次に何が起こるかのリスクを正しく探る。メルカリCSIRTが「脅威インテリジェンスリサーチ」を他人任せにしない理由 #MercariSecurityPrivacy

約2ヶ月にわたり、メルカリのセキュリティ&プライバシーに関するチームを紹介する連載、題して『Meet Mercari’s Security&Privacy Team』。今回は、インシデント対応のプロとして活躍する常設型の専門チーム「CSIRT(Computer Security Incident Response Team)」を特集します。

年々、巧妙化するサイバー攻撃は、言うなれば「まだ目に見えていない脅威」です。そうした脅威をいち早く察知する必要があるCSIRTですが、チームとしての体制も充実してきたいま、どんな取り組みに注力しているのか改めてうかがいました!

この記事に登場する人


  • 山田正弘(Masahiro Yamada)

    サイバーセキュリティの世界への憧れから、大学・大学院でのネットワークセキュリティの研究に始まり、大手SIerでの攻撃検知技術の研究開発を経て、複数の外資系セキュリティ専業ベンダーでの脅威リサーチャー、フォレンジック・インシデント対応コンサルタント等を経験。ベンダーとしてメルカリを支援したことがきっかけで、2021年10月にメルカリにジョイン。脅威インテリジェンスやハンティングといった領域までカバーする常設型のセキュリティインシデント対応チーム(CSIRT)の立ち上げをリードしている。


  • 高橋美希(Miki Takahashi)

    大手金融系のIT企業でシステム開発のプロジェクトマネジメントを経験ののち、海外大学院で情報セキュリティを専攻。帰国後、同IT企業でCSIRTやセキュリティ教育に携わる。インシデント対応を極めたいと考え、常設型CSIRTの立ち上げ計画のあったメルカリに2021年11月に入社。フィッシングサイトへの対応や脅威情報収集をメインに奮闘中。


  • 奥村紗名(Sana Okumura)

    静岡大学大学院総合科学技術研究科情報学専攻修士課程在学中。現在は情報セキュリティに関する研究に従事する傍ら、メルカリのCSIRTチームにインターンシップとして参加中。紅茶と甘いものが好き。

メルカリのCSIRTが「脅威インテリジェンスリサーチ」に力を注ぐ理由

──CSIRTは4月にメルカンでチーム紹介をしていただきました。今回はなににフォーカスしてお話をしていきましょうか?

@shimesaba:CSIRT業務全般については前回触れたましたが、あれからチームとしてはYamadaさんと私に加え、インシデント対応や脅威ハンティングにおいて豊富な技術的経験を持っているFlorencioさんが新たに10月にジョインしました。チームの体制として充実してきたので今回は我々の取り組みのひとつである「脅威インテリジェンスリサーチ」について深堀りしたいと思います。

高橋美希(@shimesaba)

@yamada:メルカリCSIRTでの「脅威インテリジェンスリサーチ」は、インシデントが発生していない場合に、将来的に起こりそうなインシデントリスクを自分たちで探す試みの一つです。前回のメルカン記事で触れていた、目に見えていない脅威を察知しておく「一歩先を行く」取り組みの一つとして少しずつ実現してきています。その領域で手伝ってくれているCSIRTインターンのSanaさんにも今回のインタビューに参加してもらうことにしました!

@Sana:9月から、3ヶ月間の予定でインターン生としてお世話になっているSanaです。大学院の研究室でセキュリティの研究をしていて、将来もセキュリティに関わる仕事に就きたいと思っています。

──早速ですが、「脅威インテリジェンスリサーチ」とはどんなことをするのでしょうか?

@yamada:一言で「脅威インテリジェンス」と言ってもその言葉が指す範囲は広いのですが、メルカリを狙うサイバー攻撃に対しては、攻撃グループやキャンペーンのIOCsやTTPsなどのいわゆる“タクティカル”な脅威インテリジェンスの収集はThreat Detection Engineeringチームが取り組んでいて、私たちCSIRTは脅威情勢などの“ストラテジック”な脅威インテリジェンスの情報収集と分析を担っています。それに加えて、メルカリのお客さまを狙うサイバー犯罪や、メルカリのマーケットの悪用に対しても、関連するサイバー犯罪ビジネスの動向やキャンペーン、TTPsなどの情報収集と分析を行なっています。後者はShimesabaさんにリードしてもらっています。

──メルカリを狙うサイバー攻撃の“ストラテジック”な脅威インテリジェンスについて、もう少し具体的におしえてください。

@yamada:ストラテジックな脅威インテリジェンスは、目に見える成果に繋がりにくくて、積極的に手を出しにくい領域ではあるのですが、普段から自分たちで情報ソースに触れて、脅威の背後にあるビジネスであったり地政学的な要素を、何となくでも把握していることが大事だと思っています。

一つ具体例をあげると、あるサイバー攻撃グループが、9月に日本の政府や企業を狙ったDDoS攻撃を行なった事例がありました。この際には、複数の外部組織から、メルカリが標的リストに乗っているという連絡が入り、窓口になっていた担当部署からかなり緊迫した様子でCSIRTにエスカレーションを受けました。私たちでは、この攻撃グループが利用しているTelegramチャネルもある程度調査していたので、実際には、攻撃グループの具体的な攻撃計画に入っている根拠はない状態で、この攻撃グループが誰でも見られる公開スレッドで攻撃すべき日本企業を募集している中で、グループメンバーではない投稿者に挙げられた多数の日本企業の一つに過ぎないということも、すぐに確認しました。結果として、ある程度の備えは必要なものの、情勢を注視しつつ過剰反応はしないというバランスが保てたと思っています。

また、この攻撃グループの関心が日本から他に移った際には、特に外部からの連絡もなく、報道でもあまり取り上げられていませんでしたので、自分たちである程度注視していないと、いつまで警戒すれば良いかも曖昧だったのではないかと思います。

山田正弘(@yamada)

さらに言うと、この数日後に、類似する背景を持つ別のグループも日本企業数社を標的として挙げていましたが、そちらは大々的には取り上げられていませんでした。標的を選定する戦略が少し違うようだったので、企業によっては、後者のグループの方がリスクが高い可能性も考えられる訳です。

自身のこれまでの経験からも、脅威インテリジェンスでは、第三者を介して一方的に情報をもらうだけで、情報の性質や確度を自分達で検証できない体制では、伝言ゲームになってリスクが誇張や過小評価されたり、ミスリードしてしまう可能性があります。ある程度リソースをかけてでも、他人任せにせずに、自分達でリサーチしないといけない領域だと考えています。

@shimesaba:インターンのSanaさんにも実際にこういった動向の追跡を体験してもらっています。

背後にある「人・組織・場所・役割」の解像度を高める

──Shimesabaさんがリードしている領域についても教えてください。

@shimesaba:はい。メルカリのお客さまを狙う犯罪者に関する情報収集を、例えばフィッシングなどの犯罪行為への対策に活用しています。フィッシングサイトへの対策は早期に発見してテイクダウンすることが一般的なのですが、そういった場当たり的な対応だけではいたちごっこになってしまいます。フィッシングサイトを作ってメールでばらまくという行為は安価にできてしまうので、潰しても潰しても後からフィッシングサイトが発生してしまうんです。

根本的にフィッシングを止めるためには、犯罪者がメルカリのお客さまを狙っても「旨味がない」という状況を作り出すのがフィッシング対策の定石です。私が普段情報収集に主に使っているのは、SNSでフィッシングの情報交換をしている犯罪者コミュニティです。こういったコミュニティでは、フィッシングに使うツールや手法、アカウントの乗っ取りが看破されないよう偽装する方法など、様々な情報が手に入ります。彼らが使う手口の解像度を上げることで、どこを止めれば犯罪者に確実にダメージを与えられるかを見定めることができます。サイバーキルチェーンやMITRE ATT&CKの考え方と少し共通するものがあるかもしれませんね。収集した情報を、不正対策に従事するメルカリグループ内の関連チームに共有して、一丸となってサービスの改善を行っています。

具体的なことは言えないのですが、実際にリサーチで得た情報から、これまで一般的に有効とされていた対策が犯罪者の使う手口の中では効果が薄いことが判明し、新たな対策の方向性を考えるきっかけとなったこともあります。

今は犯罪者のコミュニティの表面的な部分しか見えていないですが、背後にある「人・組織・場所・役割」などに対する解像度を高めていって、犯人を逮捕するきっかけを生み出したいですね!

──メルカリのフィッシング対策にはそんな裏側があったんですね!Sanaさんは、インターンとしてどのような活動をしているんですか?

@Sana:脅威インテリジェンスリサーチの経験が初めてなので、まずはリサーチの方法を学びながら、最終的にはリサーチの助けになるようなツールを開発する予定です。TwitterやInstagramなど、普段何気なく眺めているSNSにもたくさんの脅威が隠れていることに驚いています。YamadaさんとShimesabaさんには、リサーチの手法はもちろん、脅威インテリジェンスに対する考え方や姿勢についても教えてもらっています。

奥村紗名(@Sana)

──ツールの開発まで行うんですね!ちなみに、お二人からはどんな学びがあったか具体的に教えてもらえますか?

@Sana:情報収集をする際には色んなことに注意しなくてはいけないことを教えていただきました。特に気をつけているのはバイアスについてです。脅威インテリジェンスは分析の段階以前に、情報収集する段階から既にバイアスがかかっています。ミスリーディングな結論に達してしまわないよう、常に意識して情報を扱うようにしています。また、犯罪者・攻撃者のコミュニティに接することになるので、自分の身を守り、かつ倫理的に情報収集することの重要性や方法も教えてもらっています。これらの考え方は、自分の大学院での研究でも参考にしたいと思っています。

──自分の身を守り、かつ倫理的に情報収集することの重要性…!脅威インテリジェンスは奥深いですね!

試行錯誤の日々、他企業にも参考になるベストプラクティスを実現したい

──最後に、メルカリのCSIRTは今後はどんなところを目指していくのですか?

@yamada:先ほどのサイバー攻撃グループが日本を狙った件や、ランサム攻撃の流行を見ても、収集した脅威インテリジェンス情報から自分たちでリスクを評価したり、具体的な対応を検討して推進することは、多くの企業にとって他人事では無くなってきていると考えています。まだまだ日本では専門的な人材も少ない分野で、各社がすぐに真似できるようなベストプラクティスもまだ十分に整理されていない認識です。メルカリCSIRTでの取り組みも試行錯誤な部分は多々ありますが、実際の情報収集から社内でのアウトプットの仕方まで、何かしら他企業の参考にもなるような形で実現できたらという想いはあります。

@shimesaba:脅威インテリジェンスの機能を、セキュリティのどのチームが担うべきかは企業によってケースバイケースだと思います。メルカリでは、リサーチのアウトプットとして、セキュリティの考え方やあるべき姿を適切なステークホルダーにインプットして、具体的な対策や対応まで繋げたいと考えています。インシデント対応でセキュリティリスクについて他のチームと普段からコミュニケーションしているCSIRTはそういった点では適任ですね。

@Sana:脅威インテリジェンスにとても興味があるので、それがセキュリティチームの中でどのように役立つのかを体験させていただけてとても充実しています。自分がどんなセキュリティ人材を目指したいのか、残りのインターン期間で見つけられるように頑張りたいです。

@yamada:今回お話しした脅威インテリジェンスは、社外にある情報を収集して、次に何が起こりそうか、というような潜在的なリスクを把握して、起こった時のための準備に繋げる活動です。10月から、技術面で専門的な経験が豊富なFlorencioさんにジョインしてもらえたので、今後は、社内で収集できる情報から将来的なインシデントに繋がりそうなリスクを探す「脅威ハンティング」の取り組みも本格的に開始して、目に見えていない脅威を察知しておく「一歩先を行く」取り組みを、外と内の両方で実現していきたいです。

この日のために魚のフィギュアを持参してきてくれた魚好きのShimesabaさん(さすがに「しめ鯖」のフィギュアは持っていないとのこと!)。Florencioさん(画面右端)も撮影に参加してくれました。

関連記事 サクッと読める!✨

本日、東証プライム市場へ変更しました! #メルカリな日々

2022年夏、メルカリはインドのベンガルールに新たなエンジニア開発拠点を設立します #メルカリな日々

【祝!メルカリShops本格提供開始】ソウゾウメンバーに今の気持ちを突撃取材! #メルカリな日々

関連記事 読み応えアリ✨