今回紹介する書籍『DeNAのサイバーセキュリティ』は、セキュリティ専門家にも、経営者にも、ITエンジニアにも読んでもらいたい。なぜなら、「セキュリティ」はそれだけ重要で、それぞれの立場で考えていかねばならないからです。本書は技術的なことも書いていますが、経営者が読むことも意識しているので平易な文章になっています。内容はDeNAがセキュリティに取り組んできた歴史そのもので、そこから得られたノウハウが詰め込まれています。では、『DeNAのサイバーセキュリティ』の「まえがき」をお読みください。(松山貴之=日経BP社 コンピュータ・ネットワーク局 ネット事業プロデューサー)
2013 年10 月6 日。晴れた日曜日の午後でした。突然、筆者の携帯電話が鳴ります。電話の向こうはMobageのアプリケーションエンジニア。やや興奮した様子で話し始めました。
「Mobage が大量の不正ログインの攻撃を受けています」
「えっ…」
「ほとんどは失敗していますが、ログインに成功したものもあるようです」
「…」
これは、Mobage が初めて大規模なリスト型攻撃を受けた時のやり取りです。リスト型攻撃とは、どこかのサイトから大量に漏洩したID とパスワードを使って、様々なインターネットサイトにログインを試みる攻撃です。異なるサービスのID/ パスワードを同じにしていると被害に遭う可能性があります。実際、少なくない人が複数のサービスでID/ パスワードを使い回しており、リスト型攻撃によってMobage に不正ログインされる事態が起こったのです。ログインが成功するということは、不正にポイントを利用され、最悪の場合、アカウントを乗っ取られる可能性もあります。可及的速やかに攻撃を無効化しなければなりません。
電話を受けた後、現場のエンジニア、筆者を含むセキュリティ担当、広報、法務などで迅速に対応方法を協議。アプリケーションエンジニアが応急処置を施したことで攻撃は止まりました。その時、筆者は「なぜだ?」と思ったことを覚えています。
当時、筆者がDeNA でセキュリティを本格的に取り組み始めて2 年以上が経過していました。リスト型攻撃は2013 年の初め頃から流行し始め、多くの他社サービスが被害に遭っていました。他社の発表やセキュリティコミュニティー内から入ってくる情報を基に、典型的なリスト型攻撃は防御できるように前もって手を打っていたのです。しかし、不正ログインされてしまいました。集計すると316 件の不正ログイン。「手を打っていたのに、なぜもっと早く気づけなかったのか?」。これが「なぜだ?」と思った理由です。
この事件から筆者が学んだことは、「セキュリティは終わりなき戦いである」という事実です。セキュリティは攻撃と防御のせめぎあいであり、敵は防御をかいくぐるために日々研究しています。防御側に攻撃を弾かれたらそれで終わりではなく、より洗練された攻撃方法を携えて再び攻撃をしかけに来ます。守る側も最新の攻撃手法を学ぶとともに、攻撃側よりも洗練された防御プログラムを実装していかなければなりません。
この事件はサイバーセキュリティの世界で無数に起こっている、1つのエピソードにすぎません。
