米国土安全保障省(DHS)が受けたサイバー攻撃は、実は今回が「初検知」ではなかった。英Neowinの報道によれば、DHSは同じ攻撃の兆候を過去に2度も見逃し、3度目にしてようやく本格的な対応に乗り出していたことが明らかになった。国家機関や州組織を狙うサイバー攻撃が世界的に相次ぐ中、警戒すべき事例がまた一つ増えたことになる。

「2度見逃す」という異常事態

Neowinの報じたところでは、今回DHSが対応した攻撃は、世界各地の国家機関・州組織を狙う一連のサイバー攻撃の最新事例に位置づけられる。注目すべきは攻撃そのものの巧妙さ以上に、「同じ兆候を2度スルーしてから、3度目でようやく重大インシデントとして扱った」という組織側の対応プロセスにある。侵入経路や攻撃者像については現時点で限定的な情報しか公開されていないが、この「見逃しの繰り返し」自体が、多くの組織に共通するセキュリティ運用の構造的な弱点を浮き彫りにしている。

なぜ重大な兆候が「誤検知」扱いされてしまうのか

大規模組織のセキュリティ運用現場では、日々大量のアラートが発報される。SOC(Security Operation Center)のアナリストは、その大半を過去の経験則から「よくある誤検知」と判断して流している。これは合理的な行動だが、裏を返せば「本物の攻撃も、統計的にはノイズに埋もれる」ということでもある。加えてネットワーク層・ID層・アプリケーション層など監視対象がサイロ化されていると、単体では小さく見える兆候同士の相関が取れず、「点」のまま放置されがちだ。DHSのように大規模かつ多数のシステムを抱える組織では、この構造的リスクがより顕著に表れやすい。

実務への影響 ― 日本のIT管理者への教訓

日本の官公庁・大企業でも他人事ではない。特に以下の3点は今すぐ点検する価値がある。

  • アラートの「握りつぶし基準」を定期的に見直す — 過去に誤検知だった兆候パターンが、今後も誤検知であり続ける保証はない。攻撃者は検知ルールを学習して回避してくる。
  • 常時アクセス権を持つアカウントを棚卸しする — Just-In-Time(JIT)でのアクセス権付与に切り替えるだけで、初動の異常検知が格段にしやすくなる。常時アクセス権は「攻撃者にとっても常時使い放題の権限」だと忘れてはならない。
  • 人間以外のID(NHI: Non-Human Identities)を可視化する — サービスアカウントやAPIキーなど、人が介在しない経路からの侵入は見逃されやすい。ここを自動的に監視できていないと、今回のDHSのように「気づいたときには2周目」ということになりかねない。

筆者の見解

正直に言うと、セキュリティ運用の細かい話は得意分野ではない。それでも技術的な関心は強く持っている領域で、今回の件は象徴的だと感じる。潤沢な予算と専門人材を抱えているはずの国家機関ですら、同じ兆候を2度見逃す。この事実は「うちは大丈夫」と思っている日本の組織にこそ突き刺さるはずだ。

筆者はゼロトラスト推進派であり、VPNのような「境界に依存した安心感」はもう卒業すべきだと考えている。今回のようなケースを見るたびに思うのは、結局のところボトルネックは常に人間の判断だということだ。常時アクセス権を減らし、NHIまで含めて自動的に検知・遮断できる仕組みを作らない限り、「アラートを見逃す組織」はこれからも増え続けるだろう。DHSの今回の件を対岸の火事にせず、自組織のアラート運用を見直すきっかけにしてほしい。


出典: この記事は DHS dismissed hack attack twice before sitting up and taking notice の内容をもとに、筆者の見解を加えて独自に執筆したものです。