不正アクセスのその後、ソフトバンク・テクノロジー 辻氏が語った体験談

不正アクセスのその後、ソフトバンク・テクノロジー 辻氏が語った体験談

2017.08.29

ソフトバンク・テクノロジー プリンシパル セキュリティ リサーチャー 辻 伸弘氏(写真は2016年撮影)

ソフトバンク・テクノロジー(SBT)が7月24日に公表した「不正アクセスによる情報流出の可能性に関するお知らせとお詫び(第一報)」。ソフトバンクグループのICT中核会社であり、セキュリティソリューションを基幹事業の一つに据える企業のセキュリティインシデントであるだけに、注目を集めた。

今回、同社のプリンシパル セキュリティ リサーチャーとして著名な辻 伸弘氏に、事の経緯と自社で起こったインシデントにおける新たな発見、改めて伝えたいことについて話を聞いた。

SBTに何が起こったのか

簡単に事件をおさらいする。ことの発端は7月17日、同社のセキュリティ監視チームがマルウェアの実行と通信のブロックを検知したところから始まった。マルウェアは「仮想通貨採掘プログラム」、いわゆる"マイニング"を行うものだ。結果的に、標的型攻撃やばら撒き型攻撃に類するマルウェアではなく、攻撃者が取引先情報にアクセスした痕跡は第三者機関の調査で確認されなかった。

辻氏によると、今回のケースで問題となったポイントは4つある。

  • アカウント管理の不備(アカウントの整理、不要なアカウントの削除など)

  • 不適切な設定のパスワード(推定されやすいパスワードの利用)

  • 検証サーバーが外部公開されていた(アクセス制御の不備)

  • 検証サーバーにおいて多数の実データファイルを管理していた

これらの要素が複合的に絡み合ったことで「お客さまの情報を危険に晒してしまった。大変申し訳ありませんでした」(SBT 広報部)。ただし辻氏が「周囲から『個人情報の漏えいが(第三者機関からも)認められなかった事故で、公開するほどの事象なのか?』」と言われたように、マルウェアプログラムの性質上、そして実際のフォレンジック調査の結果からも、会社として公表する根拠に欠ける。

「過去の事件・事故の事例からすれば、このレベルは『調査の結果として漏れていなければ公表しなくていい』と言えるかもしれません。ですが、会社として、携わった多くの人間が公表するという意思を共有していましたし、社長の阿多も『すべてを明らかにする』という意思を持っていました」(辻氏)

その情報公開の範囲は、

  • 不正アクセスの概要

  • 漏えいの可能性のある担当者情報の内容、件数

  • 対処の時系列

  • 今後の対応

  • マルウェアのファイル名、ハッシュ値、通信先URL

と広範、細部に渡る。

「マイニングソフトですから、業種・業態を問わず幅広い企業に影響をおよぼす可能性がある。ハッシュ値で使用されたファイルの特定が可能ですし、そういったものを管理するソフトが入っていない企業であっても、通信先のサーバーアドレスがわかればUTMやプロキシサーバーでブロックできる。通信先の情報はマイニングプールと明確にわかるもので、通常の業務では"ありえない"もの。事前のフィルタリングや、ログからの痕跡を見つけ、早期に対処するための有効な手法だと思います」(辻氏)

これまでの活動が糧に

辻氏をご存じない方に説明すると、セキュリティ リサーチャーとして前職時代からさまざまなインシデントに携わり、1人CSIRTといった各種セキュリティイベントの独自調査活動も行ってきた。またマイナビニュースでも情報セキュリティ事故対応アワードの実行委員長を務めており、インシデント分析・評価だけではなく「どのようにインシデントを情報公開すべきか」といった観点でも活動してきた。

「アワードで『この対応が良かった』『こっちの方が多角的に分析できている』といった評価を、ほかの審査員と繰り返しこなしてきたことが、今回の対応に活かせたと感じています。単純に事件・事故をまとめていただけでなく、それらの例から見出すべき教訓は何か、それを元に今回の情報公開へと活かしました。これは、今までに情報を公開してくださった数多くの組織の方々のおかげです」(辻氏)

誤解を招く前に断るが、あくまで今回のインタビューは「SBTがインシデントを起こした」という事実を元にした内容だ。

しかし、辻氏の言葉や筆者の感想を含め、非常にポジティブな言葉が並ぶ。それは、「情報が漏えいしてしまった可能性がゼロではない」という事実は変えられず、「何が起きたのか」という事態の把握と、「起きてしまったことを元に、どう対処すべきか」という対策の検討が、SBTにとって重要だという考えがあるからだ。

インタビューで、「(情報公開した理由は)第一にお客さまのため」と辻氏は語ったが、責任を負うべきはあくまで顧客に対するもの。顧客に対する責任を果たして、その上で「次に同じ事態に陥らぬように何をすべきか」を建設的に議論する。そのための土壌作りとして、こうした情報公開の事例を増やすことの契機になるのではないかと感じた取材だった。

現場が萎縮しないようにする"一言"

話をインタビューに戻そう。

7月17日の14時前にマルウェアを検知してから、20日に不正アクセスを受けた形跡を確認するまでの間、19日に辻氏は対応メンバーとして現場に入った。「マルウェアメールが届いたといったことは日常茶飯事。当初は呼ばれることはありませんでしたが、いよいよ雲行きが怪しくなってきた19日から参加しました」(辻氏)。

辻氏の役割は現場のオブザーバー。代表取締役社長 CEO 阿多 親市をトップとする経営層と、当事者である現場のサーバー担当部門、対外広報部門、顧客に対する説明を行う営業部門、そして調査を依頼した第三者機関といったそれぞれの立場を俯瞰する形で、時にはそれぞれの話を咀嚼する潤滑油的な役割を果たしていたという。

「始めにも話しましたが、『なるべく多くの情報を公開しよう』というのが最初のディスカッション。その場で一つ象徴的なことがあったんです。顧客の現場に立ち会う時にもよく話すんですが、『今回の事件が起きた根本的な原因を作ってしまった人と、その上司は誰ですか?』と尋ねました。それはもちろん、"吊し上げ"のためではなく『大丈夫ですよ』という声かけ。インシデントは組織の問題であり、個人の問題ではなく、その方々が今回の当事者となったのもたまたまと言えます。」(辻氏)

実は第一報公開前、流出した可能性のあるデータはリリースよりもいくばくか少なかったという。この声かけがどう作用したのかわからないが、担当者がほかのデータもサーバー内に保存されていたことを報告し、リリース公開後に悪い情報が次々と出てくる事態は避けられた。

「人間の心情として、隠したがるのは普通のこと。役員会議に上司とともに出席するとなれば大変なことですから。でも大切なのは『これからどうするか』。前に向かって進むためには"吊し上げ"ではなく、一体となって原因を究明することが重要だと考えています」(辻氏)

経営陣が果たすべき役割

現場は一体となった。では経営陣はどうか? 辻氏は今回の対応が外部から評価される結果となった理由の一つに「社長(阿多氏)のリーダーシップ」を挙げる。

「今回の事態を把握した時、阿多は海外出張の予定が入っていたんです。トップ不在という環境は避けたかったので『出張をやめてもらう』ということがすんなり決まったんですが、実は海外企業とのサインを必要とする出張でした。主要事業の強化という命題があるにも関わらず、その意思決定が非常に早かった。当事者意識を持ち、最善を尽くすことだけにフォーカスしていたなと思います」(辻氏)

SBTに限らず、詳細なインシデント対応の事例共有は近年徐々に増えつつある。もちろん、現場チームが細部の把握と情報を上に伝えることは大切だが「トップの立ち居振る舞いが現場のチームを円滑に回す非常に大きな要因だと思う」(辻氏)。経営陣の中には、特に非IT企業においてはセキュリティに明るいとはいえない人物も居るだろう。だが、「不得意な部分は現場の意見に耳を傾けつつ、上の人間の発言を必要とする場面でしっかりとした意思決定をしてくれる人物、経営陣が大切だと思う」(辻氏)

現場の一体感と経営陣の統率力。その双方が揃っていれば万事解決と言いたいところだが、辻氏は唯一の課題として、この両者の間にあるささやかな"溝"を挙げた。

「インシデント対応のタイムスケジュールが早いか遅いか、当事者になってみるとわからないのが正直なところ。外部から『早いね』と評価いただきましたが、強いて言えば各部門と経営層のコミュニケーションがもっと円滑にできていればという場面はありました」(辻氏)

今回のようなインシデントでは、一部門ですべての対応を完結できるわけではない。顧客に対する責任、外部への公開、そして経営へのインパクト、第三者評価。それぞれ担当部門がある以上、普段は相対することのない人たちとのコミュニケーションが必要となる。

「どう動けば良いのかわからず、何かやろうとしてもそれを他部門に対して口出ししても良いのかわからない。管理者は誰なのか、経営陣を始めとする人間が意思疎通の差配をもう少しできていれば、アグレッシブにもっと動けていたかもしれないですね」(辻氏)

しかしこれもまた、誰が悪いという話ではなく、組織として経験不足であったことに起因するかもしれないと辻氏。

「標的型攻撃の模擬テストや、普段からインシデントレスポンスに対する考え方を会議などでお互いに認識する必要があります。組織に浸透させるということは難しくて、『緊急なのか』『重要なのか』といったプライオリティ、それらをあうんの呼吸で伝えることは、やはり普段からのコミュニケーションが大切だと思います。ただ、こういう会社だからかもしれませんが、インシデントが起こって『対処すべき事柄がどんどん増えていくことが嫌だ』という空気を出す人がいなかったことは、幸いでした」(辻氏)

「僕がいたから、ではない」情報公開の流れ

SBTに辻氏がいるという事実は変わらない。しかし、「ほかの企業に辻さんはいませんよね?」という質問を投げかけた。

「『情報を出す』という意思決定をしたのは社長の阿多です。確かに僕が言わなかったら出なかった細かい情報はあるかもしれません。ですが、個人の誰かに依存するのではなく、組織として適切に情報を公開できるか。それが大切なんです」(辻氏)

今回の情報公開は、「自分たちが起こしてしまったことは、こういう公開の仕方がある」というケースにならなければならないと思ったと辻氏は振り返る。この事例が"テンプレート"としてさまざまな企業に活用されることはあるかもしれないが「この形でなければならないという押し付けになってほしくない」(辻氏)

辻氏が繰り返し説明したことは、経営陣と現場が一体となった対応だ。それに関連した印象的なエピソードが一つある。

経営陣を含めた最初の会議後、辻氏は阿多氏と喫煙室で一緒になったそうだ。普段はフランクに話しかけてくる阿多氏が、土日出勤して対応しようとしていた辻氏に対して「よろしくお願いします」と一礼したそうだ。現場と経営陣が一方通行にならず、共に解決へと歩みを進める。そういった機運をトップが自ら作る姿勢は学ぶところがあるだろう。

SBTの例で言えばCEOの阿多氏だが、一般企業においてはCIO(CISO)などがトップとして対処するケースが多いはずだ。一体感はもちろんのこと、迅速な意思決定と、拙速な対応にならないために現場の情報をしっかり吸い上げる体制の構築、そして何より「事後の対処」にフォーカスしていくことが大切であるはずだ。

この短文で言うは易く行うは難しといったところだろうが、100点満点ではないにせよ、それに近いことをSBTは行った。同社は8月中に最終報として、再発防止策の完了をアナウンスする予定だ。情報漏えいに対して感情的になるのも当然だが、冷静な分析・対処が次の漏えい抑止に繋がることも、忘れてはいけない。

メディア露出多数、高まる「N高出身」への期待値

メディア露出多数、高まる「N高出身」への期待値

2019.03.22

ネットの学校「N高」の卒業式に潜入

開校時に入学したN高1期生が卒業した

世間の注目を浴び続けた生徒は、何を想う?

3月、角川ドワンゴ学園「N高等学校」の卒業式が東京・お台場にて開催された。

「ネットの高校」として、3年前に設立したN高。この日、2016年の開校時に入学した第1期生と、途中転入・編入した生徒をあわせ、計1593名が卒業した。3年前、『VR入学式』で世間を賑わせたこの学校を巣立つ卒業生たちは、N高での日々をどう捉え、今後はどのようなキャリアを描いていくのだろうか。

卒業式は2019年3月20日、お台場にて行われた

卒業式を彩る最新テクノロジー

N高は、ドワンゴとKADOKAWAの経営統合で誕生したカドカワが設立母体となり、2016年4月に開校された通信制高校だ。同校は開校後、2年次編入なども受け入れてきたため、これまでも卒業生を排出してきてはいたが、「1年生~3年生をN高で過ごした生徒」が卒業するのは、初めてのことだ。

卒業式には多くの報道陣も参加した。生徒にとって、「卒業式に記者がいる」「自分たちが卒業する様子がテレビやWebで取り上げられる」というのは不思議な感覚だろう。とはいえ、もう「VR入学式」に「ニコニコ超会議」へのブース出展(N高ではそれを「文化祭」と表現)などの経験を経て、メディアへの露出には慣れてしまっているのかもしれない。

そして、今回の卒業式も例によって独特だった。

卒業式は任意参加で、会場には袴や制服に身を包んだ生徒が集まる一方、その様子をライブ配信することで、会場に来られない生徒生徒も参加できる仕組みになっていた。会場のスクリーン上にはニコニコ生放送さながら、リアルタイムでコメントが表示されており、こうした演出は「N高らしい」といった印象を受けた。

卒業式の様子。オンライン参加者のコメントがスクリーンを流れる

中でも印象深かったのは、当日来られなかった生徒を代表して、米シリコンバレーに留学中の佐々木雅斗さんが「ロボット」に自分の顔を映して卒業証書を受け取ったシーンだ。

使用したのは、ANAが“未来の移動手段”として開発する、視覚・聴覚・触覚などを備えた、ユーザーの分身となるロボット「ANA AVATAR」。同校ではこのロボットを試験的に授業にも導入しているそうで、こういった最新のテクノロジーを使うあたりもN高らしい。

遠隔操作ロボット「ANA AVATAR(Beam Pro)」を用いて卒業証書を受け取った佐々木さん

と、テクノロジーにばかり目が行きがちではあるが、そもそも「高校生がシリコンバレーに留学している」という事実も驚くべき点だ。高校に通いながらも、シリコンバレーでビジネスを学ぶ――、というキャリアを選べるのは、学校という場所の制約を受けない、ネットの高校のメリットと言えるだろう。

卒業式にはほかにも「異色のキャリア」を持つ生徒たちが集まり、特に活躍した卒業生に対する特別表彰も行われた。

表彰を受けたのは、東京から鹿児島県に移住し、農業や水産業を手伝い地域活性化に貢献する白鳥優季さん、第18回アジア競技大会ジャカルタ・パレンバン「ウイニングイレブン 2018」eスポーツ 金メダリストの相原翼さん、N高のプログラムを最大限に活用し、スタンフォード大学やオックスフォード大学のサマープログラムに参加した冨樫真凜さんなど。その活躍の幅は広い。

さまざまな分野で活躍したN高生に対しては、特別表彰が行われ、記念品としてクリスタルトロフィーが贈呈された

メディア露出が多いがゆえに高まる期待値

N高を卒業した個性豊かな面々は、今後は大学進学、就職とさまざまなキャリアを歩む。

日本初で唯一N高にのみ実在するという「起業部」に所属し、かつ起業第一号として「Easy Go」という会社を創業している、鈴木颯人さんと山田陽大さんから「N高で過ごした時間」についてコメントをもらった。

「元々は地元の進学校に通っていたのですが、『自分が好きなことをしたい』『起業したい』という想いがあり、N高に入学しました。年齢や場所に縛られず、多くの人とコミュニケーションを取れ、充実した3年を過ごせました」(鈴木さん)

「以前通っていた学校が自分と合わず、ネットで見つけたN高で『ここだったら新しいことができるかも』と入学を決意しました。今振り返ってみて、やはり『この学校に来てよかった』と思います」(山田さん)

Easy Go代表取締役の鈴木颯人さん(左)と取締役の山田陽大さん(右)

2人に限らず、卒業生のコメントを聞いていくと「この場所で挑戦してみたい」という想いの元、N高を選んでいる生徒が多い印象だ。

普通の高校とは違い、メディアに露出する機会の多いN高での生活は、良くも悪くも、世間からの注目を浴びる。まだ高校生の彼らにとっては、その視線が時に辛く感じることもあっただろう。ただ、その一方で鈴木さんは「初めて会う方とお話しする際、『N高出身です』と言うだけで、会話が広がることがよくあります」とその知名度を好意的に捉えている。

若くして、覚悟を持ってN高という環境に飛び込んだ生徒たちは、周囲の視線を浴びつつ、たくましく成長してきたことだろう。「N高出身」というキャリアは、彼らにとって1つの大きな武器になりそうだ。

カドカワは新たに2019年4月から、「N中等部」も開校する予定だ。「ネットの学校」という、世間の注目が集まる新しいコンセプトの学校だからこそ、在校生・卒業生の動向は、今後もしばらくは注目され続けそうだ。

関連記事
スマホは「望遠」でデジカメに追い打ち? OPPOの10倍ズーム技術が面白い

スマホは「望遠」でデジカメに追い打ち? OPPOの10倍ズーム技術が面白い

2019.03.22

中国スマホメーカーのOPPOが独自のカメラ技術を説明

開発競争が続くスマホカメラ、トレンドは「望遠」へ

高倍率ズームスマホの登場で、デジカメの優位性に危機?

中国のスマホメーカーとしてシェアを急拡大するOPPOが独自に新開発したカメラ技術、「10倍ハイブリッドズーム」が面白い。実際に2019年の新機種からスマホへの搭載を進め、日本市場へも製品を投入するという。

OPPOが「10倍ハイブリッドズーム」技術を紹介

メーカー間の開発競争が続くスマホカメラだが、「望遠」が次のトレンドになりつつある。デジタルカメラに匹敵する10倍もの高倍率ズームを、OPPOはどのように実現したのだろうか。

1年で7機種を投入、気付いた「日本市場の難しさ」

OPPOは世界のスマホ市場で熾烈な4位争いを繰り広げている。サムスン、アップル、ファーウェイのトップ3社に続く集団の中で、2018年は中国Xiaomiに僅差で迫る5位になった(IDC調べ)。

OPPOは2018年、日本市場で7機種のスマホを発売した。OPPO日本法人の鄧宇辰社長は、これまでに国内販売チャネルを12に拡大し、あわせて認定修理店を全国に展開したことを挙げ、「日本のSIMフリー市場でいち早く成長するブランドになった」と振り返る。

オッポジャパン 代表取締役社長の鄧宇辰氏
2018年の1年間にスマホを7機種投入

2019年は国内展開をさらに加速する。日本の消費者に向けたコミットメントとして、件の「10倍ハイブリッドズーム」機能を備えたスマホや、FeliCa・防水対応のスマホ、新たに立ち上げたブランド「Reno」シリーズの市場投入を約束する。

また、話題の「5Gスマホ」の市場投入も急ぐ。日本では5Gの周波数がまだキャリアに割り当てられていないものの、ドコモ、KDDI、ソフトバンクを含む世界の事業者と標準化に向けて連携しており、準備を整えていることを強調する。

MWC19のQualcommブースではOPPOが5Gスマホを実演

一方で鄧社長は、日本市場の難しさについて、「1年の経験を通して、日本市場は他の国と違うことに気付いた。消費の習慣や求めるレベルも高い。グローバルのやり方を日本に持ってきても通用しない」とも述べている。日本市場における品質やサービスの要求水準の高さは、多くのメーカーが直面してきた課題だが、OPPOも同じ壁にぶつかったといえそうだ。

スマホカメラ、次のトレンドは「望遠」に

そのOPPOが市場攻略にあたり、特に注力をしはじめたのが「カメラ」だ。その中でも、業界では次の進化ポイントとして「望遠」技術に注目が集まっている。

そもそもスマホはデジカメと違い本体が薄いため、搭載できるレンズに物理的な制約がある。このレンズの制約から、スマホのカメラはどうしても焦点距離の狭さが弱点になってしまっていた。そこで最近はスマホに複数のカメラを内蔵し、それぞれで広角や望遠を使い分けることで、この弱点を克服しようと進化している。

OPPOの「10倍ハイブリッドズーム」技術は、この弱点に対し異なるアプローチで挑む。プリズムを使って光を屈曲させるペリスコープ(屈曲光学)構造をカメラモジュールに採用することで、レンズを従来の垂直方向ではなく水平に配置できるようにした。これにより、薄型のスマホであっても、光学レンズでは従来不可能だった高倍率ズームが搭載できる。

光を曲げるペリスコープ構造を採用

ただ、35mm換算での焦点距離は16~160mmの10倍となっており、一般的なコンデジの感覚では5倍ズーム程度の性能だ。8.1倍以上はデジタル処理を組み合わせた「ハイブリッドズーム」としているなど、いくつか注意点はある。とは言え、これまでにない望遠レンズをスマホで扱えるのは面白い。

10倍ハイブリッドズームによる画角の違い

OPPOは既に報道陣に向けて、この10倍ハイブリッドズーム技術を搭載するスマホの開発デモ機を公開している。2019年の第2四半期には製品化する計画で、日本市場へも2019年中に投入する見込みだ。

10倍ハイブリッドズームのデモ機。5Gにも対応できるという

特にカジュアルなカメラ需要の受け皿としてスマホに押されがちなデジタルカメラだが、高倍率ズームはスマホには無い、デジカメに残された得意分野のひとつだった。だが望遠もスマホで十分撮れるとなれば、いよいよその優位性も危うくなる。今回のズーム技術は、デジカメ市場をもう一段縮小させてしまう可能性を秘めているのだ。

最大のライバルであるファーウェイも「HUAWEI P30」シリーズで望遠カメラを搭載するとみられており、今後は各メーカーが高倍率ズームで競い合うことは間違いなさそうだ。

関連記事