大角:
前身はヤフー株式会社にあったDCU(Digital Crime Unit)というチームです。もともと、サイバー犯罪に対抗する目的で設立されたインテリジェンス組織でした。
昨年10月にLINEと合併した後も、しばらくそのままDCUとして存続していましたが、今年4月に組織改編があり、「脅威情報分析対応(Threat Intelligence Analysis & Response)チーム」として、新たにスタートしました。現在は、警察とも連携しながらサイバー犯罪の摘発と防止に努めています。
サイバー犯罪の最前線で戦う部隊 脅威情報分析の役割とは?
コーポレート
企業が持つ大切な個人情報は、悪意ある犯罪集団に常に狙われています。その攻撃手法は次々と変化し高度化するため、セキュリティ対策とのイタチごっこが際限なく続いています。そのような状況で過去に、LINEヤフーもサイバー攻撃の標的になり、脅威にさらされてきました。
LINEヤフーではユーザーの信頼と安全を守ることを最優先と掲げ、そのための取り組みを強化しています。その一環として、社内に脅威情報分析対応チームという組織を常設することで、マルウェアやランサムウェアの解析を通じて、犯罪者集団の手口や動向の把握に努めています。
セキュリティの重要性が増すいまだからこそ、LINEヤフー独自の取り組みを行う背景について現場の担当者に話を聞きました。
- 大角祐介(おおすみ ゆうすけ)
- 2016年ヤフー(現LINEヤフー)入社。現在はセキュリティエンジニアリング本部の脅威情報分析対応チームのリーダーとして、サイバー犯罪対策や脅威情報の収集・分析などを行っている。
- 首浦大夢(くびうら ひろむ)
- 2023年ヤフー(現LINEヤフー)新卒入社。インフラ統括本部のRBAC(ロールベースアクセス制御)チームで社内認証認可基盤の運用保守業務を担当。兼務で脅威情報分析対応チームに所属し、マルウェア解析を行う。
サイバー犯罪と対峙する「脅威情報分析対応チーム」とは
――IT企業の中でも、脅威情報の分析を行う専門チームを社内に擁するケースは、珍しいケースです。まずはチーム立ち上げの経緯から教えてください。
――――ここでいうサイバー犯罪とは、主にハッカーの手による情報漏えいを指すのでしょうか?
大角:
ひとつはそうですね。LINEヤフーのインシデントにおいても、情報漏えいという表現がよく使われますが、その背後には必ず犯罪者が存在するわけで、実情は「漏えい」ではなく情報の「窃盗」です。だからこそ、窃盗を働く犯罪者についてしっかりリサーチしなければなりません。
また、過去にはスマホを1000台ほど用意してポイントを盗み取る行為が摘発された例もありました。ここ数年はクレジットカードの不正利用が多く、フィッシング詐欺も後を絶ちません。サイバー犯罪の対象は、さらに広範囲に及んでいます。
――お二人がセキュリティの分野に関心を持ったきっかけは何ですか?
首浦:
私は高専の出身なのですが、在学中、実際に学校で情報漏えいが起きたことが大きいですね。この一件でセキュリティの問題が身近なものになり、興味を持って勉強するうちにリバースエンジニアリング(ソフトウェアを解析してメカニズムを明らかにする作業)に専門性を高めたいと思うようになりました。
LINEヤフーで働きたいと思った理由は、脅威情報の分析機能を社内に持っている事業会社が珍しく、面白そうに見えたからです。
大角:
私は大学卒業後、ISP(インターネットサービスプロバイダー)で10年ほどキャリアを積む中でセキュリティに関わるようになったことが興味を持つきっかけでした。
その後、セキュリティに特化した会社に移り、3年働いたあと、セキュリティ系のエンジニアを募集していたヤフーに転職しました。
ヤフーでの最初の配属先はCSIRT(Computer Security Incident Response Team)でした。社内で情報漏えいが起きたり、誰かが不審なファイルを開いてしまったりした際に、迅速に対処に乗り出すセキュリティの「110番」のような役どころでした。その後、前述のDCUを立ち上げました。それが現在の脅威情報分析対応チームになります。
――二人のキャリアからも、サイバーセキュリティが高度な知識を求められる分野だと感じます。
大角:
私の場合、インターネットの黎明期(れいめいき)からその発展に立ち会える世代だったことは、幸運だったと思います。
セキュリティに限らず、最近は技術がどんどん高度化・細分化されていて、特定の分野のエキスパートになろうとすると、それだけで多くの時間が必要です。そのため、全体を俯瞰(ふかん)的に見ることが難しくなっています。私がISPに入社した2004年当時はまだ、あらゆるシステムがもっとシンプルでしたからね。
――首浦さんは対照的に、分野に特化したエキスパートという印象ですね。
首浦:
たしかに、そうですね。私はリバースエンジニアリングに専念してきました。入社2年目ですが、現在もこのチームではマルウェア解析に特化して取り組んでいます。
犯罪者のサイバーコミュニティーから情報を収集
――脅威情報分析対応チームの現在の体制について教えてください。
大角:
総勢10名のチーム編成で、そのうち主務のメンバーが私を含めた3人です。首浦を含めた他の7人は、他の部署の仕事と兼務しています。
兼務のメンバーには、「このウイルスを調べてほしい」や「最近の詐欺の傾向が知りたい」など、作業の一部分をスポットで担ってもらっています。たとえば首浦には「マルウェア解析をよろしくお願いします」といった形で、タスクを割り振っています。
4月の組織改編でDCUから脅威情報分析チームになって以降、マルウェア解析やランサムウェア解析、SOC(Security Operation Center)のセキュリティ監視など、よりテクニカルな業務領域へとシフトしつつあります。
――サイバー犯罪にも、やはり時代ごとのトレンドがあるのでしょうか?
大角:
それはありますね。ここ数年で言えばVPN(Virtual Private Network/ネット接続時に仮想の回線を利用する技術)のゲートを狙って侵入する手口や、取引先などを装ったフィッシングメールが非常に多く見られます。
首浦:
私は基本的にランサムウェア、偽LINEを解析しています。
トレンドで言うと、マルウェアの分野では最近、「コインマイナー」と呼ばれる仮想通貨発掘プログラムを見つけました。これは仮想通貨を自動的にかき集めるためのものです。
――サイバーセキュリティでは、犯罪者側が技術の発展に応じてさまざまな手口を講じるため、どうしても守る側が後手に回るイメージがあります。
大角:
そうですね。メディアではよく、「アクティブ・サイバー・ディフェンス」という言葉が用いられ、「やられる前にやれ」と解釈する向きもあります。しかし、実際には「やられる前に守れ」が正解だと思います。
そして、攻撃されてからその手口を調べるのでは遅く、犯罪者側が使う攻撃ツールを事前に調べ、把握しておくことが重要です。
具体的にはマルウェアや大量の通信を送りつけるDoS(Denial of Service)ツール、フィッシングサイトを作成するフィッシュキットなどがあります。これらを調査した情報をもとに、事前にこちらのSOC側に準備を促すことも重要です。
――攻撃側のツールの情報を集めるために、具体的にどのような調査を行っているのでしょうか?
大角:
主にダークウェブや、テレグラムなど秘匿性の高いアプリ内のチャンネルで、犯罪者たちが交わしている会話をチェックするのが手っ取り早い方法です。
実際にアクセスしてみると、他人のクレジットカードをどうやって不正利用するかという手順を、チュートリアル動画で解説していたりすることもあります。
――そんなにオープンにコミュニケーションが行われているのですか?
大角:
そうなのです。犯罪者のコミュニティーとは、一般の方がイメージしているより普通の世界です。一般的なSNSのように罵り合うようなやりとりはあまり見られません。
――これは、犯罪者同士の連帯感のようなものなのでしょうか?
大角:
そうかもしれません。おそらく、孤独感みたいなものもあるのでしょうね。なお、日本語のコミュニティーはあまり見当たりませんが、日本人のアカウントが売りに出されているのを目にすることもあります。それらのアカウントは、日本のサイトを悪用する際に価値があるのでしょう。
国外のハッカーも日本人を狙っていることは明らかであるため、英語など外国語に堪能な方のほうが、我々のような脅威情報チームには有利だと言えます。
――近年、ランサムウェアによる被害も増えていると聞きます。こちらについて少し解説をお願いできますか。
首浦:
ランサムウェアは基本的にファイルを暗号化するウイルスです。最近は水面下で実行が始まり、ドキュメントやメールの内容、IDやパスワードなどの情報を集めて持ち去り、身代金を要求する「二重脅迫」のパターンが多いですね。
そのうえで、ランサムノートと呼ばれる脅迫状のようなメッセージを残すのが一般的な手口です。
――その手の内を知るために、首浦さんはマルウェアやランサムウェアの解析に日々、勤しんでいるのだと思いますが、防衛に必要なものは何でしょうか?
首浦:
防衛に関しては、EDR(Endpoint Detection and Response/コンピュータシステムのエンドポイントにおいて脅威を継続的に監視して対応するセキュリティ技術)やウイルススキャナーといった対策ソフトを用いた多段防御が有効ですね。
一方、脅威インテリジェンスという観点では、一つの方法として、「YARAルール」を使う手法があります。これは、テキストやバイナリパターンのルールに基づいて、悪意のあるソフトウェアをあぶり出す手法です。
ただ、攻撃側もその対策を講じるので、どうしても被害が起きてから対策法を探るという流れになってしまうのが実情です。
ユーザーの信頼獲得のためにいまやれること
――情報化社会において重責を担う二人の立場ですが、この業務のどのようなところにやりがいを感じていますか?
大角:
私はもともとエンジニアなので、純粋に「セキュリティ技術を探求するのが楽しい」と、スキルアップ自体にやりがいを感じます。
また、たとえば以前、Yahoo!ネット募金の偽サイトが立ち上がった時には、「許せない! どうにかして、このサイトをつぶしたい」と憤った経験があります。そのような正義感もモチベーションの源泉になっています。
豪雨災害の際に何者かが立ち上げたYahoo!ネット募金を装う偽募金サイト
首浦:
私はマルウェアの構造を解析して、攻略することにやりがいを感じます。そこで得た知識を公に発表することで、サイバーセキュリティの向上に貢献できるという達成感もあります。もちろん、私にも「不正を許せない」という純粋な正義感が、行動の基盤にあります。
――LINEヤフーというIT企業だからこそ、サイバー攻撃の標的になりやすい側面もある半面、それだけユーザーへの影響も大きいですね。
大角:
そうですね。ユーザーの個人情報は、私たちにとって最もセンシティブな情報です。だからこそ社内ルールも非常に厳格に設定されていますし、私たちも常に最大限の対策を行っています。
これまで、脅威情報分析対応チームの取り組みはあまり公に発信してきませんでした。ですが、今後はユーザーの皆さんにより安心していただくためにも、私たちがどのように防衛策を講じているのか、今後も積極的に発信していく必要があると感じています。
――取り組む上で、何か意識していることはありますか?
大角:
非常に責任があり、重要な取り組みですが、だからこそ、まずは楽しんでやることですね。興味を持ってこの領域に入ったメンバーばかりです。自分たちの取り組みを通じて、ユーザーの安全を守ることができるのは幸せなことです。
ただ、深掘りしすぎると際限がなくなることもあるので、優先順位をつけて、どこでキリをつけるかのポイントを意識することも大事です。
そして、サイバー犯罪との戦いは終わりがないので、「短距離走ではなく、長距離走であることを意識してほしい」とチームのメンバーにもよく伝えています。情熱が過ぎると、燃え尽きてしまうことがあるからです。
――では、LINEヤフーとして、いまやれること、今後やるべきことは何でしょうか?
首浦:
サイバー犯罪を企む人々を完全に根絶させるのは、この世から一切の犯罪をなくすぐらい難しいことだと思います。だからこそ、その一歩手前で全力を尽くす必要があります。
たとえばセキュリティに関するリテラシーを上げることも重要です。ユーザー側にもまだまだ個人レベルでやれる対策はたくさんあります。
学生時代にそのセキュリティの問題に直面した経験があるからこそ、そうした意識を広めたくて私はセキュリティエンジニアになりました。LINEヤフーとして大学で実施しているサイバーセキュリティ講座の講師も勤めることになりました。微力ながら引き続き啓発活動を続けていきたいと考えています。
大角:
さらに、自社のシステムに最低限のセキュリティツールを導入するだけでなく、アクティブ・サイバー・ディフェンスの一環として、犯罪者に関する調査をもっと強化したいと考えています。
理想をいえば、脅威情報分析対応チームの機能をもっと高度化して、将来的には、サイバー犯罪の予兆を事前に察知し対応できるレベルに持っていければと考えています。
そのためにも、ユーザーのみなさんが安心してサービスを利用できる取り組みを進めていきたいと思います。
取材日:2024年11月28日
※記事中の所属・肩書きなどは取材日時点のものです。
- LINEヤフーストーリーについて
- みなさんの日常を、もっと便利でワクワクするものに。
コーポレートブログ「LINEヤフーストーリー」では、WOWや!を生み出すためのたくさんの挑戦と、その背景にある想いを届けていきます。