

トゥオミ:
実はですね、個人的にも最初はこのパスワードマネージャーというアプリケーションが出ていた時にはですね、自分もこういうなんていうか、パターンに基づいてパスワードを作っていますので、パスワードマネージャーなんていらないと思ってました。ただし、後から反省しますと、それはかなり間違っていました。
今はですね、数年間、パスワードマネージャーを使っていますが、そちらのいいポイントとしてはですね、例えば何かのパターンに基づくパスワードを思いつく必要はそもそもなくなります。そもそもそういうパスワードを思いつく必要がないですね。それは非常にいいですね。ある意味でそのパターンに基づいてどういうサイトでどういうパスワード使っていましたかっていうことよりは、パスワードマネージャーを使うと、1つのパスワードをしか知らなくていい、っていうタイプの世界になります。なので、自分の強い1つのパスワードさえ覚えていれば、他のサイトのパスワードは知らなくても全然大丈夫です。なので、そういう観点ではかなりこのパスワードマネージャーを使った方がいいということは事実だと思っています。
ただし、先ほど河野さんもおっしゃったこのパスワードマネージャーサービスを使った方がいいですかと言っていうことについてですが、個人的にはですね、一番推奨しているのは、オフラインで使えるパスワードマネージャーのソフトウェアですね。
つまり、パスワードファイルをクラウド上で保存することよりは、やはり自分の端末で保存できる方が一番望ましいです。特に法人環境ですと、そちらの方が一番いいですね。そうすると、第三者のクラウドサービスに頼らなくても、そのパスワードを保存できますし、管理できます。
とは言え、その一方で例えばパソコンの上ではそのパスワードマネージャーを使っていて、例えば何かのサイトにログインしようとすると、そのパソコンでログインします。簡単にパスワードマネージャーを使ってそのサイトにログインできます。
ただ、同じく例えば自分の携帯でログインしようとすると、オフラインのままですと、携帯にパスワードを同期できなくなってしまう可能性がありますね。そのためにやはり個人ユーザーとしては、自分もちょっと最近クラウド系のパスワードマネージャーサービスを使っています。
セキュリティと便利さのいいバランスポイントが必要ですが、個人向けのものは今のところはクラウド系の、例えば携帯でも使えるシステムを使って、仕事の中ではオフライン系を使っています。

河野:
アンッティさん、ありがとうございます。
あと先ほど河野のコメントで、ウィズセキュアにお問い合わせをいただいてる日本国内のSaaS事業者さんが最も気にするようなインシデントっていうふうにコメントしたんですが、この点についてちょっとアンッティさんとお話していきたいと思ってるんですが。
今回のLastPassの場合、昨年8月にインシデントが発見されて、これを悪用されて攻撃されてしまったというふうに言っていましたが、あるべき姿として、本来であれば、8月に発見されたインシデントが見つかったタイミングで即座にこういった情報を公開するべきだったのか？また、見つかったインシデントに対してセキュリティテストみたいなものをどんなタイミングでやるべきだったのか？といった点に関しては、アンディさんはどう考えますか？

トゥオミ:
こういうタイプの重要なサービスと、その他の当然お客さんの情報を扱っている企業ですと、やはり予防が一番重要ですよね。理想論としては完全そのインシデントを予防できたっていうことは一番、望ましいですよね。なので、まずはしっかりこういうセキュリティテストとかセキュリティ診断とか開発の中とか設計の中でのセキュリティアーキテクチャとかそういうことに基づいて、継続的にセキュリティを実装したほうが一番よかったですね。
こちらはもちろんただの理想論にはなっていますので、完全に侵入を防げるっていうことは言い切れないですので、今回は残念ながら侵入になってしまいました。そこからのいいところとしては、実際に検知できたところですが、やはりしっかり侵入した攻撃者を排除しないとまだその環境の中で潜んでしまうという可能性があります。なので、インシデントレスポンスと対応とか、フォレンジックとそもそも侵入できた原因の対応とか、それからの監視などが必要になってきましたね。
ここではちょっと残念ながらその予防と対応の部分が足りていなかったようですので、やはりどうしても1つだけの、1つだけの領域で、例えば検知だけにすごくお金を入れますとか、予防だけやりますが検知はしないとか、検知していても対応がしないとか、1つが欠けているとやはりインシデント、大規模の影響になる可能性が高いですよねと、一番この話を見ている間に考えていました。

河野:
攻撃者が排除できなかったというのは、どういう原因が考えられますか？

トゥオミ:
本件については詳細が公開されてないと思いますが、いくつかの事例的なものを申し上げますと、まずは例えば昔自分がこういうインシデント対応に参加していたときの1つの事例ですが、インシデント対応とか、フォレンジックの原因になった攻撃者は、実は初めての攻撃者、初めて侵入できた攻撃者ではなかったんですね。
なので、最初の検知が起きた時は、実は他の攻撃者もそのシステムに入ってました。なので、もしかしたら例えば1つの穴があっていても、別々に攻撃者が入ってるということも考えられますね。そうするとやはり、別々のツールとか別々の方法でシステムの中で動いてるっていう可能性もありますので、しっかり全ての攻撃者を排除しないとダメですね。というのはかなり難しいところですね。
あとは、いくつか他の原因も考えられますが、例えば最初の侵入経路としては、例えば何かのサーバーの上の脆弱性だったり、社員のパスワードが盗まれましたとか、そういう原因が考えられます。ただし、それを防いでても、攻撃者が1回侵入したら、何かの方法を使って、そのゴールを取れるようにしたいというのは、いわゆるpersistence (持続性) ということですね。
つまり、例えばサーバーをリブートしていても、そのサーバーの中からコマンドを置いてるバックドアが立ち上がる、というタイプのことを行いますね。
なので、最初に侵入経路以外にも、他のところも攻撃者が使っているツールとか変更した設定とか、そういうことを全て検知して戻さないと、侵入が続いてしまう可能性があります。
ここではですね、社内でもかなり優秀なインシデント対応のチームとかエンジニアがいても、やはり実際に攻撃者が既に侵入していて行動しているということであれば、やはり時間も1つの問題になりますね。例えば、対応しているチームが追いつけなかったら、攻撃者としては別のバックドア的なとかコマンドコントロールのルートをインストールすることができてしまうという可能性もあります。
なので、こういう実際にインシデントになった場合は、大体の企業ですとやはり外部でのインシデント対応とか、少なくとも検知とかスレットハンティングで実際に排除できたかどうか、という確認の外部委託をしていることが多いですね。

河野:
アンッティさんとは、こういったインシデントレスポンス、あるいはお客様のシステムに対して侵入されてしまったっていうことについて、社内でディスカッションすることはよくあるんですが、やはり1つでもインシデントの情報があった場合、複数の攻撃者が入ってくるリスクがある、また徹底的な洗い出しが必要となってくるフォレンジックが必要となってくるというのは、このポッドキャストを聞いてる皆様の中でも参考になるんじゃないかなと思いました。
今回情報漏えいがありましたけど、LastPass社のZero Knowledgeアーキテクチャと書いてましたけど、これはそもそもどういうことなのか、問題はないと考えてもよいのでしょうか？

トゥオミ:
このZero Knowledgeアーキテクチャというのは、実際にパスワードを保存している、いわゆるパスワードVaultはですね、Vaultの実際の暗号化鍵が知っているのはユーザーのみですね。鍵がそのユーザーのパスワードに基づくということです。
それは、まずこれはパスワードVaultの作り方として、必須。かなり必須だと考えられているモデルになっています。なぜかというと、LastPass社がそのユーザーの暗号化鍵とかそのパスワードを知っていたら、侵入になった場合はですね、全てのユーザーのそのパスワード情報とかVaultの鍵がばれてしまいますね。なので、スタートポイントとしてこのアーキテクチャの方がいいと思われます。
ただし、個人ユーザーとか、この漏えいと侵入の対象になったユーザーさんたちは大丈夫かというと、まだ危険性があると考えた方がいいですね。なぜかと言うと、やはりこういうオンラインサービスで、例えば総当たりでユーザーのVaultのパスワードをクラッキングしようとすると、オンラインサービス経由でかなり攻撃の検知とか総当りでやっていますとか、ブルートフォースでやってますということはまずは遅い方ですし、検知しやすいですね。ただ、今回はそのパスワードVault自体がダウンロードされてしまったんですね。とすると、そのパスワードVaultを持ってる人が自分のパソコンの上でいわゆるオフラインで、ネットワーク経由ではなくて、自分のパソコンでその総当りとかブルートフォース攻撃をかけられます。なので、すぐパスワードVaultの情報がバレてなくても、かつ全てのユーザーのパスワードVaultの中身が同時にバレてなくても、まだ危険性が残念ながらあります。ここでは、その実際のパスワードVaultの暗号化方法とかそういうことのお話は置いておきますが、基本的にもしこのサービスを使っていました、あるいは以前使ったことがありましたということであれば、Vaultの中での全てのサイトのパスワードは残念ながら変更した方がいいですね。また、サービスの中で使ったパスワードがもし同じパスワードを他のサイトで使っているということであれば、そのサイトとかサービスのパソコンも残念ながら更新しなければならないと思われます。

河野:
アンッティさん、ありがとうございました。
やはり、情報漏えい／インシデントが発生してしまった場合、こういったパスワード管理ソフトなどを使っている場合は、個人ユーザーとしても、情報の書き直しや、同じパスワードの使い回しというのはリスクがあるといった点も、皆様にとってはおそらく何かの参考になるのではないかと思います。

トゥオミ:
最後の補足ですが、こういうインシデントがあっていても、個人的にはですね、こういうパスワードマネージャーを使ったほうは、自分で覚えようとか、メモの上に書こうとか、そういうことよりマシだと思いますので、インシデントがあっても少しパスワードマネージャーを使ってみて欲しいかなと個人的に思ってます。

河野:
そうですね、スマホが普及してもう十数年ですが、今これ聞いてらっしゃる皆様も、もう本当に10や20じゃ足りないぐらいのパスワードを使ってると思いますので、ぜひぜひそういった形でパスワードの管理、自分の情報管理もしていただくのが我々のおすすめといったところです。

ということで今日は2022年末に報道された情報漏えいのインシデントを中心に、インシデント対策や個人ユーザーの側で推奨される対策について、アンッティさんと河野でディスカッションしました。

『Cyber SecurityサウナJapan』、2023年第1回目のポッドキャストをお届けしましたが、次回はクラウドセキュリティ、サーバレスアーキテクチャ関連のセキュリティについてゲストスピーカーをお招きする予定です。

テントサウナと一緒に、『Cyber SecurityサウナJapan』ポッドキャストへ参加したいという方は、ぜひTwitterからメッセージをいただけると幸いです。

というところで、『Cyber SecurityサウナJapan』第5回は

トゥオミ:
アンッティ・トゥオミと

河野:
河野真一郎でお送りしました。2023年もよろしくお願いします！

トゥオミ:
ぜひ、よろしくお願いします！

Cyber SecurityサウナJapan エピソード#5はYouTubeでもご覧いただけます。
https://www.youtube.com/watch?v=Iri9nwUTQWA