企業ネットワーク最前線

<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたち

NTT Comサイバー攻撃事件の舞台裏「侵入者は対策メンバーのアカウントにもなりすましていた」

提供◎日本電信電話株式会社 2022.03.31

  • Teitter
  • facebook
  • 印刷

NTTコミュニケーションズ 水口孝則

社会経済のデジタルシフトが加速している。我々を待ち受けるのは、サイバー攻撃や情報漏えい、フェイクニュースなどのリスクにあふれた未来か、それとも――。

<トラスト(信頼)>のあるデジタル社会を目指して、サイバーセキュリティに注力しているのがNTTグループだ。業界屈指の実績・スキルを持った人材が数多く在籍し、セキュリティの最前線で日々戦っている。今回からスタートする連載「<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたち」では、そんな彼らたちの取り組みを紹介していく。

第1回に登場するのは、NTTコミュニケーションズの水口孝則。「あらゆる企業・個人がサイバー攻撃の被害に遭う時代」とよく言われるが、NTTグループも例外ではない。2020年春、NTTコミュニケーションズで重大なセキュリティインシデントが発生した。インシデントの舞台裏が明かされることは日本ではほとんどなく、このことが日本企業の危機意識が高まらない要因の1つとも指摘されている。NTTグループにとって痛恨の極みとなった事件の裏側では、どんな活動が行われていたのか。

インシデントの全容解明に全力で取り組んだ1人が、セキュリティ技術者でデータ分析のプロフェッショナルである水口だった。



「スピード感が半端ありませんでした。間違いなく高度なスキルを持ったプロの仕業でした」

2020年5月、NTTコミュニケーションズ(以下、NTT Com)は、重大なセキュリティインシデントに襲われた。社内ネットワークへの侵入を許し、工事情報管理サーバーと社内ファイルサーバーの一部に不正アクセスされたのだ。

最終的に、流出のおそれがあると判明したのは、工事情報管理サーバーの704社に関する工事情報等と、社内ファイルサーバーの188社に影響が及ぶ可能性がある情報――。NTT Comにとって痛恨の出来事となった。

このときデータ分析のプロフェッショナルとして、インシデント調査にあたった1人が、デジタル改革推進部 データドリブンマネジメント推進部門 部門長の水口孝則だ。

水口は、データファーストな企業経営やビジネス判断を推進する組織の責任者。セキュリティ分野でも豊富な経験と高いスキルを有していた。

「長年セキュリティに携わってきましたが、それまでの取り組みの“集大成”という感じでした」。そう振り返る水口の体からは、当時覚えた恐怖感が今も消えてはいない。

水口孝則


数秒後には自分の足跡を消し、ラテラルムーブメントする侵入者新型コロナウイルスの感染拡大防止のため、緊急事態宣言下で迎えた2020年のゴールデンウィーク。NTT Comが不正アクセスを検知したのは、例年とはまったく違うゴールデンウィークがあけた5月7日のことだった。

災害対策室のメンバーでもあった水口の耳にも、その報せはすぐに届いた。まず情報システム部門が中心になって全容解明に動くが、ほどなく情報システム部門から聞こえてきたのは、「見なければならないデータの量が尋常ではない。このままではデータ分析に数カ月かかってしまう」という悲鳴だった。

「関連するデータを全部渡してくれ」。水口のチームは、データ分析役を買って出た。

水口孝則



分析を開始すると、たしかに情報システム部門の言う通りだった。

侵入者は、自分の足跡を消しながら、次のノードへのラテラルムーブメント(横移動)を繰り返していた。このためADサーバー、社内ファイルサーバー、ネットワーク機器など、各担当者が個別にアクセスログを調べるだけでは、その足取り・全容を追うことは難しかった。

さらに驚かされたのは、ラテラルムーブメントの速さだ。あるノードに侵入後、数秒後には自分の足跡を消したうえで、別のノードへと移動していた。つまり、1時間毎、10分毎のアクセスログ保存・ログ調査では、侵入者の行動は明らかにできないということだ。

データ分析のプロフェッショナルによる横断的・総合的な分析が必要だった。

データ分析の多くは、社内の厳格な情報管理の下、水口とチームメンバ数人の手で行った。部下は信頼していたが、従業員のアカウント情報の一部が搾取されていたため、100%信頼するわけにはいかなかったからだ。

実際、侵入者は、インシデント対応メンバーのアカウントへのなりすましにも成功していた。「対策当初は、我々が調査・対処を行なっている最中もどこまで対処が進んでいるのか、侵入者は探っていたのだと思います」

その攻撃レベルの高さに戦慄を覚えながら、水口は分析を進めていく。侵入者が侵入可能な入り口、侵入後移動可能な“穴”を社内のRedTeamと連携してポートスキャン等で虱潰しにしながら、約50種類もの関連データを収集し、紐づけて分析する作業を繰り返し続けた。

「分析したログの容量はおそらく数十TB。様々な社内のシステム・ネットワーク機器、およびサービス関連装置のログを分析しました」

当初、数カ月かかる見通しだったファイルアクセスの分析は、1~2週間で完了したが、次々と被疑サーバ・システムが増え、全容解明には数ヶ月を要した。

Tier 1 ISPオペレータとしての使命感地元・福井の大学を出て、1993年にNTTへ入社した水口の若手時代は、インターネットの発展とともに成長する日々だったといえるかもしれない。入社まもなく飛び込んだのが、国際インターネットの世界だった。
  • Teitter
  • facebook
  • 印刷

スペシャルトピックスPR

ntt002
ntt001
viavi2204

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション[徹底解明]5G SAとWi-Fi 6E
               企業ネットは新時代へ

<Part1> 
5GはSAでどう変わるのか? <Part2> 国内キャリアの5G SA戦略
<Part3>
5G SA企業活用は映像から <Part4> 端末視点で見るSAの進化
<Part5>
Wi-Fi 6Eの性能や注意点 <Part6>6E時代の無線LAN選び
<Part7> 残る700MHz幅の行方 ほか

インタビューエリクソン・ジャパン 代表取締役社長 野崎哲氏「オープンRANの課題解決に寄与」【新連載】10年後のネットワークを創る研究者たち 【ビジネス最前線】JTOWERのローカル5G戦略 ほか

>>詳しい目次を見る

スペシャルトピックス

ジュニパーネットワークスWi-Fi 6E×AIで超効率ネットワーク 無線からWANまでクラウドシフト
ジュニパーはWi-Fi 6E時代に向けて、NW運用をAIとクラウドで効率化!
UniFiWi-Fi 6のライセンス費用がゼロに UniFiならコスパ抜群・簡単管理
圧倒的なコスパと手軽さで、オフィス、学校、工場、病院らが採用
日本マイクロソフト走り出した「5G網をAzureへ」計画
クラウド移行でキャリアは何を得るか

AT&Tの5GコアのAzure移行の狙いと進捗状況をマイクロソフトに聞いた。
ローデ・シュワルツ強みのミリ波技術で6G開発に貢献 1THz対応受信器もラインナップに
ローデ・シュワルツが得意のミリ波技術で6Gへの取組を強めている。

モバイル空間統計が直面した困難「ビッグデータのプライバシーを守れ」<連載>NTTグループのプロフェッショナルたち
モバイル空間統計が直面した困難「ビッグデータのプライバシーを守れ」
NTT Comサイバー攻撃事件の舞台裏「侵入者は対策メンバーのアカウントにもなりすましていた」<サイバーセキュリティ戦記>
NTT Comサイバー攻撃事件の舞台裏

「侵入者は対策メンバーのアカウントにもなりすましていた」
セイコーソリューションズ近づくISDN終了 ワンストップの移行サービスが登場

ハードウェアを設置するだけ!ISDNからIP網への移行をフルサポート。

AirREAL-VOICE2簡単操作でマイグレーション実現
データ通信だけでなく通話・FAXも

アダプターの入替だけで移行が完了するMIの音声対応LTEルーター

NTTデータINSネットの後継ならお任せ!
移行で伝送時間短縮や負荷軽減

INSネットからの失敗しない移行方法をEB/FBの種類別に紹介しよう。

Wi-SUN AllianceWi-SUN認証デバイスが1億台突破
日本発の世界標準規格の普及加速

2.4Mbpsへの高速化など新たな進化も始まっている。

エヌビディアNTTとLINEが牽引する日本の自然言語処理、この2社がリーダーである理由

3月21日から開催の「NVIDIA GTC 2022 Spring」で知ろう!

IoT用のSIMはきめ細かに管理する!
閉域網、帯域確保で安定・安全通信

スマホでおなじみの「mineo」が、IoTでも利用を拡大している。

NEEDLEWORK(ニードルワーク)ネットワークテストの負担から
SIerを解放する自動化製品!

200時間の作業が数10秒の例も!
テストの品質向上にもお勧めだ。

フォーティネット5G特有の脅威に備え、セキュアで柔軟なローカル5G・プライベート5G

ローカル5G・プライベート5Gではセキュリティリスクへの対処も必要だ。

Alkira4か月かかるクラウド接続を1日で!

DX時代に欠かせないマルチクラウドネットワークの一元管理が、Alkiraなら内製でも容易に実現可能

IoT Connect Mobile Type S柔軟なIoT回線で閉域にも大容量にも
IoTの「分からない」を一緒に解決

ユーザーの要望に合わせて柔軟にプランを選択できる!

ホワイトペーパー

アクセスランキング

tc202012

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2020 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます
当ウェブサイトはCookieを使用しています。閲覧を続ける場合、プライバシーポリシーに同意したことになります。