2022年　第17回情報危機管理コンテスト一次予選　問題文

貴方は情報セキュリティに関する専門家としてコンサルティング業務を行っています． 顧客企業から次のような相談が来ましたので，この相談に対してアドバイスをしてください．

―――――――――――――――――――――――――――――――――――――――――――――

私どもは地方銀行業を営んでおり、銀行業のオンライン化が進む中でなんとか競争力を保とうと努力をしています。オンラインバンキングの仕組みを導入し、Webブラウザやスマートフォンアプリを用いて手軽に預金額の確認や振込処理ができるように工夫を進めてきました。もちろん、セキュリティには細心の注意を払う必要がありますので、データセンター内にある自社サーバの管理体制にも気を配り、いち早く多要素認証を取り入れるなど機能面でも万全を期しているつもりです。

　銀行サービスも周囲に合わせた柔軟な対応を求められる時代ですので、弊社ではそれを見越して、情報システムを全てクラウドに移行しました。もちろん、クラウド業者とは、データセンター上の物理サーバを占有する形態のクラウド契約を結んでいます。今後の成長に伴う規模の拡大や先進的なシステムの導入、他サービスとの連携スピードの向上などが可能になります。預金額等を管理する基幹システムには信頼できる堅牢性の高いソフトウェアを採用し、これをクラウド上で動作させています。その上で、これと連携するサブシステムとして、ネットバンキングシステムやATM入出金管理システム等を開発して動作させています。サブシステムを必要に応じて開発・修正することで、基幹システムの安定性を維持しながら、柔軟にサービスを拡充できます。サブシステムもモジュール単位の実装を心がけて開発してもらっており、モジュール単位の並列実行を可能とすることでクラウド環境における実行効率の向上を実現しました。また、モジュール構造の整理整頓によりコードの複雑化を防ぎ、効率的な修正や機能追加を可能にしています。

　最近はセキュリティ上の脅威が大きいため、周辺システムの修正を頻繁に行なっています。例えば、ネットバンキングのセキュリティは最も気を遣う部分の一つですが、最近では多要素認証に基づくログインを導入し、たまに、ログイン時に登録された電話番号にSMSで確認番号を通知して入力してもらうようにしました。具体的には、ログインIDから特定の式で計算される日付において、この認証を実施します。また、パスワードの複雑さをチェックして、辞書攻撃されるリスクが高いものは強制的に変更をしてもらいました。インターネットはそれだけ危険であるということを丁寧に説明した甲斐もあり、それだけセキュリティに気を遣っている銀行として信頼を寄せていただいていると感じています。

　このように、先進的なクラウドシステムを導入しつつセキュリティを強化して１年程度の安定運用をしてきました。1ヶ月前には、新たなサービスとして投資信託向けのサブシステムを投入し、サービス開始するなど、攻めの姿勢で銀行経営を進めています。また、より強固なセキュリティが必要な投資信託では、（従来のパスワードによるログインをした上で、）取引のたびに、専用スマホアプリを用いてワンタイムパスワードを発行して入力する高度なセキュリティ対策を導入しました。我々のワンタイムパスワード方式では、１デバイスのみに登録できるトークンアプリを開くとパスコードが表示されて、それを入力すると認証が完了します。パスコードはサーバの秘密鍵と時刻に基づいて30秒毎に変わるので、ショルダーハックされても攻撃は困難になります。先進的な取り組みとセキュリティ両立の姿勢が認められたのか、この1ヶ月間で投資信託の利用者数も順調に伸びていました。しかし、先日、顧客の一人（Aさんと呼びます）から、自分のログイン用IDとパスワードが漏洩していると通報がありました。海外のWebサイトで漏洩アカウントのリストから投資信託サイトの自分のパスワードを発見したそうです。Aさんは、急いでパスワードを変更し、自分の預金や投資資金等に問題がないことを確認したそうですが、システムにセキュリティ上の問題がある可能性が高いので、急ぎ調査をしてほしいとのことです。

　そこで、Aさんには丁寧にお詫びをした上で、調査を開始しました。弊社のCSIRTチームが丁寧に調べたのですが、奇妙なことに、システムへの侵入の形跡が見つかりません。既知の脆弱性の有無はもちろんのこと、怪しいログイン履歴の有無、実行・設定ファイルの改竄の有無、外部からの侵入が疑われる最近の通信記録をチェックしました。CSIRTアカウントで定期的に異常確認をするためのログインがありましたが、それ以外には特に怪しい部分は見つからず、外部からの侵入はなさそうでした。そうすると、Aさんが他のサイトと同じパスワードを使いまわした等の理由で外部に漏れた可能性が高いのですが、Aさんはパスワードの使い回しや破られやすいパスワードの設定等はしておらず、自分のミスで漏れたはずはないと当初から主張しています。我々も侵入がなかったことは証明できませんので、これ以上追及するのは失礼にあたります。Aさんには、侵入の痕跡はなく、他のユーザの被害も報告されていないので、問題ないはずであると納得してもらいました。

　ところが、その後1週間ほど経過した昨日、弊社の投資信託システムのソースコードが、著名なソースコード管理・公開サービスであるGoodHubにて公開されていることがわかり、ニュースになりました。Aさんはこれを見て、これが原因で内部のデータが漏れたのではないかと連絡をしてきました。この事件では、確かに我々の投資信託サイトのソースコードの一部が公開されていました。我々はすぐにGoodHubに連絡をしてソースコードを削除してもらい、調査を開始しました。開発会社に連絡をとり、誰がソースコードを漏洩したのかを調査するように依頼しました。ソースコードに含まれる既知の脆弱性を用いて外部から侵入できる可能性を調査しましたが、そのような可能性は発見されませんでした。脆弱性が見つからなかったことから、ソースコードの公開が原因で不正侵入された可能性は低いと考えました。念の為、外部からの侵入を再度、1週間前と同じ方法で調査しましたが、その痕跡は発見されませんでした。

　大きな被害は出ていないものの、気持ち悪さを感じていたところに、事件が起こりました。今朝、Aさんを含めた数人のユーザから、身に覚えのない投資信託の取引が行われたと連絡がありました。取引が行われると自動的にメール通知が行われますが、メール通知を受けてログインをしてみたところ、該当者全員について、ある金融商品を一定額購入した履歴が残っていたということです。幸いにも取引金額は大きくなかったのですが、少なくとも被害が出たのは間違いなさそうですので、今の状態で実施できる最低限の初動対応をすることにしました。

　急を要することですので、該当者のログインを止め、深く謝罪をして、大至急調査すると連絡をいたしました。これで、追加の不正取引による被害は防げたと思います。しかし、その後どのように対応すれば良いのか、我々にはわからなくなりました。我々は十分に対策をしていたつもりなのに、なぜこんなことが起こったのでしょうか。少し混乱していて、冷静な判断をする自信がありません。そういう事情で、ご相談をさせていただきました。今後、短期的に、あるいは長期的に、どのように対応すれば良いでしょうか。また、これまでの我々のセキュリティ対策に問題があったのでしょうか。大変お手数ですが、ご教示いただけましたら幸いです。

お手数をおかけしますが、どうぞよろしくお願いします。

〇×未来銀行　湯布院手九郎