先に発生したTwitchの大規模なハッキングは、セキュリティ業界を騒然とさせた注目される侵害事件の最新例だ。誰もが「なぜこんなことが起きたのか」と疑問に思っている。大量の重要なデータ、しかもソースコードまでもが、アラームを出されることなくどうやって盗めるのか。セキュリティが充実しているはずのAmazonの企業が、4chanで噂が広まるまで被害に気づかないなんて、どういうことなのだろうか。
Threat Postによると、セキュリティ担当者たちは、ハッカーたちの「第2弾」となる暴露の内容を理解するために、不安な気持ちで待っているが、おそらくパスワードやユーザーのEメールが次にくるのではないかということが明らかになってきている。
Twitchにとって、PRの悪夢は始まったばかりだ。今や数百万のプレーンテキストによるユーザーの個人情報が、ハッキングで公開されたデータの山を利用しようと待ち構えているセキュリティの常習犯たちに広まっていくだろう。
まず、Twitchのユーザーは、すぐにパスワードを変更し、まだ変更していない場合はアカウントの多要素認証を有効にすべきだ。Twitchは、「慎重を期して」すべてのストリームキーをリセットし、危機的状況下でもプラットフォームをオンラインに保つことができた。そのこと自体が、このような大規模な事件の中では印象的であり、特筆すべきことだ。
変化を続ける犯行手口
クリエイターへの多額の支払いからAmazonのCEOであるJeff Bezos(ジェフ・ベゾス)氏への荒らしなど注目すべき部分もあるが、今回の攻撃の性質や、身代金を要求するのではなく強奪にシフトしたことには深刻で重要な意味がある。
自分のデータのコントロールを失った被害者企業にできることは、高額を払って解読鍵を手に入れるか、バックアップからデータを再構築するかという二択ではない。犯人の目的が単純な身代金の支払いではなく脅迫が目的となった場合、企業の危機対応も飛躍的に複雑になる。
Twitchは、この新しくて厄介な戦術の最後の被害者ではない。その勢いは増しているように見える。
先手必勝
仮に、Twitchのセキュリティ対策が今日の標準から見て成熟度が高いものだったとしても、同社も含め現在の企業は、セキュリティの運用とインシデント対策の計画化に十分な投資をしていない。そこで往々にして、対策が遅すぎたことに事後、後悔するという事態になる。
自覚すべきは、企業があらゆることを正しくやっていたとしても、100%完璧なセキュリティ対策はなく、犯人たちは、たった1つの脆弱性を見つけるだけで十分という事実だ。必要なのは、十分にテストされ、十分に文書化された計画があることと、万一のときの対応が確立していることだ。
セキュリティ事故の際、最高位の意思決定者は誰なのか?シャットダウンをするためには何をいつやるべきか?誰に何をどんな順序で命じるべきか?まだ事故も犯行もなく余裕が十分あるときに、これらを決めておくべきだ。事が起きてからでは何もできないからだ。そして実際に何かが起きたときには、対策が十分にテスト済みでなければならない。
Twitchの被害の全貌はまだ明らかでないが、そこから私たちが学ぶべきことは大きい。成熟した、リソース(物、金、人)に恵まれたシステムでも侵入されるし、最近の犯人たちはランサムウェアに固執することなく大混乱を惹き起こし、データをコントロールしようとする。
企業に必要なのは、計画を立て、正規に文書化し、そのプロセスを公式の内規として規則化して、被害を検出し最小化するために必要十分な保護対策が常時行われている状態を維持することである。元々アンフェアなゲームであり、しかもますます複雑化していることを自覚しよう。
編集部注:本稿の執筆者Ian McShane(イアン・マクシェーン)氏は、Arctic WolfのフィールドCTO。
関連記事:クリエイターの報酬データが大量流出、Twitchのストリーマーの反応は
画像クレジット:Anadolu Agency/Getty Images
[原文へ]
(文:Ian McShane、翻訳:Hiroshi Iwatani)
