ニュートン・コンサルティング株式会社 CISO プリンシパルコンサルタント 内海 良 氏

本日はセキュリティ担当者などへのヒアリングをもとにしたリオデジャネイロオリンピック・パラリンピックのサイバーセキュリティ対策とその成果、そしてこれらを踏まえて企業が何に取り組むべきかについてお話します。

大会期間中にリオ市を来訪したのは100万人超です。政令指定都市ができるくらいの人々がリオを訪れました。約5万人のボランティアが参加して、大会に協力しました。我々は危機管理専門のコンサルティング会社ですから、話を聞いたのは国や組織委員会の担当者、リオ市のオペレーションセンターの責任者、そして風評被害をモニタリングしている民間企業などです。

リオの大会組織委員会が注力していたサイバー対策は3つ。1つはサイバーハクティビズム、2つにフィッシングなどのオンライン詐欺、そしてDDoS攻撃でした。この3分野の実際の対策を聞くと演習やテストに励んだということです。

具体的なサイバーハクティビズム対策に、125のセキュリティテストを20万時間かけて実施したそうです。セキュリティテストには脆弱性診断、ペネトレーションテスト、サイバーウォーゲーム、テクニカルリハーサルなどがありました。サイバーウォーゲームは、使っているライブシステムに攻撃を仕掛け、守る訓練です。被害が出たらインシデント対応まで実施します。攻撃チームと守りチームで争う形式でした。

興味深かったのは、こういったテストでは攻撃チームをレッドチーム、守備チームはブルーチームと言いますが、組織委員会の訓練ではグリーンチームを作りその演習を評価、分析させていました。バックオフィスのシステムや競技に使うシステムなど合わせて3回のサイバーウォーゲームを実施したとのことです。

ほとんどの技術者が参加したテクニカルリハーサルでは、準備した1000以上のシナリオを用いて実際に働いている各会場でさまざまなトラブルをシミュレート。例えば、普段使っているPCの電源が入らないという本当に小さいインシデントやシステムにログインできないなど、用意した様々なシナリオを次々に配布していきます。それに対して現場にいる人が対応する。テクニカルリハーサルは計2回実施したそうです。

オンライン詐欺対策は、早い段階でオリンピック関連に似たドメインを取得。他にも似たような数千のドメインをモニタリングし続けた。サービスプロバイダーと連携し、明確にマルウェアが含まれているケースはテイクダウンを実施。どんどんサイトを落としていったそうです。

日本だと法律的にここまでできるのか疑問がありますが、ブラジルでは全てテイクダウン対応でした。自動システムによるウェブサイトの攻撃遮断は2300万回。自動検知のセキュリティアラートの回数は400万回だったとのことです。

リオの大会期間中、約1カ月間にあったDDoS攻撃の回数は223回でしたが、組織委員会には混乱はありませんでした。しかし、リオ州政府や警察、公営の銀行がDDoS攻撃で軒並みやられました。ですから東京大会のときには民間企業もとばっちりのような攻撃を受ける可能性が高いです。リオと東京は世界的な知名度に圧倒的な差があります。ですからハクティビストやハッカーが名を挙げるためにターゲットにする東京大会は非常に危険だと思います。

実は、大会直前にアドビ関係に脆弱性が見つかっていました。しかし、5000台のパソコンにパッチをあてた後のトラブルを考え、そのリスクを受け入れて利用し続けたそうです。