標的型攻撃による
知的財産の窃取〈午後II相当〉
EDRはアラートを検知していたが、優先度付けの不備(アラート疲れ)により数か月にわたり対応されず、設計図面・ソースコードが外部に持ち出された産業スパイ型のインシデントです。
この問題で問われている力
これまでの3題(ランサムウェア・不正アクセス・サプライチェーン)と異なり、暗号化・身代金ではなく「気付かれないまま知的財産を盗み出す」ことが目的の攻撃です。①検知ツールがあっても「アラートに優先度がなければ見過ごされる」という運用課題②ネットワーク分離が「経路として存在する」だけでは不十分という点③漏えいした情報を法的に保護するための「営業秘密」としての管理要件、という3点が新しい視点です。
📋 設問構成
次の記述を読んで、設問1〜5に答えよ。
〔システム概要〕
Q社は、産業用ロボットの研究開発・製造を行う従業員数800名のメーカーである。研究開発部門が利用する開発LANには、設計図面を管理するサーバ(CAD1)と、制御用ソフトウェアのソースコードを管理するサーバ(SCM1)が接続されている。開発LANは、知的財産の保護を目的として本社LANとは別のネットワークセグメントに構成されているが、両部門間でのファイル共有のため、ゲートウェイ装置(GW1)を介して接続されている。GW1には、開発LANへのアクセス用に、部門共通の固定アカウントが設定されている。
本社LANの各クライアントPCには、EDR(Endpoint Detection and Response)が導入されており、不審な通信や挙動を検知してアラートを生成する。アラートは情報システム部門のダッシュボードに一覧表示されるが、重要度による優先順位付けの設定は行われておらず、1日あたり数百件のアラートが同じ画面に並ぶ運用となっていた。
〔インシデントの発生〕
X年、競合他社が、Q社の主力製品と類似した制御方式を持つ製品を発表した。これを受けてQ社の経営層が情報漏えいの可能性を疑い、社内のフォレンジック調査チームによる調査が実施された。調査の結果、表1に示す経緯が判明した。
| 時期 | 出来事 |
|---|---|
| X年1月 | 従業員Fが、業界団体の研究会案内を装ったメールの添付ファイルを開き、PC(PC-F)にリモートアクセス型のマルウェアが導入された。 |
| 1月〜3月 | EDRは、PC-Fから外部の不審なサーバへの定期的な通信(ビーコン)を複数回検知し、アラートを生成していたが、優先度付けがされていない数百件のアラートに紛れ、担当者による確認は行われなかった。 |
| 3月 | 攻撃者はPC-F経由で内部偵察(Active Directory上の情報収集、共有フォルダの探索)を行い、GW1の接続情報と固定アカウントの認証情報を取得した。 |
| 4月 | 攻撃者は、GW1経由で開発LANへ侵入し、CAD1・SCM1にアクセスした。 |
| 4月〜5月 | CAD1・SCM1から設計図面・ソースコードのデータが大量に圧縮(ZIP化)され、外部のクラウドストレージへアップロードされた。EDRはこの大量データの圧縮・送信に関連する挙動も検知していたが、同様に確認が行われなかった。 |
| X年12月 | 競合他社が類似製品を発表したことを受け、フォレンジック調査が実施され、上記の経緯が判明した。 |
(a) 開発LANへの侵入や、設計図面・ソースコードの持ち出しといった被害拡大を防げた可能性がある。
(b) アラートに重要度による優先順位付けがされておらず、大量のアラートに重要な検知が埋もれていた。
(c) アラートの重要度を自動的に判定し、優先度の高いものから対応するトリアージの仕組みを導入する。
(b)は「EDRが検知できていなかった」のではなく「検知はしていたが、確認されなかった」という事実の違いを正確に捉えられているかが核心。「EDRの性能が低い」と書くのは誤り。(c)は「優先度付け(トリアージ)」「重要度の高いものから対応する仕組み」という、量を絞り込む発想がキーワード。
「アラート疲れ(Alert Fatigue)」は、検知ツールを導入しても、その出力を人が処理しきれないために重要な検知が見過ごされる典型的な運用課題。対策は、重要度に応じた優先順位付け(トリアージ)や、SOAR(Security Orchestration, Automation and Response)のような自動対応の仕組みの導入。
(a) 内部偵察によりGW1の接続情報と固定アカウントの認証情報を取得し、これを使って侵入した。
(b) アカウントの利用者が部門で共有されており、個人ごとの認証情報の管理や定期的な変更が行われていなかった。
(c) GW1という単一の経路に認証情報が固定されており、その経路自体が突破されれば分離の効果が失われる構成だった。
(c)は「ネットワークを分離していたから安全」という思い込みを否定できているかが核心。分離はあくまで経路を限定する対策であり、その経路自体の認証が弱ければ、分離の効果は限定的になる、という構造を説明できているかがポイント。
ネットワーク分離は「攻撃の経路を限定する」対策であり、「侵入を完全に防ぐ」対策ではない。分離された境界に存在するゲートウェイ・中継機器の認証強度(個別アカウント化、多要素認証等)が弱ければ、分離の効果はその弱点に依存してしまう。
(a) エンドポイントの挙動検知だけでなく、データそのものの不審な持ち出しを専門に検知する仕組みがなかった。
(b) DLP(Data Loss Prevention)を導入し、機密データの大量転送や許可されていない外部ストレージへのアップロードを検知・遮断する。
(a)は設問1(b)の「アラート疲れ」と同じ答えを繰り返すのではなく、「データの持ち出し自体に特化した検知の仕組みがなかった」という、別の角度からの不備に言及できるかが評価のポイント。両者は別の対策(トリアージ vs DLP)に対応する。
EDRはエンドポイントの挙動(プロセスの実行、通信等)を検知するのに強いが、「どのデータが、どこへ運ばれているか」を専門に検知するにはDLPのような仕組みが補完的に必要。複数の検知レイヤーを組み合わせる多層防御の発想が、このような情報持ち出し型の攻撃には特に重要。
(a) フォレンジック調査の結果を踏まえ、不正競争防止法に基づく法的措置の可能性を検討する。
(b) 当該情報が秘密として管理され、有用な情報であり、公に知られていないという3つの要件を満たしておく。
(c) 競合への影響や信用の維持と、利害関係者への説明責任とのバランスを考慮する。
(b)は「秘密として管理されていたこと(秘密管理性)」「事業活動に有用な情報であること(有用性)」「公開されていない情報であること(非公知性)」の3要件のうち、少なくとも秘密管理性に言及できているかが核心。漏えい対策の技術論だけでなく、漏えいした情報を法的に主張できる状態に「事前に」しておく必要がある、という視点が問われる。
不正競争防止法上の「営業秘密」として保護を受けるには、事後の対応だけでなく、平時から「秘密管理性・有用性・非公知性」の3要件を満たす管理(アクセス制限、秘密であることの表示、管理規程の整備等)を行っておく必要がある。これを怠っていると、漏えい後に法的な主張をする土台自体が崩れてしまう。
(a) アラートの重要度を自動判定し、優先度の高い検知から対応する仕組みを導入する。
(b) ゲートウェイのアカウントを個人ごとに分離し、多要素認証と定期的な変更を徹底する。
(c) DLPを導入し、機密データの大量転送や不審な外部送信を検知・遮断する。
(d) 秘密情報の管理規程を整備し、アクセス制限や秘密表示など秘密管理性を確保する。
(a)〜(d)は、設問1〜4で指摘した個別の問題点(アラート疲れ、固定共有アカウント、データ持ち出し検知の欠如、営業秘密管理の不備)に、それぞれ一対一で対応する解答になっているかを確認すること。
このインシデントは「検知ツールはあったが運用が伴っていなかった」ことが一貫した根本原因。ツールの導入(EDR)と、その出力を実際に活かす運用(トリアージ、DLP、個別認証、秘密管理規程)はセットで設計する必要がある、という視点が、午後II問題全体を通じて問われている。
コメント